Как вылечить троян в оперативной памяти
Всем привет. Вирус в оперативной памяти, это явление довольно неприятное и к сожалению не редкое.
Кстати чаще всего проявляется в случаях неправильной настройки антивируса или отсутствия оного. Если у вас такая ситуация, то советую вам ознакомится с статьей — настройка и установка антивируса.
Прежде чем, удалить вирус из оперативной памяти, стоит разобраться, что происходит с антивирусной программой, установленной на вашем компьютере. Скорее всего, вашу антивирусную программу, «развалил», появившийся вирус.Может быть и такое, что в сигнатурном арсенале вашей антивирусной программы не имеется алгоритма, для того чтобы полностью стереть вирус из оперативной системы и программа принимает попытки всего лишь удалить вирусное заражение, а не сам вирус.
Довольно часто случаются ситуации, когда вирус заражает дополнительные файлы и программы для своей работы или же автоматически начинает работу, а в это время антивирусная программа распознает эти копии, но не распознает сам исходник (вирус), и как правило не может с ним справиться.
Аналогичный алгоритм заражения операционной системы Windows, применяет Conficker (популярный как Downup, Downadup и Kido) — это червь, от которого пострадало 12.000.000 машин (компьютеров) во всем мире в 2009 году.
Этот червь использовал чувствительность Windows, из интернета скачивался, при этом файлы его расположены в папке system 32 под видом dll библиотеки с рандомным именем. В результате создавались файлы autorun.inf и RECYCLEDназвание папкиназвание файла.vmx.
За счет этого, появлялась возможность «зацепить» вирус через флэшку. Сегодня достаточно много вирусов с аналогичным поведением и далеко не все антивирусные программы, правильно выполняют процесс удаления такого вируса.
Антивирусная программа извещает Вас о том, что обнаружила вирус, ликвидирует его, но в последствии снова его обнаруживает, опять ликвидирует, в итоге действия становятся систематическими и избавиться от него не получиться.
Удаление вируса из оперативной памяти
1) Правильно удаляем (при помощи деинсталлятора — установка/удаление программ) установленную антивирусную программу, она здесь ни к чему.
2) Скачиваем из интернета Ccleaner и устанавливаем ее. Начинаем работу, для начала очищаем папки temp. Это программное обеспечение подходит обычным пользователям, поэтому можно ставить все флажки в настройках- пользовательскую информацию она не сотрет! Подробней о программе я писал в статье — чистка реестра.
3) Далее нам на помощь понадобится утилита для очистки вирусов. О них я писал в статье — бесплатные утилиты для удаления вирусов. Выбираем любую. Например скачиваем из интернета программу Dr.web Cure it и устанавливаем ее.
Ставим обновление, запускаем одно из двух сканирований(быстрое или полное). Быстрое сканирование дает в принципе эффективный результат. Все вирусы, которые были обнаружены — удаляем. Перезагружаем компьютер.
4) Скачиваем новый антивирус. Важно! Если до проблемы, у Вас был установлена антивирусная Eset NOD32 antivirus, то тогда, ставим Avast или Avira, если был установлен Avast ставим Eset, или любую другую программу антивируса на ваш вкус.
Объяснить такие действия довольно просто, антивирусная программа, которая у Вас была скорее всего, была повреждёна, данные в реестре могли остаться, а это что вызовет неточную работу антивирусной программы, тем более, что именно эта антивирусная программа не обнаружила угрозу из интернета на вашем компьютере.
Таким образом вы сможете удалить вирус из оперативной памяти и обновить защиту компьютера для возможных следующих атак. Удачи вам ????
Эксперт: Александр
Источник
Dimon
Профи
(972)
8 лет назад
Восстановление windows(при этом все файлы сохраняются) Пуск — Все программы– служебные—ВОССТАНОВЛЕНИЕ СИСТЕМЫ!! ! Так же советую попробовать программу ccleaner!
immortal
Просветленный
(38695)
8 лет назад
Ну здесь можно придумать только одно: вынуть винчестер из компа, пойти к знакомым, у которых на компе такая же система как у вас, подключить винчестер и заменить файл explorer.exe в папке windows на файл с их компа. А потом сразу же после включения своего компа запустить антивирусную проверку.
