Как удалить вирус в оперативной памяти?

Автор Ruterk, 27 ноября 2011, 01:03:10

« предыдущая - следующая »

0 Пользователей и 1 гость просматривают эту тему.

Ruterk

27 ноября 2011, 01:03:10 Последнее редактирование: 27 ноября 2011, 01:10:13 от Ruterk
Несколько дней назад ко мне на ноутбук попал какой-то вирус или руткит в оперативную память, и все мои попытки извлечь его не приносили успеха. Мой антивирус ESET Smart Security 4 только находил, но удалить или очистить не мог, правда, базы были месячной давности. Поковырявшись в автозагрузке, остановив некоторые службы и удалив ряд процессов, я уже подумал, что победил вирус, да и сканирование антивирусом это подтвердила, но после перезагрузки все повторилось сначала.

Я уже хотел по быстрому переустановить систему, но решил поискать в Интернете решение этой проблемы и вот наткнулся на интересную утилиту Universal Virus Sniffer, которая предназначается для быстрого устранения заражения неизвестными вирусами, руткитами, буткитами.

Автор Дмитрий Кузнецов в распространяемом архиве программы подробно описал необходимые действия по нахождению и удалению неизвестных вирусов и тд. с помощью утилиты.

Авторский сайт и последняя версия утилиты (http://dsrt.dyndns.org/)
Все версии (http://depositfiles.com/folders/A5PK4YRKA)

[spoiler]

Как быстро найти неизвестный вирус

Это упрощенная процедура, которая подходит для основной массы вирусов/троянов/авторанов/ботов.

01. Запускаем uvs, проводим тест на активные файловые вирусы, если они есть убиваем соотв. кнопкой. (предварительно подбираем длину сигнатуры... если например заражен и start.exe и startf.exe то подобрать длину довольно легко, добавляем сигнатуру start.exe и затем в контекстном меню     сигнатуры добавляем startf.exe)
(!) Против серьезных полиморфных вирусов поисковой движок uVS бессилен.
(!) В этом случае рекомендуется сразу же убить все процессы в памяти с помощью функции
(!) Дополнительно->Выгрузить все процессы кроме системных, после чего запустить средствами
(!) uvs лечащую утилиту (Dr.Web CureIt или AVPRT)

02. Скрываем все проверенные файлы, сперва F4 (база sha1 должна быть в каталоге uVS). Скрываем подписанные файлы по F6. Далее просматриваем список подозрительных, если ничего действительно подозрительно там нет то...

03. Если вирус проявляет себя в браузерах, то просматриваем соотв. разделы и чистим их от хлама, если нет то...

04. Открываем раздел "Процессы без видимых окон" Трояны/автораны/вирусы п.н. будут здесь. Помогаем себе кнопкой F1 (управляет скрытием известных файлов) Обращаем внимание на те файлы, что не содержат информацию о версии/производителе и т.п.

05. Так же стоит взглянуть на раздел сетевой активности. (спамботы, прокси, даунлоадеры будут здесь)

06. Складываем копии найденных подозр. файлов в Zoo и отправляем их на VirusTotal.com или аналог, либо ищем там по SHA1 (если нет времени на загрузку и ожидание).

07. Со всех найденных вирусов снимаем сигнатуры, проверяем список автозапуска соотв. кнопкой. Осматриваем список найденных вирусов, если есть ложные срабатывания то удлиняем сигнатуру в списке сигнатур и повторяем проверку. (для DLL рекомендуется указывать длину = 64)

08. Нажимаем "удалить все вирусы" все копии активных вирусов в памяти будут нейтрализованы и затем массово уничтожены, автозапуск очищен, критические ключи реестра будут восстановлены.

(!) НЕ следует выгружать вирусы и удалять их вручную по одному, некоторые вирусы "плохо" относятся к потери одного из своих процессов.

09. Устраняем вред нанесенный вирусом системе с помощью любой из предназначенных для этого утилит. (uvs производит восстановление лишь важных(для запуска Windows) ключей и только тех что испорчены удаленным с помощью uvs вирусом)

10. Опционально стоит провести проверку дисков с использованием снятых сигнатур. Предварительно удаляем мусор из временных каталогов в меню Дополнительно и после сканирования дисков стоит выполнить "Безопасное удаление ссылок на ВСЕ отсутствующие объекты".
[/spoiler]

Ruterk

27 ноября 2011, 01:03:10 Последнее редактирование: 27 ноября 2011, 01:10:13 от Ruterk

Eseniy

Вот спасибо.Попробую еще проверить компьютер.

Eseniy

Что такое uvs? Где взять этот движок,чтобы запустить?Я ничего не поняла из скрытого текста.Это относится к ссылке утилитки,которую Вы дали?

Ruterk

Цитата: Eseniy от 27 января 2012, 22:55:23
Что такое uvs? Где взять этот движок,чтобы запустить? Я ничего не поняла из скрытого текста. Это относится к ссылке утилитки, которую Вы дали?


1. uvs - это Universal Virus Sniffer - Программа предназначена для облегчения процесса обнаружения и уничтожения неизвестных вирусов, руткитов и буткитов (http://dsrt.dyndns.org/uvs.htm).

2. Скачать: http://dsrt.dyndns.org/uvsfiles.htm

3. Информация из скрытого текста - это пошаговое руководство по обнаружению вирусов и др.

Мудрец

09 октября 2012, 20:33:55 #4 Последнее редактирование: 10 октября 2012, 19:30:32 от Ruterk
Если самостоятельно удалить вирус из оперативной памяти все-таки не удастся, то лучше обратиться в сервисный центр.

Рома1709

Была такая же проблема с НОД32, обнаружил троян в оперативной памяти и категорически отказывался его удалять. Не долго думая запустил копм в безопасном режиме и запустил тот же НОД32. Как оказалось, и позже подтвердилось поиском в интернете информации, сам вирус находился в папке WINDOWS на диске С. Только в моем случае он "заполз" в WINDOWS/system32 и был с разширением .ехе. НОД32 без проблем его нашел и удалил, а оперативная память сама очищается при перезагрузке компа. В последствии вирус был удален. Единственное что не понял, почему он его нашел только в безопасном режиме, а в стандартном нет???

Рома1709


Похожие темы (1)