Detectare viruși tip rootkit în Device Manager

Configurare noua (How To)

Situatie

Exista posibilitatea ca în urma unei infecții cu viruși, sa rămână urme ale acestora care pot fi înca active sau în așteptare, chiar după ce virusul principal a fost eliminat de antivirus. Și în cazul în care virusul nu mai e activ acesta lasă urme care îngreuneaza calculatorul mai ales dacă e de o generație mai veche.

Solutie

  1. Pornim Device Manager în modul ”avansat” (link către tutorialul respectiv)
  2. În Device Manager din meniul View bifăm ”Show hidden devices” dacă nu am facut deja asta
  3. Căutam sectiunea ”Non-Plug and Play Devices” și o desfașurăm (clic pe triunghi, in cazul windows vista sau 7 sau plus în cazul windows XP)
  4. Aici putem vedea daca există (sau au existat) viruși de tip rootkit (link către ce e un rootkit, eventual pe askit).
  5. În continuare voi descrie după ce trebuie să ne uităm:
  1. Orice șir de caractere aleatoare sau aparent aleatoare, în special daca au câte opt caractere și încep de la zero și merg pâna la f, de ex. 09B27F7F, 4A7582B1 și așa mai departe, ele apar estompate. Acestea sunt drivere care încarcă virusul în sistem la pornirea calculatorului înainte ca antivirusul să acționeze pe deplin. Încarcă virusul după care devin inactive, din cauza aceasta sunt estompate. De obicei sunt multe, de la 20 în sus, chiar peste 100 în cazuri extreme, cu cât sunt mai multe cu atât merge mai greu sistemul. Pentru dezinstalare se dă clic dreapta pe driverul pe care îl vrem dezinstalat>uninstall>OK,  se procedează la fel cu toate. Pe scurt: tot ce are 8 caractere aleatoare de la zero la f (denumirea conține numai caracterele acestea 0123456789ABCDEF) și estompat, se elimină.
  2. Există posibilitatea ca să găsim denumiri care au caractere aleatoare dar nu se limitează la 0123456789ABCDEF, ci conțin orice literă din alfabet, aceste drivere de obicei nu sunt viruși, unele programe care detectează viruși tip rootkit (gmer, aswmbr) instalează un astfel de driver, se pot elimina fără probleme.
  3. Orice e estompat și nu suntem siguri despre ce e vorba, trebuie să căutăm denumirea pe google. Ca să ne fie ușor facem în felul următor: clic dreapta pe driver>Properties>Driver>din ”Service name” selectăm denumirea driver-ului>clic dreapta pe denumirea selectată>copy.

1

2

3

Acum căutăm denumirea pe google sau alt motor de căutare. Eventual putem adăuga la sfârșitul denumirii .sys (cel mai comun) sau .dll, de ex. aswFsBlk.sys sau aswFsBlk.dll, în cazul de față corect e aswFsBlk.sys. De obicei în primele 10 rezultate găsim ce căutăm, în cazul de față e vorba de un driver al antivirusului Avast, deci nu e vorba de un virus. Într-un tutorial viitor ne vom ocupa și de dezinstalarea driverelor instalate de antiviruși care nu mai sunt prezenți în sistem (au fost dezinstalați) dar care în unele cazuri mai sunt încă activi și ocupă resurse inutil.

4. Pentru cei care fac acest lucru pentru prima dată, recomand să se familiarizeze cu toate driverele din secțiunea Non-Plug and Play Drivers și să le caute pe toate pentru a ști pe viitor ce e legitim și ce nu. O metoda rapidă de a verifica e următoarea: clic dreapta pe driver>Properties>Driver>Driver Detalis (în josul ferestrei).

4

În imaginea de jos putem vedea unde se află fișierul driverului și de cine e produs, Microsoft în cazul de față. În 99,9% din cazuri dacă putem vedea locația fișierului, numele producătorului și eventual că e autentificat (semnat) electronic, atunci e un fișier legitim.

5

6.Atenție la ce ștergeți, căutați tot ce pare suspect sau nu sunteți lămuriți ce e cu driverul. La unele drivere (cele care nu sunt estompate) windows va cere restart, da-ți yes pentru că altfel nu va fi dezinstalat.

Concluzie: Acesta ar fi un prim pas în dezinfectarea unui calculator după ce s-a constatat că a avut sau încă are viruși. Voi explica alte operațiuni într-un tutorial viitor.

Tip solutie

Permanent

Voteaza

(29 din 71 persoane apreciaza acest articol)

Despre Autor

Leave A Comment?