Хоттабыч…
Просветленный
(43725)
8 лет назад
Я пользуюсь этим – Malwarebytes’ Anti-Malware – новая версия программы от создателей RogueRemover Pro, AboutBuster и других популярных утилит, способная находить и удалять разнообразные вредоносные программы. Программой используется эвристический метод сканирования, позволяющий в реальном времени контролировать безопасность всей системы. Также имеется возможность полного сканирования всех дисков. Помимо этого, в состав данной программы входят дополнительные утилиты, предназначенные для удаления вредоносных программ вручную. Обладает понятным пользовательским интерфейсом с многоязычной поддержкой, включая поддержку русского языка. (проверено !)
Хоттабыч…Просветленный (43725)
8 лет назад
Установить , от сканировать систему , удалить вирус . Оставить в пару к NOD32 , с антивирусными программами не конфликтует .
Ivan S
Мыслитель
(7033)
8 лет назад
Вирусы не сохраняются в оперативной памяти. Перезагрузка, память очищается. Зря вы написали “не говорите”. Это все знают. Он там не сидит, а загружается при запуске с жесткого диска. Рекомендую воспользоваться антивирусом касперского на DVD. Он работает независимо от виндовс. Запустите из BIOS,и все проблемы решатся за 5 минут. Первый пост дал вам ссылку. Качайте.
Petr T
Мыслитель
(5870)
8 лет назад
качай Emsisoft Anti-Malware – мощный бесплатный сканнер – лучшее средство для чистки компа, если еще купишь лицуху получишь мощнейший антивирус, немецкое качество однако))
Ivan SМыслитель (7033)
8 лет назад
Он половину нашего крякнутого софта удаляет,даже не советуясь. Немецкая тупость,однако!!)))
Александр Смирнов
Искусственный Интеллект
(112871)
8 лет назад
Dr.Web LiveCD – диск скорой антивирусной помощи, который позволяет восстановить работоспособность системы, пораженной действиями вирусов, на рабочих станциях и серверах под управлением WindowsUnix. В случае, когда невозможно произвести загрузку компьютера с жесткого диска, Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и подозрительных файлов, но и попытается вылечить зараженные объекты.
Dr.Web® LiveCD
Dr.Web LiveUSB (Portable) – позволяет провести аварийное восстановление операционной системы с помощью загрузочного USB-накопителя.
Для записи загрузочной флешки достаточно подключить USB-устройство к компьютеру и запустить Dr.Web LiveUSB — приложение само определит доступные носители и предложит выбрать нужный. Дальнейшее создание диска аварийного восстановления полностью автоматизировано.
Программа Dr.Web LiveUSB предназначена для работы на компьютерах под управлением ОС Windows (32- и 64-битные версии) .
Dr.Web® LiveUSB
Kaspersky Rescue Disk – загрузочный диск, позволяющий восстановить систему и находящие на жестком диске данные после вирусной атаки. Позволяет обнаружить и удалить абсолютно любые вирусы, включая такие, которые не позволяют дойти до загрузки Windows. Построен на базе Gentoo Linux и Антивируса Касперского.
Kaspersky Rescue Disk 10
LiveCD ESET NOD32 – загрузочный диск, при помощи которого Вы сможете быстро запустить компьютер и восстановить работоспособность выведенной из строя операционной системы.
Кроме того, LiveCD ESET NOD32 позволит гарантированно удалить вирусы, потенциально опасные файлы и сложное вредоносное ПО, которое не удалось обезвредить в обычном режиме работы.
LiveCD ESET NOD32
Дубровский
Знаток
(314)
1 год назад
Скачиваем из интернета Ccleaner и устанавливаем ее. Начинаем работу, для начала очищаем папки temp. Это программное обеспечение подходит обычным пользователям, поэтому можно ставить все флажки в настройках- пользовательскую информацию она не сотрет!
Далее нам на помощь понадобится утилита для очистки вирусов.
Kaspersky Virus Removal Tool или Dr. Web Curei.
Выбираем любую. Например скачиваем из интернета программу Dr.web Cure it и устанавливаем ее.
Ставим обновление, запускаем одно из двух сканирований (быстрое или полное). Быстрое сканирование дает в принципе эффективный результат. Все вирусы, которые были обнаружены — удаляем. Перезагружаем компьютер.
