Virusscanners

Uit DeVliegendeWiki

Ga naar: navigatie, zoeken

Computers met Microsoft Windows zijn niet veilig te krijgen, onafhankelijk van de versie van Windows. Zelfs op computers met bijgewerkte virusscanner en aparte beheer- en gebruiksaccounts, komen we besmettingen tegen. Daar staan wij machteloos tegenover.

Overigens, er zijn prima oplossingen: Computers met Apple of Linux (zoals Ubuntu). Deze operating systems hebben allebei geen last van virussen. Deels omdat deze platformen minder het doelwit zijn van virusmakers, deels omdat deze platformen fundamenteel anders ontworpen zijn, waardoor ze veel minder gevoelig zijn voor virussen.

Onze favoriete virusscanners van dit moment (Sinds lente 2011):

Voor particulieren

  1. MSSE 2.x
  2. Avira AntiVir
  3. ClamWin

Voor bedrijven

  1. MSSE 2.x
  2. ClamWin

Om besmettingen ongedaan te maken

  • Avira AntiVir
  • MBAM
  • MacAfee Stinger
  • ClamAV vanaf SystemRescueCD

Let op: In december 2010 heb ik op een krakkemikkige Vistacomputer Avira Antivir gedraaid. Die leek vast te lopen, en daarna wilde windows niet meer starten. Er bleken geen systeemherstelpunten te zijn aangemaakt, zodat ik de computer moest herinstalleren.

Inhoud

Bronnen

Ontsmetten

Tot eind 2010 betekende een virusbesmetting automatisch dat de betreffende computer opnieuw geïnstalleerd moest worden. Begin 2011 is dat veranderd: Virusscanners zijn blijkbaar zo veel beter geworden, dat alleen scannen voldoende bleek. De laatste maanden van 2011 is dat weer veranderd door de opkomst van nieuwe bootrecord-virussen: Deze nestelen zich op het opstartgedeelte van de harde schijf. Niet alleen moet daarvoor de computer opnieuw geïnstalleerd worden, de MBR oftewel Master Boot Record, moet opnieuw geschreven worden.

Dit is de procedure die we gebruiken voor ontsmetten met virusscanners:

  1. Starten in Veilige Modus: Start de computer in Veilige Modus met Netwerkondersteuning door F8 ingedrukt te houden tijdens opstarten van Windows. Het kan soms wat pogingen vergen om precies op het juiste moment F8 in te drukken. Let op: Als je op sommige computers te vroeg op F8 drukt, beland je in het zogenaamde BIOS-menu. Dat moeten we niet hebben. Je moet wachten tot het juiste moment met indrukken van F8. Dat is voor dat het Windows-logo verschijnt. Als je dit goed hebt gedaan, krijg je een tekstmenu met oa. de mogelijkheid Veilige Modus met Netwerkondersteuning;
  2. Download scanners: Download de gratis versies van AntiVir, MBAM en McAfee Stinger. Overigens: Mocht je dit in Gewone Modus doen, is dat geen ramp;
  3. Installeer de scanners: Installeer de virusscanners, liefst in Veilige Modus. Soms lukt dat niet, en moet je de computer herstarten in Gewone Modus om de virusscanners te kunnen installeren;
  4. Update de virusscanners (liefst nog steeds in Veilige Modus);
  5. Scan in Veilige Modus met alle drie de scanners. Dit kan zomaar een halve dag duren. Laat geïnfecteerde bestanden verwijderen, of wanneer dat niet kan, in quarantaine plaatsen. Dit werkt niet altijd intuïtief, en soms vraagt een virusscanner pas aan het eind van de scanprocedure wat er met de resultaten moet gebeuren. Je moet aan het eind van de scanprocedure dus goed opletten wat de scanners precies zeggen;
  6. Scan in Gewone Modus: Herstart de computer in Gewone Modus en scan nog een keer;
  7. Verwijder overtollige scanners: Onder normale omstandigheden heb je aan één scanner voldoende. Verwijder daarom overbodige scanners.

Overzicht

AVG

Gratis voor particulier gebruik. Ik vind de interface verwarrend, en ik houd niet van virusscanners die ook nog allerlei andere functionaliteiten bieden, en daarom gebruik ik hem niet graag.

Avira AntiVir

Avira AntiVir is op dit moment (eind 2010 - zomer 2011) de best virusscanner die we kennen.

