- René van Maarsseveen - https://renevanmaarsseveen.nl -

Trojan Dos/alureon.e

Woensdagmiddag zat ik rustig te schrijven aan een brochure voor een klant. Ik kreeg melding dat er drie mailberichten binnenkwamen. Na de alinea te hebben afgeschreven maakte ik even een pauze voor de mails. Het waren berichten van bekenden. Twee mails hadden een pdf-bestand als attachment. Die bekeek ik ook nog even voor ik verder ging.

Ik was nog geen vijf minuten aan het verder schrijven aan de brochure of er verscheen een waarschuwingsvenstertje dat er een fout was met mijn harddisk en dat ik een ‘chipset_driver_update’ moest doen. In het venster kon ik de update direct starten. Dat deed ik natuurlijk niet. Ik klikte het venstertje weg. Maar toen bleken er al ruim 20 venstertjes open te staan, zag ik in de taakbalk onderin het venster.

Illustratie met dank aan TechTips.com

Ik wist genoeg. Een virus en geen onschuldige. Mijn virusprogramma bleek al gemolesteerd, want het vertrouwde groene pictogram was al rood. Ik kon het wel weer starten en het vond het virus ook, maar daarna ging het weer snel op rood. Het was duidelijk dat het virus ook het virusprogramma beïnvloedde.

Belangrijkste was nu mijn data veilig te stellen en er voor te zorgen dat geen andere computers, harddisks en dergelijke binnen het netwerk werden besmet. Discipline dus. Ik startte de computer opnieuw op met een boot_CD. Om een lang verhaal kort te maken, ik probeerde van alles. Hoewel ik regelmatig backups maken en ik van 99% van de data al een backup had, was ik toch blij dat het nog lukte mijn data op een externe harddisk te zetten. Daarna formatteerde ik de interne harddisk en installeerde Windows opnieuw. Daarbij herkende Windows mijn officiële productcode niet, wat ik toen op zich ook vreemd vond.

Het was inmiddels donderdag eind van de ochtend. Bij het opnieuw opstarten meldde het virus zich opnieuw. Toen kon ik weer even zien hoe het heette. Het was de DOS/Alureon.e trojan (officieel Trojan: DOS/Alureon.e). Nu had ik iets en kon, via een andere computer natuurlijk, op internet naar een remedie gaan zoeken.

De Syntax van een virus is overigens vastgelegd door het Microsoft Malware Protection Center, zie hieronder:

Het Alureon Trojaanse paard zoekt je harddisk af naar wachtwoorden, gebruikersnamen, creditcard-gegevens en dergelijke. Het is buitengewoon hardnekkig en slim. Daardoor is het vrij lastig te verwijderen. Het herkent bijvoorbeeld virusprogramma’s die aan het zoeken zijn. Het kan zich dan razendsnel vermenigvuldigen en daarbij steeds andere namen aannemen. Bovendien maakt het een eigen partitie op de harddisk met eigen drive-letter, die er met formateren van de c-schijf niet af gaat.

Donderdagmiddag op een andere computer gewerkt. Vanmorgen de externe harddisk met geredde data gecontroleerd; die bleek niet geïnfecteerd. Met de kennis die ik inmiddels over het virus heb verzameld moet ik nu alleen de geïnfecteerde computer nogmaals onder handen nemen. Dat zal wel weekendwerk worden.

De computer maak ik helemaal schoon (formateren etc.) en ik installeer alleen de hoogst noodzakelelijke programma’s opnieuw. Op zich is dat dan wel weer prettig, denk ik positief. Een schone computer is sneller. Alle rommel, die Windows altijd achter laat bij verwijderen van programma’s, de grote reservebestanden die het aanmaakt en registerbestand zijn dan weer klein. En inmiddels onnodige programma’s, of restanten daarvan, zijn compleet verwijderd. Dan kan ik maandag weer aan de slag met een maagdelijke computer.