Vraagbaak computers
Registry opkuisen
TechTalk
Root server » TechTalk » FAQ Computers » Registry opkuisen

Het probleem dat vaak voorkomt: het virus wordt geladen op het ogenblik dat de computer opgestart wordt, waardoor het onmogelijk is de virus te vinden en te verwijderen. Bepaalde virussen tonen een modaal scherm dat de normale werking van de computer onmogelijk maakt.

Moderne virussen en malware gebruiken daarbij ook rootkit technieken waardoor de bestanden niet gedetecteerd kunnen worden. In feite voert de virus een "patch" van het operating system uit, waardoor die de virusbestanden niet meer kan vinden. Het operating system met de virussen kan je dus niet meer gebruiken.

Mogelijkheid 1: opstarten onder Linux met een USB stick

Een mogelijke oplossing is de computer met een USB stick te starten (onder Linux, want windows kan je nooit starten met een usb stick). Je kan dan manueel alle directories overlopen en de gevaarlijke bestanden wissen. Na een aantal computers opgeruimd te hebben weet je waar dat de meeste malware zich nestelt. Het tweede voorbeeld (onderaan deze pagina) toont de directorystructuur van de windows (vista) schijf onder Linux.

Met deze methode moet de harde schijf niet uitgebouwd worden.

Mogelijkheid 2: harde schijf in een tweede (werkende) computer plaatsen

Je kan ook de harde schijf in een andere computer te monteren. Als er een goede anti-virus op die computer draait, dan zal een scan alle virussen elimineren. Je moet de anti-virus wel speciaal instrueren een scan te doen op die extra schijf. De anti-virus kan echter niet alle virussen opsporen, en sommige scanners weigeren extra harde schijven te controleren (daarvoor moet je de 'professional' versie van de anti-virus kopen).

Het is altijd leuk als je de registry kunt wijzigen zonder dat de computer opgestart is. Het programma regedit dat je gebruikt om de eigen registry te wijzigen kan je ook gebruiken om externe registry bestanden te lezen en bewerken.

Regedit laad automatisch de hives van de huidige computer, maar je moet het pad aangeven als je de schijf van een andere computer gemonteerd hebt.

Ga naar de HKLM (Hyve Key Local Machine) sleutel en laad de externe registry file in (File..., of indien je over een nederlandse versie beschikt Bestand...). Je moet die een naam geven, bijvoorbeeld boris, zoals in dit geval. Het pad van de registry is (als de schijf de e:-schijf is):

  • e:/Users/%gebruiker%/NTUSER.DAT en
  • e:/windows/system32/config/software
De externe registry file kan je wijzigen zoals een eigen registry file, maar je mag niet vergeten op het einde het bestand weer op te slaan (dat is niet nodig voor de eigen registry van het systeem).

De sleutels die vaak malware bevatten zijn de volgende:

  • HKLM/Software/Microsoft/Windows/CurrentVersion/Run en .../RunOnce
  • HKCU/Software/Microsoft/Windows/CurrentVersion/Run en .../RunOnce
  • HKLM/SOFTWARE/Microsoft/Active Setup/Installed Components
  • HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Shell
  • HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify
  • HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
  • HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Shared/TaskScheduler
  • HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellService/ObjectDelayLoad

(HKCU: Hyve Key Current User)

Daar staan de programma's die bij het opstarten geladen worden. Je mag eigenlijk alles verwijderen van de eerste twee sleutels: het is zinloos dat Office vooraf opgestart wordt, dat er één of andere desktop manager geladen wordt,... Als je geen idee hebt wat dat programma doet: verwijderen!

Met een beetje gewoonte haal je gemakkelijk de meeste malware van een computer zonder dat het systeem onstabiel wordt.

Nadat de registry opgekuisd is, moet ook de schijf zelf opgekuisd worden (voordat je de keys in het registry verwijdert schrijf je de link naar het bestand dat geladen wordt op). Je moet enkel malware verwijderen, niet de desktop managers, enz.

Opgelet, programma's kunnen op duizenden manieren opgestart worden: kijk bijvoorbeeld ook met windows explorer in Start Menu/Programmas/Opstarten (bij ieder gebruiker). Omdat er op deze plaats niet meer gekeken wordt, gebruikt veel malware deze mogelijkheid om automatisch op te starten (dit was hier het geval, zie tweede afbeelding).

Vaak heeft de malware de anti-virus geneutraliseerd. Het gevolg is dat er meestal geen internet mogelijk is. Je moet de anti-virus volledig verwijderen (via het configuratiescherm), en dan pas heb je opnieuw internet-toegang.

Deze pagina is uitdrukkelijk kort en to-the-point gehouden, het is een pagina voor mensen die enige ervaring met computers hebben (en met ervaring bedoel ik niet dat ze veel porno- en illegale download sites kennen). Je moet kunnen navigeren in de bestandsstruktuur van je computer en met regedit werken. Kan je dat niet, doe dan een beroep op een professional.

Links to relevant pages - Liens vers d'autres pages au contenu similaire - Links naar gelijkaardige pagina's