Правильно удаляем (при помощи деинсталлятора — установка/удаление программ) установленную антивирусную программу.
Скачиваем новый антивирус. Важно! Если до проблемы, у Вас был установлена антивирусная Eset NOD32 antivirus, то тогда, ставим Avast или Avira, если был установлен Avast ставим Eset, или любую другую программу антивируса на ваш вкус. Объяснить такие действия довольно просто, антивирусная программа, которая у Вас была скорее всего, была повреждёна, данные в реестре могли остаться, а это что вызовет неточную работу антивирусной программы, тем более, что именно эта антивирусная программа не обнаружила угрозу из интернета на вашем компьютере. Таким образом вы сможете удалить вирус из оперативной памяти и обновить защиту компьютера для возможных следующих атак.
Источник
24.10.2019, 08:52
#1
Junior Member
Вес репутации
5
Помогите удалить вирус троян из системной памяти
Не могу избавиться от трояна в системной памяти (Результат: Обнаружено: PDM:Exploit.Win32.Generic,Объект:c:windowssystem 32lsass.exe) касперский находит лечит через некоторое время вирус появляется снова. В папке Program Data появляются файлы temp5.exe и temp6.exe каспер их лечит далее через неопределенное время вирус появляется снова.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
24.10.2019, 08:55
#2
Уважаемый(ая) Argun, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если наш сайт окажется полезен Вам и у Вас будет такая возможность – пожалуйста поддержите проект.
25.10.2019, 06:43
#3
Что за программа – Плагин_Фиксации_действий_пользователя – имеете представление?
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:SecurityCheckSecurityCheck.txt.Приложите этот файл к своему следующему сообщению.
25.10.2019, 08:26
#4
Junior Member
Вес репутации
5
Во вложении файлы
Программа Плагин_Фиксации_действий_пользователя установлена с сайта Росказна при настройки рабочего места ЕИС Госзакупки. Для чего она нужна я не знаю нужно ее удалить.
Во вложении все файлы что вы просили!
25.10.2019, 19:54
#5
Через уязвимости долбят, скорее всего, и это означает, что источник заражения – другой/другие компьютеры в локальной сети.Устанавливайте, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.
Это стоит обновить:
——————————– [ Java ] ———————————
Java 8 Update 181 (64-bit) v.8.0.1810.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u231-windows-x64.exe)^
————————— [ AdobeProduction ] —————————
Adobe Reader XI (11.0.06) – Russian v.11.0.06 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
——————————- [ Browser ] ——————————-
Yandex v.19.9.3.314 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно – О браузере Yandex!^Архиваторы тоже используются в нехороших целях:
Дыра в WinRAR более 19 лет угрожала 500 миллионам пользователей.По логам чисто.
28.10.2019, 04:43
#6
Junior Member
Вес репутации
5
Спасибо за помощь! Сделал все как вы написали, на данный момент вируса нет буду наблюдать!
Источник
Привет, GT! Зоопарк всевозможных вирусов растет с каждым годом, благо фантазии их создателям не занимать. Конечно, с рядом самых распространенных зловредов успешно справляются антивирусы, притом даже бесплатные их версии или же встроенные в саму ОС. С популярными шифровальщиками тоже худо-бедно бороться научились (на сайтах известных антивирусных компаний есть раздел с услугами по расшифровке или генерации кода, если вам известен кошелек или email, на который авторы зловреда просят перевести средства).
Обычные вирусы оставляют следы на зараженной машине — какие-нибудь подозрительные исполняемые файлы, файлы библиотек или просто огрызки зловредного кода, которые в состоянии обнаружить антивирус или же правильный админ. Нахождение и выявление таких следов помогают идентифицировать вирус, а значит – удалить его и минимизировать последствия.
Но противостояние меча и щита — штука вечная, и компьютерные зловреды не ограничиваются только теми, что оставляют какие-то следы на накопителях. Ведь если вирус размещается и действует только внутри оперативной памяти, не соприкасаясь с жестким диском или SSD, значит, следов на них он тоже не оставит.
