„Greitoji pagalba“ kompiuteriui


Pykse (dar žinomas kaip "Sandra")

Tyrimą pradedame peržiūrėdami paleidžiamų programų
sąrašą, naudojame programą Autoruns.
Starto           metu paleidžiamos programos

Autoruns - nerodom Microsoft pasirašytų           programųKad būtų
lengviau susigaudyti paleidžiamų programų, DLL
bibliotekų, servisų saraše, įjungsime skaitmeninių
parašų tikrinimą, ir paslėpsime Microsoft pasirašytas,
patikrintas programas: įjungiame prarametrus Options->
Verify Code Signatures ir Hide Microsoft Entries, spaudžiame
Refresh (F5).

Pirmieji įtariamiejiMatome
kelis įrašus – programas, bibliotekas, kurių kurėjai
nenurodyti arba neaiškūs. Tai – pirmieji mūsų
įtariamieji: programos skype.exe, wingfsv.exe,
invisible002.dll. Pasirašytos ir patikrintos programos, nors
ir ne Microsoft, nėra tolesnio mūsų tyrimo objektai.

Naudodami programą Process Explorer, peržiūrėkime
procesų sąrašą.
Procesų sąrašas. ProcessExplorer

Pirmoji dėmesį atkreipianti programa – winskdrv.exe
(nėra aprašymo, nenurodytas gamintojas). Peržiūrėkime
proceso informaciją.
.winskdrv winskdrv winskdrv

Sustabdome winskdrvPapildomos
informacijos galima gauti internete, ieškant frazės
winskdrv.exe (tokią funkciją turi ir pats Proces Explorer
įrankis: ant proceso paspaudus dešinį pelės klavišą ir
išsirinkus „Google…“ arba „Search Online…“). Rasta
informacija padeda įsitikinti, kad ši programa yra Skype
viruso komponentė. Sustabdykime procesą

Taip pat matome du egzempliorius Internet Exporer programų,
nors užduočių juostoje jų ir nematyti. Tai nėra
įprastas Internet Explorer elgesys.
nematomi IEXPLORE procesai

IEXPLORE ir Invisible002.dllPeržiūrėkime šių procesų informaciją.
Prie vieno iš jų randame prikabintas dll bibliotekos
Invisible002.dll funkcijas. Tą pačią biblioteką matėme
ir Autoruns sąraše. Gali būti, tai – programos,
paslėptos nuo kompiuterio savininko akių, vykdančios šios
bibliotekos funkcijas.

Sustabdykime šiuos Internet Explorer procesus.
Sustabdome IEXPLORE

Suraskime, koks procesas dar naudoja Invisible002.dll.
Ieškome, kas dar naudoja DLL Invisible           paieška

Tai procesas explorer.exe, kitaip sakant Windows Explorer,
atsakingas už Windows grafinį interfeisą. Galime
peržiūrėti šios DLL bibliotekos informaciją
Peržiūrėkime Invisible002.dll subtilybes
sandra-2 014_0007_thumb.jpgsandra-2           014_0008_thumb.jpg sandra-2           014_0009_thumb.jpg
Rasta informacija (tekstinės eilutės“oi netau cia turejo
but sory“, „paziurek kokia foto andrius atsiunte“, „Skype
Worm“) padeda priimti sprendimą, jog tai taip pat kirmino
sudėtinė dalis.

Peržiūrėję explorer.exe proceso vykdomas šakas
(threads) matome, kad invisible002.dll funkcijos nėra
vykdomos.

Šaliname registro įrašusProcess
explorer pagalba galime perkrauti eplorer.exe procesą.
Tačiau prieš perkrovimą pašalinkime visus mūsų rastus
registro įrašus, kurie neturi skaitmeninių parašų ir
kurie nėra patikrinti.

Dabar perkraukime explorer.exe
Perkrauname explorer.exe

Invisible002.dll daugiau nerandamasPo
perkrovimo Invisible002.dll dingsta iš DLL bibliotekų
sąrašo.

Suraskime visus mums kliuvusius failus kataloge
c:windowssystem32 ir perkelkime į laikiną katalogą
backup (tolesniam patikrinimui su antivirusinėmis
priemonėmis).
Failus           perkeliame į kita katalogąFailai           atsagriniame kataloge, pervardinti

Perkraukime sistemą ir patikrinkime, ar nebėra
nepageidautinų įtartinų programų.
Perkrauname sistemą Perkrauname sistemą

Paleidę Process Explorer matome, kad pašalinių programų
nėra, Invisible002.dll biblioteka nebėra naudojama.
Tikriname, ar nebenaudojamas Invisible002.dll