De gratis versie is een virus- en spyware-scanner, en niet daarnaast nogal een aantal functies. Dat vind ik prettig werken. Virusdefinities kun je separaat downloaden als zogenaamde VDF Update Files en bv. via een USB-stick op de besmette computer importeren. Op die manier kun je Avira bijwerken op een computer zonder internetverbinding. Voor deze bestanden, ga naar http://www.avira.com/en/support-for-free-knowledgebase-detail/kbid/95 Helaas is Avira alleen gratis voor particulieren, en niet voor zakelijke gebruikers.

Virussen worden standaard verplaatst naar quarantaine. Ik vind het vreemd dat ik virussen niet automatisch kan laten verwijderen, maar daar zal wel een rede voor zijn. Via menu Administrator binnen Avira, kom je bij het quarantaine-menu, waar je de betreffende bestanden alsnog kunt verwijderen [1].

Kenmerk Evaluatie
Te installeren in Veilige Mode? Soms:
  • Mei 2011, Windows XP: Lukte niet;
  • Mei 2011, Windows Vista: Lukte niet;
  • Mei 2011, Windows 7: Lukte wel. Ik weet niet meer of handmatig upgraden lukte;
  • Mei 2011, Windows XP Media Edition: Lukte. Alleen handmatig updaten van virusdefinities ahv. gedownload bestand, lukte niet;
  • Juli 2011, Windows 7: Lukte niet. Hij gaf vage foutmeldingen en belande in een loop.
Bijwerken over afgeknepen verbinding XS4All? Ja:
  • Neemt automatisch de proxy-instellingen over van de browser
  • Middels separaat te downloaden VDF Update Files
Offline bijwerken? Ja, middels separaat te downloaden VDF Fusebundle. Ik geloof dat dit bestand meerdere keren per dag wordt bijgewerkt.
Scannen in Veilige Mode? Ja
Automatisch opruimen? Ik dacht dat besmettingen die geconstateerd worden gedurende een complete scan automatisch worden opgeruimd, maar real-time geconstateerde besmettingen niet. In het verleden zat ik me het leplazerus te klikken
December 2010: Deze computer was nogal beschadigd en wilde niet meer online. Ook het installeren van een offline virusdefinitiebestand ging moeizaam. Dit is hoe het eruit ziet als zo'n bestand wordt gelezen: Hetzelfde als wanneer je zo'n bestand online binnenhengelt.
December 2010: Als je een complete scan laat uitvoeren, komt-ie terug met zo'n overzicht van issues plus gesuggereerde acties. Redelijk duidelijk.
December 2010: De realtime-scanner komt met dit soort pop-ups. Werkt prima.

ClamAV

ClamAV vanaf SystemRescueCD. Na een nacht scannen vond-ie twee virussen, terwijl Avira er nog 70 vond. En het is me ook niet duidelijk of-ie die twee virussen verwijderd heeft. Tja

Clam Anti Virus of ClamAV is een virusscanner voor Linux, geschikt om bv. vanaf een Linux Live cd een Windows-installatie mee te ontsmetten. Een interessant voorbeeld dat aangeeft hoe Linux Windows overstijgt. ClamAV is inbegrepen op de SystemRescueCD. Rond 2008/2009 heb ik ClamAV sporadisch gebruikt, maar ik was er weinig van onder de indruk. In december 2010 heb ik 'm gebruik op een computer die besmet was met System Tool 2011, en hij heeft deze niet gedetecteerd, ondanks de bijgewerkte virusdefinities. Ik neem aan dat ClamAV en WinClam even goed zijn.

Zie ClamAV voor details.

Kenmerk Evaluatie
Te installeren in Veilige Mode? Nvt
Bijwerken over afgeknepen verbinding XS4All? Ja:
  • Door zelf de proxy-instellingen te configureren in SystemRescueCD
  • Middels separaat te downloaden definities
Bijwerken in Veilige Mode Nvt
Scannen in Veilige Mode? Nvt
Automatisch opruimen? Waarschijnlijk wel, want het is een command line utility, dus het is vast als zodanig te configureren.

ClamWin

Open-source-virusscanner en gratis voor zowel privé als zakelijk gebruik. Nooit goed getest. Het huidige versienummer is 0.x (december 2010), wat weinig vertrouwen geeft. Daarnaast moet het regelmatig handmatig worden bijgewerkt na een nieuwe versie, en veel mensen zullen dat niet doen. Eind 2009 hebben we gestandaardiseerd op ClamWin, omdat het de enige virusscanner is die zowel voor prive- als zakelijk gebruik gratis is. Halverwege 2010 zijn we overgestapt op Microsoft Security Essentials.

