Заражение оперативной памяти.

Антивирусы и другие программы, обеспечивающие защиту компьютеров от проникновения вредоносного содержимого (вирусы, трояны и т.п.).
Иные способы борьбы с "непрошеными гостями".
Меры борьбы со спамом и атаками на компьютеры и сайты.
Помощь в обнаружении вредоносов и очистке системы.

Модератор: McFlooder

Аватара пользователя
MBell
Директор школы
Сообщения: 12991
Зарегистрирован: Вс апр 01, 2007 2:19 pm
Откуда: Israel
Контактная информация:

Заражение оперативной памяти.

Сообщение MBell » Чт окт 13, 2011 8:03 pm

Собственно, сабж.
У человека выходит сообщение, что оперативная память заражена.
Очистка невозможна.
Все остальное на скрине.

Изображение

Еще было сообщение такого же рода но с именем трояна спаммер .....
И тоже вроде бы в оперативке.
Все остальное привычная дрянь с манки.биз. Уже и внимания никто не обращает.
Но что в этом случае делать? С оперативкой?

P.S.
Это я начинаю постить в форум поступающие ко мне вопросы.

Аватара пользователя
komar
Преподаватель
Сообщения: 1907
Зарегистрирован: Вс апр 06, 2008 10:47 pm
Откуда: Украина/Севастополь
Контактная информация:

Re: Заражение оперативной памяти.

Сообщение komar » Чт окт 13, 2011 11:02 pm

Бред какой-то? оперативная память не может хранить данные они в ней находятся временно... поэтому надо сам вирус искать на винте.
PS: В топку NOD! Последние три компа кому переставлял систему были пользователи именно Nod и это им не помешало поймать порноинформеры! Совпадение? Думаю закономерность... Каспер - рулит :)
Изображение

siagma
Специалист
Сообщения: 694
Зарегистрирован: Пн июл 23, 2007 12:13 am

Re: Заражение оперативной памяти.

Сообщение siagma » Чт окт 13, 2011 11:44 pm

поэтому надо сам вирус искать на винте.
Конечно же. NOD32 вначале проверяет оперативную память, поэтому и идут такие сообщения. В скрине прописаны пути вирусов, можно их там и почистить, но загрузиться лучше с чего-нибудь типа DrWeb LiveCD.
От порноинформеров Каспер может и не спасти. Как их убрать, мы, вроде бы, уже обсуждали.

Аватара пользователя
MBell
Директор школы
Сообщения: 12991
Зарегистрирован: Вс апр 01, 2007 2:19 pm
Откуда: Israel
Контактная информация:

Re: Заражение оперативной памяти.

Сообщение MBell » Пт окт 14, 2011 3:16 am

komar писал(а):Бред какой-то? оперативная память не может хранить данные они в ней находятся временно... поэтому надо сам вирус искать на винте.
PS: В топку NOD! Последние три компа кому переставлял систему были пользователи именно Nod и это им не помешало поймать порноинформеры! Совпадение? Думаю закономерность... Каспер - рулит :)
Могу с уверенностью утверждать. Порноинфоремер и касперский не ловит. По крайней мере НЕ ЛОВИЛ. Читай соответствующую тему.
И все эти мерзкие заставки с лжеантивирусами и винлоками тоже недавно научились (вроде бы...) ловить. А раньше пропускали..
siagma писал(а): От порноинформеров Каспер может и не спасти. Как их убрать, мы, вроде бы, уже обсуждали.
Вот именно! И в лабкаперского на наш форум ссылались, кстати.
В вирус инфо все эти заставки лечили каждому персонально написанными скриптами при помощи AVZ.
А я их всем чистила обычной "маловарой". :P
Конечно же. NOD32 вначале проверяет оперативную память, поэтому и идут такие сообщения. В скрине прописаны пути вирусов, можно их там и почистить, но загрузиться лучше с чего-нибудь типа DrWeb LiveCD.
Спасибо.... так и сделаем. :D

P.S.
siagma
Вопрос, как к специалисту.
Разбивка по тематике этой части форума выполнена корректно или есть замечания и предложения? В том числе и по кратким описаниям тем.
Буду рада услышать....
А то наш модератор сейчас редко бывает и пришлось самой делать.
Планировалось то с ним это делать, давно...
Но у человека теперь такая работа. Мотается по командировкам.
А я....
Сами понимаете - не спец!

И P.P.S.
Комару.
Что из-за порноинформера систему переставлять?
Много чести!