В 2014 году был ряд новостей о так называемых RAM malware, но тогда это относилось к довольно узкой группе поражаемых устройств — к платежным терминалам.
Данные транзакций считаются защищенными, так как хранятся в зашифрованном виде на серверах платежных систем. Но существует очень короткий период времени, в течение которого информация для авторизации платежа хранится в виде plain text. Причем хранится именно в оперативной памяти платежного терминала.
Само собой, хакерам этот кусок показался слишком лакомым, чтобы просто так пройти мимо него, и на свет появились зловреды, собирающие информацию из RAM POS-терминалов — номера карт, адреса, коды безопасности и имена пользователей.
А затем кто-то решил пойти дальше, вспомнив, что у компьютеров тоже есть оперативная память.
RAM-only
Февраль 2017 года, компания «Лаборатория Касперского» выпускает материал о том, что подобный зловред поразил компьютеры в телекоммуникационных компаниях, банках и правительственных учреждениях в 40 странах.
Как проходит заражение машины в таком случае:
- зловред прописывает себя непосредственно в оперативную память, минуя жесткие диски
- из-за этого при проверке безопасности его не получается обнаружить
- для прописывания зловреда в память злоумышленники использовали популярные средства администрирования — PowerShell, Mimikatz, Metasploit
- для передачи данных использовались сайты, созданные на национальных доменах таких стран как Габон, Центральноафриканская Республика и Мали. Их домены характерны тем, что они не сохраняют WHOIS-информацию о том, кому принадлежал конкретный домен, после истечения срока его продления. То есть еще минус одна возможность как-то отследить злоумышленника.
Киберпреступники успевали собрать данные о логинах и паролях системных администраторов, что позволяло в будущем администрировать зараженный хост. И понятно, что при такой возможности управления зараженным компьютером, можно наделать много не самых законных действий, но главное направление таких атак — это «дойка» банкоматов.
Найти такие вирусы трудно, потому что в привычном виде они на самом деле не оставляют следов. Нет каких-то установленных приложений. Нет отдельных файлов, раскиданных в разных папках, включая системные или скрытые.
Но где-то же они оставляют следы?
Само собой, если вирус не оставляет следов на накопителях, на них нет и особого смысла искать. И что тогда? Правильно — реестр, дампы памяти и сетевая активность. Надо же ему как-то прописать себя в память (причем так, чтобы сохранять работоспособность и после перезагрузки машины), а затем как-то передавать данные на сервер злоумышленника.
Специалисты “Лаборатории Касперского” тщательно проанализировали дампы памяти и записи реестра с машин, подвергшихся заражению, и с помощью Mimikatz и Meterpreter смогли реконструировать атаку.
Фрагмент кода, загруженного с помощью Meterpreter с сайта adobeupdates.sytes[.]net
Скрипт, сгенерированный фреймворком Metasploit.
Выделяет необходимое количество памяти, использует WinAPI и загружает утилиту Meterpreter прямо в оперативную память.
Стоит ли опасаться подобного
С одной стороны – безусловно да. Вирус, каким бы он ни был, направлен не на то, чтобы сделать вашу работу за компьютером более комфортной.
С другой стороны, не так сильно (пока не так сильно), как обычных вирусов и тех же шифровальщиков. Хотя бы потому, что на данный момент главная цель подобных атак — финансовые учреждения, а не обычные пользователи.
Но кто знает, как часто таких зловредов будут создавать и использовать уже в ближайшее время.
Напоминаем, что весна — отличный повод обновляться не только листочкам на деревьях, но и системным блокам у вас под столом. Специально для этого у Kingston действуют акции в магазинах-партнерах. Например, в сети DNS до 15 апреля можно со скидкой купить оперативную память Kingston SO-DIMM, подробности — здесь. В Юлмарте до 18 апреля проходит акция и действуют специальные цены на модули памяти Kingston и HyperX для компьютеров и ноутбуков по промокоду KINGMEM. А в магазинах Ситилинк до 7 апреля скидки распространяются сразу на несколько видов оперативки, и там также важно не забывать вводить промокод — DDR3HX. Так что есть смысл поспешить за новой памятью и выгодно обновиться.
Для получения дополнительной информации о продукции Kingston и HyperX обращайтесь на официальный сайт компании.
Источник