MacAfee

Complexe, verwarrend en niet gratis.

MacAfee Stinger

MacAfee Stinger in actie

Compacte en robuuste virusscanner zonder separate update of installatieprocedure.

Kenmerk Evaluatie
Te installeren in Veilige Mode? Ja
Bijwerken over afgeknepen verbinding XS4All? Nvt
Scannen in Veilige Mode? Ja

Malware Bytes Anti-Malware (MBAM)

MBAM: Na het scannen moet je aangeven wat er met de besmettingen moet gebeuren

Goede veelzijdige en robuuste scanner. Maar de gratis versie biedt geen realtime beveiliging en is dus ongeschikt als reguliere virusscanner (feb. 2011)

Kenmerk Evaluatie
Te installeren in Veilige Mode? Ja
Bijwerken over afgeknepen verbinding XS4All? Ja: Op tabblad Updates kun je een proxy opgeven
Offline updaten? Lijkt niet mogelijk te zijn
Scannen in Veilige Mode? Ja
Automatisch opruimen?
  • Nee: Aan het eind van een scan moet je aangeven wat er met geconstateerde besmettingen moet gebeuren. Da's onhandig;
  • Aan de andere kant: Je kunt op elk willekeurig moment het proces stoppen. Daarna vraagt MBAM wat te doen met de geconstateerde besmettingen. Da's handig.

Microsoft Security Essentials 1.x

Een typisch tafereel: Avira is druk bezig om virussen onschadelijk te maken, terwijl Microsoft Security Essentials 1.x een beetje zit te piepen dat de computer herstart moet worden

Halverwege 2010 zijn we overgestapt van ClamWin naar Microsof Security Essentials (MSE of MSSE). Rond eind 2010 zijn we gaan twijfelen aan de betrouwbaarheid: We kwamen diverse besmettingen tegen terwijl MSSE geïnstalleerd was. Zelfs op de betreffende map klikken en deze laten scannen, leverde geen resultaten op. Opvallend: AntiVir herkende de besmettingen steeds wel.

MSSE Is ongeschikt voor scannen bij afgeknepen XS4All-verbindingen:

  • Je kunt niet updaten over een afgeknepen verbinding;
  • Je kunt updates niet vantevoren downloaden;
  • Zonder updates weigert MSSE te functioneren, omdat de gedownloade versie geen recente updates bevat.
Kenmerk Evaluatie
Te installeren in Veilige Mode? Nee
Bijwerken over afgeknepen verbinding XS4All? Nee
Offline bijwerken? Lijkt niet mogelijk te zijn
Scannen in Veilige Mode?  ?
Automatisch opruimen? Nee. Dat is zelfs vrij tricky:Je moet aangeven dat de besmetting verholpen moet worden, terwijl de knop voor een 'complete scan' op dat moment veel nadrukkelijker aanwezig is. Als je die laatste optie kiest, begin je weer van voren af aan.

Microsoft Security Essentials 2.x

Op 16 december 2010 is MSSE 2.0 uitgekomen. Die zou onder andere beschikken over heurstisch zoeken, waardoor nog onbekende virussen gedetecteerd kunnen worden. Als consequentie hiervan vereist hij meer resources.

Tijdens installatie wordt gecontrolleerd of Windows beschikt over een legale licentie. Dit wordt niet vantevoren aangekondigd.

Norton

Complexe, verwarrende en betaalde virusscanner. Daarnaast is het soms lastig te verwijderen.

In december 2010 maakte ik mee dat ik mijn USB-stick met systeemtools in een computer stak met Norton, waarop Norton ongevraagd één van die tools ging verwijderen, omdat-ie vond dat dat een beveiligingsrisico inhield.

Besmettingen

Nog iets over besmettingen:

Veilige mode

Een reboot werkt niet nee, meeste van dit soort malware past je registry aan, voornamelijk het gedeelte waarin je shell wordt bepaald. Normaliter is dat explorer.exe, maar dat wordt dan dus aangepast naar de executable van de malware zelf. Dan is 'ie altijd actief, ook in de veilige modus. Moet je buiten Windows om in de registry duiken om de shell weer terug te zetten naar wat het moet zijn. [2]

Teruggeplaatst van "http://www.devliegendebrigade.nl/wiki/index.php/Virusscanners"
Persoonlijke instellingen