Аватара пользователя
vladislav
Специалист
Сообщения: 622
Зарегистрирован: Вт сен 30, 2008 5:22 pm
Откуда: Новосибирская область

Re: Заражение оперативной памяти.

Сообщение vladislav » Пт окт 14, 2011 1:22 pm

Я заметил, что в последнее время DrWeb LiveCD хорошо справляется с обезвреживанием порноинформеров. Каспер их пропускает без проблем. А у меня дома вообще бесплатный Avast стоит - и ничего, справляется :D
PS Но вот проверяет доктор НУ ОЧЕНЬ ДОЛГО, учитывая размеры современных дисков. Поэтому обычно сразу отмечаю для проверки только такие папки, как windows/system32, документы и т.п. Ну а если через имеющийся антивирус или др.программы удалось путь к вирусу вычислить, тогда просто удаляем его вручную, загрузившись с LiveCD, потом обновляем или восстанавливаем, если необходимо, антивирус - и часто это уже всё!

Аватара пользователя
komar
Преподаватель
Сообщения: 1907
Зарегистрирован: Вс апр 06, 2008 10:47 pm
Откуда: Украина/Севастополь
Контактная информация:

Re: Заражение оперативной памяти.

Сообщение komar » Пт окт 14, 2011 2:40 pm

siagma писал(а): От порноинформеров Каспер может и не спасти. Как их убрать, мы, вроде бы, уже обсуждали.
Перед тем как ехать к человеку удалять эту дрянь, проштдировал наш форум и форум Dr.Web - происде у человека два с половиной часа, проверил все пути в реестре, которые советовали и ничего, все нормально, грузился с AlkidLiveCD свежем, оттуда же запускал антивирусы и НИЧЕГО! Пришлось переставлять систему...
Могу с уверенностью утверждать. Порноинфоремер и касперский не ловит. По крайней мере НЕ ЛОВИЛ. Читай соответствующую тему.
А ты пользовалась Касперским сама? Вроде как нет... Так вот при любой попытке изменения в системе, да даже при установке обычной программы он спрашиваает можно или нельзя еес тавить или вносить изменение в реестр, так вот если грамотно эту функцию юзать то никто к вам не залетит. Хотя и в презерватив не дает 100% защиту, так же как и любой антивирус.

PS: Sorry за флуд.
Изображение

Аватара пользователя
MBell
Директор школы
Сообщения: 12991
Зарегистрирован: Вс апр 01, 2007 2:19 pm
Откуда: Israel
Контактная информация:

Re: Заражение оперативной памяти.

Сообщение MBell » Пт окт 14, 2011 4:21 pm

komar писал(а):
siagma писал(а): От порноинформеров Каспер может и не спасти. Как их убрать, мы, вроде бы, уже обсуждали.
Перед тем как ехать к человеку удалять эту дрянь, проштдировал наш форум и форум Dr.Web - происде у человека два с половиной часа, проверил все пути в реестре, которые советовали и ничего, все нормально, грузился с AlkidLiveCD свежем, оттуда же запускал антивирусы и НИЧЕГО! Пришлось переставлять систему...
Могу с уверенностью утверждать. Порноинфоремер и касперский не ловит. По крайней мере НЕ ЛОВИЛ. Читай соответствующую тему.
А ты пользовалась Касперским сама? Вроде как нет... Так вот при любой попытке изменения в системе, да даже при установке обычной программы он спрашиваает можно или нельзя еес тавить или вносить изменение в реестр, так вот если грамотно эту функцию юзать то никто к вам не залетит. Хотя и в презерватив не дает 100% защиту, так же как и любой антивирус.

PS: Sorry за флуд.
Проштудировал, говоришь?
Перечитай, плиз:
viewtopic.php?f=65&t=1254
viewtopic.php?f=65&t=1307
И особенно этот мой пост:
viewtopic.php?p=17014#p17014
Интересно, что хваленый касперский ее пропустил, как "слабую угрозу" и тут же был ею парализован начисто
Это было как раз в тот период, когда я перевела все семейные компы на касперского.
Ты разве не помнишь этого?
Правда, дочка не пользовалась ни но-скриптом ни чем-то еще иным.
Скажи, вот эта скромненькая програмулина malwarebytes у тебя в арсенале имеется?
Она уже тогда всю эту дрянь вычищала.

