Автор Тема: Как удалить вирус в оперативной памяти?  (Прочитано 25286 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Ruterk

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 948
  • Спасибо: +0/-0
    • WWW.RUTERK.COM - Авторский блог и форум
Несколько дней назад ко мне на ноутбук попал какой-то вирус или руткит в оперативную память, и все мои попытки извлечь его не приносили успеха. Мой антивирус ESET Smart Security 4 только находил, но удалить или очистить не мог, правда, базы были месячной давности. Поковырявшись в автозагрузке, остановив некоторые службы и удалив ряд процессов, я уже подумал, что победил вирус, да и сканирование антивирусом это подтвердила, но после перезагрузки все повторилось сначала.

Я уже хотел по быстрому переустановить систему, но решил поискать в Интернете решение этой проблемы и вот наткнулся на интересную утилиту Universal Virus Sniffer, которая предназначается для быстрого устранения заражения неизвестными вирусами, руткитами, буткитами.

Автор Дмитрий Кузнецов в распространяемом архиве программы подробно описал необходимые действия по нахождению и удалению неизвестных вирусов и тд. с помощью утилиты.

Авторский сайт и последняя версия утилиты (http://dsrt.dyndns.org/)
Все версии (http://depositfiles.com/folders/A5PK4YRKA)

Скрытый текст

Как быстро найти неизвестный вирус

Это упрощенная процедура, которая подходит для основной массы вирусов/троянов/авторанов/ботов.

01. Запускаем uvs, проводим тест на активные файловые вирусы, если они есть убиваем соотв. кнопкой. (предварительно подбираем длину сигнатуры... если например заражен и start.exe и startf.exe то подобрать длину довольно легко, добавляем сигнатуру start.exe и затем в контекстном меню     сигнатуры добавляем startf.exe)
(!) Против серьезных полиморфных вирусов поисковой движок uVS бессилен.
(!) В этом случае рекомендуется сразу же убить все процессы в памяти с помощью функции
(!) Дополнительно->Выгрузить все процессы кроме системных, после чего запустить средствами
(!) uvs лечащую утилиту (Dr.Web CureIt или AVPRT)

02. Скрываем все проверенные файлы, сперва F4 (база sha1 должна быть в каталоге uVS). Скрываем подписанные файлы по F6. Далее просматриваем список подозрительных, если ничего действительно подозрительно там нет то...

03. Если вирус проявляет себя в браузерах, то просматриваем соотв. разделы и чистим их от хлама, если нет то...

04. Открываем раздел "Процессы без видимых окон" Трояны/автораны/вирусы п.н. будут здесь. Помогаем себе кнопкой F1 (управляет скрытием известных файлов) Обращаем внимание на те файлы, что не содержат информацию о версии/производителе и т.п.

05. Так же стоит взглянуть на раздел сетевой активности. (спамботы, прокси, даунлоадеры будут здесь)

06. Складываем копии найденных подозр. файлов в Zoo и отправляем их на VirusTotal.com или аналог, либо ищем там по SHA1 (если нет времени на загрузку и ожидание).

07. Со всех найденных вирусов снимаем сигнатуры, проверяем список автозапуска соотв. кнопкой. Осматриваем список найденных вирусов, если есть ложные срабатывания то удлиняем сигнатуру в списке сигнатур и повторяем проверку. (для DLL рекомендуется указывать длину = 64)

08. Нажимаем "удалить все вирусы" все копии активных вирусов в памяти будут нейтрализованы и затем массово уничтожены, автозапуск очищен, критические ключи реестра будут восстановлены.

(!) НЕ следует выгружать вирусы и удалять их вручную по одному, некоторые вирусы "плохо" относятся к потери одного из своих процессов.

09. Устраняем вред нанесенный вирусом системе с помощью любой из предназначенных для этого утилит. (uvs производит восстановление лишь важных(для запуска Windows) ключей и только тех что испорчены удаленным с помощью uvs вирусом)

10. Опционально стоит провести проверку дисков с использованием снятых сигнатур. Предварительно удаляем мусор из временных каталогов в меню Дополнительно и после сканирования дисков стоит выполнить "Безопасное удаление ссылок на ВСЕ отсутствующие объекты".
« Последнее редактирование: 27 Ноябрь 2011, 01:10:13 от Ruterk »

RUTERK ФОРУМ


Eseniy

  • Гость
Re: Как удалить вирус в оперативной памяти?
« Ответ #1 : 27 Январь 2012, 22:42:54 »
Вот спасибо.Попробую еще проверить компьютер.

Eseniy

  • Гость
Re: Как удалить вирус в оперативной памяти?
« Ответ #2 : 27 Январь 2012, 22:55:23 »
Что такое uvs? Где взять этот движок,чтобы запустить?Я ничего не поняла из скрытого текста.Это относится к ссылке утилитки,которую Вы дали?

Ruterk

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 948
  • Спасибо: +0/-0
    • WWW.RUTERK.COM - Авторский блог и форум
Re: Как удалить вирус в оперативной памяти?
« Ответ #3 : 05 Август 2012, 21:59:19 »
Что такое uvs? Где взять этот движок,чтобы запустить? Я ничего не поняла из скрытого текста. Это относится к ссылке утилитки, которую Вы дали?

1. uvs - это Universal Virus Sniffer - Программа предназначена для облегчения процесса обнаружения и уничтожения неизвестных вирусов, руткитов и буткитов (http://dsrt.dyndns.org/uvs.htm).

2. Скачать: http://dsrt.dyndns.org/uvsfiles.htm

3. Информация из скрытого текста - это пошаговое руководство по обнаружению вирусов и др.

Мудрец

  • Гость
Re: Как удалить вирус в оперативной памяти?
« Ответ #4 : 09 Октябрь 2012, 20:33:55 »
Если самостоятельно удалить вирус из оперативной памяти все-таки не удастся, то лучше обратиться в сервисный центр.
« Последнее редактирование: 10 Октябрь 2012, 19:30:32 от Ruterk »

Рома1709

  • Гость
Re: Как удалить вирус в оперативной памяти?
« Ответ #5 : 29 Ноябрь 2012, 14:56:01 »
Была такая же проблема с НОД32, обнаружил троян в оперативной памяти и категорически отказывался его удалять. Не долго думая запустил копм в безопасном режиме и запустил тот же НОД32. Как оказалось, и позже подтвердилось поиском в интернете информации, сам вирус находился в папке WINDOWS на диске С. Только в моем случае он "заполз" в WINDOWS/system32 и был с разширением .ехе. НОД32 без проблем его нашел и удалил, а оперативная память сама очищается при перезагрузке компа. В последствии вирус был удален. Единственное что не понял, почему он его нашел только в безопасном режиме, а в стандартном нет???

RUTERK ФОРУМ

Re: Как удалить вирус в оперативной памяти?
« Ответ #5 : 29 Ноябрь 2012, 14:56:01 »

 

Жесткий диск сам включается во время простоя (вирус ли?)

Автор Vegeciy

Ответов: 1
Просмотров: 1648
Последний ответ 12 Январь 2016, 12:40:03
от Ruterk