Несколько дней назад ко мне на ноутбук попал какой-то вирус или руткит в оперативную память, и все мои попытки извлечь его не приносили успеха. Мой антивирус ESET Smart Security 4 только находил, но удалить или очистить не мог, правда, базы были месячной давности. Поковырявшись в автозагрузке, остановив некоторые службы и удалив ряд процессов, я уже подумал, что победил вирус, да и сканирование антивирусом это подтвердила, но после перезагрузки все повторилось сначала.
Я уже хотел по быстрому переустановить систему, но решил поискать в Интернете решение этой проблемы и вот наткнулся на интересную утилиту Universal Virus Sniffer, которая предназначается для быстрого устранения заражения неизвестными вирусами, руткитами, буткитами.
Автор Дмитрий Кузнецов в распространяемом архиве программы подробно описал необходимые действия по нахождению и удалению неизвестных вирусов и тд. с помощью утилиты.
Авторский сайт и последняя версия утилиты (http://dsrt.dyndns.org/ (http://dsrt.dyndns.org/))
Все версии (http://depositfiles.com/folders/A5PK4YRKA (http://depositfiles.com/folders/A5PK4YRKA))
[spoiler]
Как быстро найти неизвестный вирус
Это упрощенная процедура, которая подходит для основной массы вирусов/троянов/авторанов/ботов.
01. Запускаем uvs, проводим тест на активные файловые вирусы, если они есть убиваем соотв. кнопкой. (предварительно подбираем длину сигнатуры... если например заражен и start.exe и startf.exe то подобрать длину довольно легко, добавляем сигнатуру start.exe и затем в контекстном меню сигнатуры добавляем startf.exe)
(!) Против серьезных полиморфных вирусов поисковой движок uVS бессилен.
(!) В этом случае рекомендуется сразу же убить все процессы в памяти с помощью функции
(!) Дополнительно->Выгрузить все процессы кроме системных, после чего запустить средствами
(!) uvs лечащую утилиту (Dr.Web CureIt или AVPRT)
02. Скрываем все проверенные файлы, сперва F4 (база sha1 должна быть в каталоге uVS). Скрываем подписанные файлы по F6. Далее просматриваем список подозрительных, если ничего действительно подозрительно там нет то...
03. Если вирус проявляет себя в браузерах, то просматриваем соотв. разделы и чистим их от хлама, если нет то...
04. Открываем раздел "Процессы без видимых окон" Трояны/автораны/вирусы п.н. будут здесь. Помогаем себе кнопкой F1 (управляет скрытием известных файлов) Обращаем внимание на те файлы, что не содержат информацию о версии/производителе и т.п.
05. Так же стоит взглянуть на раздел сетевой активности. (спамботы, прокси, даунлоадеры будут здесь)
06. Складываем копии найденных подозр. файлов в Zoo и отправляем их на VirusTotal.com или аналог, либо ищем там по SHA1 (если нет времени на загрузку и ожидание).
07. Со всех найденных вирусов снимаем сигнатуры, проверяем список автозапуска соотв. кнопкой. Осматриваем список найденных вирусов, если есть ложные срабатывания то удлиняем сигнатуру в списке сигнатур и повторяем проверку. (для DLL рекомендуется указывать длину = 64)
08. Нажимаем "удалить все вирусы" все копии активных вирусов в памяти будут нейтрализованы и затем массово уничтожены, автозапуск очищен, критические ключи реестра будут восстановлены.
(!) НЕ следует выгружать вирусы и удалять их вручную по одному, некоторые вирусы "плохо" относятся к потери одного из своих процессов.
09. Устраняем вред нанесенный вирусом системе с помощью любой из предназначенных для этого утилит. (uvs производит восстановление лишь важных(для запуска Windows) ключей и только тех что испорчены удаленным с помощью uvs вирусом)
10. Опционально стоит провести проверку дисков с использованием снятых сигнатур. Предварительно удаляем мусор из временных каталогов в меню Дополнительно и после сканирования дисков стоит выполнить "Безопасное удаление ссылок на ВСЕ отсутствующие объекты".
[/spoiler]
Вот спасибо.Попробую еще проверить компьютер.
Что такое uvs? Где взять этот движок,чтобы запустить?Я ничего не поняла из скрытого текста.Это относится к ссылке утилитки,которую Вы дали?
Цитата: Eseniy от 27 января 2012, 22:55:23
Что такое uvs? Где взять этот движок,чтобы запустить? Я ничего не поняла из скрытого текста. Это относится к ссылке утилитки, которую Вы дали?
1. uvs - это
Universal Virus Sniffer - Программа предназначена для облегчения процесса обнаружения и уничтожения неизвестных вирусов, руткитов и буткитов (http://dsrt.dyndns.org/uvs.htm).
2. Скачать: http://dsrt.dyndns.org/uvsfiles.htm
3. Информация из скрытого текста - это пошаговое руководство по обнаружению вирусов и др.
Если самостоятельно удалить вирус из оперативной памяти все-таки не удастся, то лучше обратиться в сервисный центр.
Была такая же проблема с НОД32, обнаружил троян в оперативной памяти и категорически отказывался его удалять. Не долго думая запустил копм в безопасном режиме и запустил тот же НОД32. Как оказалось, и позже подтвердилось поиском в интернете информации, сам вирус находился в папке WINDOWS на диске С. Только в моем случае он "заполз" в WINDOWS/system32 и был с разширением .ехе. НОД32 без проблем его нашел и удалил, а оперативная память сама очищается при перезагрузке компа. В последствии вирус был удален. Единственное что не понял, почему он его нашел только в безопасном режиме, а в стандартном нет???