К слову, там же в темах, как с этими угрозами справлялись у касперского....
Пошла же искать SecurityCenter и нашла таки там в архиве. http://forum.kaspersky.com/index.php?s= ... =82080&hl=
Одного не пойму, почему и там и на вирус инфо эту заразу лечат только индивидуально написанными скриптами по предъявлению логов и т.д.
Теперь уже и на вирус инфо malwarebytes рекомендуют.

А теперь по делу.
Ну а если через имеющийся антивирус или др.программы удалось путь к вирусу вычислить, тогда просто удаляем его вручную,
В скрине прописаны пути вирусов, можно их там и почистить, но загрузиться лучше с чего-нибудь типа DrWeb LiveCD.
Вот как раз на скрине путь и не указан.
Есть только что обнаружена данная угроза модулем сканирования файлов при запуске системы и указано имя файла - оперативная память. Там где пишется обычно имя файла или его урл...... В столбце "информация" - пусто.
В системе нигде вроде файла с именем win32/wigon не обнаружено.
Предложила просканировать комп выборочно... не затрагивая оперативку. Может и покажет где оно реально сидит. В самом деле, не в пластинке памяти же оно!
И не сама же память является этим модифицированным Wigon -ом?

siagma
Специалист
Сообщения: 694
Зарегистрирован: Пн июл 23, 2007 12:13 am

Re: Заражение оперативной памяти.

Сообщение siagma » Сб окт 15, 2011 12:25 am

Разбивка по тематике этой части форума выполнена корректно или есть замечания и предложения?
Мне сразу понравилось. Намного лучше, чем раньше было, да и ориентироваться легче.
Вот как раз на скрине путь и не указан.
Я начал бы шерстить реестр, ну, и конечно, можно воспользоваться утилитами AVZ - такими,как менеджер автозапуска и диспетчер процессов. Но, вообще говоря, общие советы тут давать трудно. Иногда помогает откат системы на более раннюю контрольную точку, но если стоит Каспер, то он не даст это сделать. Копии реестра, соответствующие контрольным точкам, лежат в папке System Volume Information, которую можно открыть в любом LiveCD, так что откат можно сделать вручную.
Не знаю, в тему или нет, но последний раз был такой простой фокус - изменена стартовая страница в Internet Explorer, и вместо Яндекса у шефа играла музыка из мультфильма про Чебурашку. Лечилось просто - Панель управления->Свойства Обозревателя, изменить стартовую страницу. Я еще раз просмотрел скрин - там везде маячит некий сайт monkeybiz. С него и летит всякая гадость. А там, где прописаны пути (типа C:\Windows\TEMP и другие), должно быть все ясно.

Аватара пользователя
MBell
Директор школы
Сообщения: 12991
Зарегистрирован: Вс апр 01, 2007 2:19 pm
Откуда: Israel
Контактная информация:

Re: Заражение оперативной памяти.

Сообщение MBell » Сб окт 15, 2011 4:00 am

siagma писал(а): Мне сразу понравилось. Намного лучше, чем раньше было, да и ориентироваться легче.
Спасибо!
То есть каких то замечаний нет?
Я начал бы шерстить реестр,
Надо, но определиться бы, где и что искать.
ну, и конечно, можно воспользоваться утилитами AVZ - такими,как менеджер автозапуска и диспетчер процессов.
Прогоняли только общее сканирование. Протокол, кажется есть.
Иногда помогает откат системы на более раннюю контрольную точку, но если стоит Каспер, то он не даст это сделать.
Стоит НОД32. (см. скрин)
Это комар про каспер заговорил.
Пошел оффтоп.
Женская натура.. Должна ответить... :oops:
И другие с удовольствием поддержали. Тема заводная... :)

Копии реестра, соответствующие контрольным точкам, лежат в папке System Volume Information, которую можно открыть в любом LiveCD, так что откат можно сделать вручную.
Что может дать откат системы? Она работает. Работает вроде нормально. Все беспокойство из-за этого дурацкого предупреждения, что заражена память или она сама является вирусом.... Появляется, как я писала только в момент загрузки системы.
Не знаю, в тему или нет, но последний раз был такой простой фокус - изменена стартовая страница в Internet Explorer, и вместо Яндекса у шефа играла музыка из мультфильма про Чебурашку. Лечилось просто - Панель управления->Свойства Обозревателя, изменить стартовую страницу.

Абсолютно похожая ситуация тоже была. Не помню на чьем компе. Не Чебурашка, так кто то иной пел... :D
Вылечили тоже примерно тем же образом.
Кажется тут об этом было.
Но это точно не о том...
Я еще раз просмотрел скрин - там везде маячит некий сайт monkeybiz. С него и летит всякая гадость. А там, где прописаны пути (типа C:\Windows\TEMP и другие), должно быть все ясно.
Поясню. Этот манкибиз сайтик -спонсор PTR/PTP с безалаберным админом.
Странички его давно затроянены, об этом давно всем известно. Сигнализировать уже надоело. И у нас на форуме об этом есть и я писала на GFO и там же админ уже втык получал не раз.
Оно мешает этим, конечно, но ВСЕМ нашим ребятам, кто работает в РТР. А поделать что? Но.. мешают эти сообщения, а не сам сайт... с этим неизменным троянчиком в двух-трех страничках - аффилиатках.
Нод ловит, другие антивирусы вроде тоже. И ладно.
Чистить ТЕМР и прочие папки бесполезно... Тут же налетят новые.
Кстати, в последнее время ужас что творится..... Не только с обезьянкой.... Нашествие всякой дряни. Из страниц сторонних рекламодателей. Такого давно не было.
Сделаю может скрин своего журнала - впечатляет...
Тему завели VIRUS ALERT - Осторожно, вирусы и трояны в рекламе РТР! - постить в нее времени нет. Но про обезьянку там есть. Еще в августе писали. Достала.
Но на мой сигнал на GFO http://www.globalfriendsonline.com/inde ... 429.0.html так никто и не ответил. Странно даже.

Однако, увязать эти вещи сложно.
Кроме этого случая сообщений о поражении памяти ни от кого не поступало.
А работают много народу в системе. Всем поневоле эти странички "просматривать" приходится.
В общем придется порыться еще.

Аватара пользователя
MBell
Директор школы
Сообщения: 12991
Зарегистрирован: Вс апр 01, 2007 2:19 pm
Откуда: Israel
Контактная информация:

Re: Заражение оперативной памяти.

Сообщение MBell » Вс окт 16, 2011 1:39 am

siagma! Спасибо!
Докладываю.
Dr. Web.Curelt помог.
Но сидела я там более 7-ми часов. Ох уж долго он сканирует.
Правда при первом быстром сканировании он сразу нашел
Eeq50.sys;C:\WINDOWS\system32\drivers;Trojan.PWS.Ibank.339;Deleted.;, но уж если чистить, так чистить.
Найденное при повторном, полном сканировании было пакетом кодеков (признан Адаваром) и прочей ерундой. После перезагрузки нод уже молчал про заражение памяти, значит, все ОК.
LiveCD уже не понадобился. Зато скачала его USB вариант. Пригодится!

Не давало же покоя, что это вообще и как это - вирус или троян в памяти...Тем более, что при раздельном сканировании (до чистки) Нод в протоколе писал, что просканированы 400+ файлов этой самой памяти. Вопрос, где же эти файлы искать и имеются ли они в реестре, так и остался для меня открытым.
Но зато хоть, как всегда, задним числом, нашла
http://stfw.ru/page.php?id=8965 И поняла (поверхностно, только суть), что имеется ввиду под заражением памяти.
Тоже пригодится...
так что буду считать что эти часы убиты не напрасно... :D
Ну, а выяснение, какой антивирь что лучше ловит, оставим для другой темы.

Да, опять в процессе поиска наткнулась на подобный моему вопрос на
http://www.avsoft.ru/forum/read.php?FID=31&TID=889 и вместо ответа очередную ссылку на инструкции http://avsoft.ru/forum/read.php?FID=31&TID=103 (по сути те же что в вирус инфо и туда же ведущие).
Может я и дилетантка, но считаю такой ответ, мягко говоря, не самым лучшим для человека, ищущего скорой помощи.
"скачайте, почистите, отключите, подключите, удалите, запустите, загрузите, сделайте логи, заархивируйте, откройте тему, закачайте файлы, получите скрипт исполните его ." - это кратко и не все....
Так человек, скорее всего, сам методом тыка сделает что-то или систему переставит.
Я когда то все это скачала по их рекомендациям, но пошла своим более легким путем. Может и не таким идеально правильным.
Думаю, так же поступает большинство.
Извините, повторяюсь, уже об этом писала.... :oops:


P.S.
О "прочей ерунде" тоже странно. Она якобы сидела в D:\System Volume Information\_restore{***) , папке, которой на этом диске вовсе не могло и быть. Там чисто архив фильмов, прог ит.д.

Ответить