Страница 2 из 2

Re: Заражение оперативной памяти.

Добавлено: Вс окт 16, 2011 2:53 am
siagma
Вопрос, где же эти файлы искать и имеются ли они в реестре, так и остался для меня открытым.
Все, что есть в Windows, так или иначе прописано в реестре. Было такое, что ручной откат на более раннюю точку восстановления сразу решил почти все проблемы с вирусами.
Если известно имя подозрительного файла, то захожу в regedit из системы или даже с LiveCD и даю поиск (Ctrl-F) по этому имени. Если решаю что удалить, то делаю предварительно экспорт этой ветки реестра в reg-файл. Всегда стараюсь обеспечить себе путь к отступлению, поскольку был когда-то запуган страшилками про реестр :D . Но, в общем-то, ничего страшного, было только раз удалил что-то лишнее в ветке userinit, после чего ОС перестала грузиться. Так загрузился с LiveCD и вернул все на место.
Папка System Volume Information была когда-то (еще на Windows Millenium) любимым местом пребывания вирусов, при выборочной чистке DrWeb CureIt стараюсь захватить эту папку.

Re: Заражение оперативной памяти.

Добавлено: Вс окт 16, 2011 3:35 am
MBell
siagma писал(а):
Вопрос, где же эти файлы искать и имеются ли они в реестре, так и остался для меня открытым.
Все, что есть в Windows, так или иначе прописано в реестре. Было такое, что ручной откат на более раннюю точку восстановления сразу решил почти все проблемы с вирусами.
Если известно имя подозрительного файла, то захожу в regedit из системы или даже с LiveCD и даю поиск (Ctrl-F) по этому имени. Если решаю что удалить, то делаю предварительно экспорт этой ветки реестра в reg-файл. Всегда стараюсь обеспечить себе путь к отступлению, поскольку был когда-то запуган страшилками про реестр :D . Но, в общем-то, ничего страшного, было только раз удалил что-то лишнее в ветке userinit, после чего ОС перестала грузиться. Так загрузился с LiveCD и вернул все на место.
Папка System Volume Information была когда-то (еще на Windows Millenium) любимым местом пребывания вирусов, при выборочной чистке DrWeb CureIt стараюсь захватить эту папку.
Именно так я и поступаю с реестром. Файла с таким именем ни в одной ветке обнаружено не было.
Пути к этому файлу тоже не было.
Я и сейчас не уверена, что причиной проблем был файлик Eeq50.sys; находящийся в папке драйверов C:\WINDOWS\system32\drivers; и определенный как Trojan.PWS.Ibank.339;
Так как его имя по нодовской классификации было модифицированный Trojan.win32/wigon
Искать в таблицах вирусов соответствия не стала.
Он удален, нод молчит и ладно. А может это вообще был невинный драйвер?
Как знать! :crazy:

Откат можно делать, но ведь человека волновало, как и того парня по ссылке, что я дала, само выражение "память заражена!" Он даже хотел вытаскивать пластинки памяти по очереди в поисках зараженной...
:twisted:
О System Volume Information я указала, что как ни странно, файлы с такими именами якобы были на диске D. На самом же деле такой папки на этом диске НЕ БЫЛО!

siagma
Я знаю, что я всегда пишу очень длинно и все это вычитывать нудно. Но я при этом стараюсь предельно четко изложить ситуацию, включая самые мелкие подробности и детали.
Пардон.
:oops:

Re: Заражение оперативной памяти.

Добавлено: Вс окт 16, 2011 3:38 am
vladislav
MBell писал(а):siagma...
P.S.
О "прочей ерунде" тоже странно. Она якобы сидела в D:\System Volume Information\_restore{***) , папке, которой на этом диске вовсе не могло и быть. Там чисто архив фильмов, прог ит.д.
Windows на всех дисках такие папки создаёт.

Re: Заражение оперативной памяти.

Добавлено: Вс окт 16, 2011 3:42 am
MBell
vladislav писал(а):
MBell писал(а):siagma...
P.S.
О "прочей ерунде" тоже странно. Она якобы сидела в D:\System Volume Information\_restore{***) , папке, которой на этом диске вовсе не могло и быть. Там чисто архив фильмов, прог ит.д.
Windows на всех дисках такие папки создаёт.
По идее, да. Но ТАМ ее не было. Ручаюсь....
Я видно немного не так выразилась. "Не могло и быть" - ее просто не было.
Если честно, то было лень писать. Меня этот момент сбил, как говорят на (в) Украине с пантелыку.

Re: Заражение оперативной памяти.

Добавлено: Вс окт 16, 2011 5:17 am
siagma
что причиной проблем был файлик Eeq50.sys
Я еще смотрю в конец подозрительных файлов просто в текстовом режиме. У нормальных файлов там всегда прописаны имя фирмы-создателя и иногда сайт. К примеру, файл afd.sys из \system32/drivers\:
C o m p a n y N a m e M i c r o s o f t C o r p o r a t i o n F i l e D e s c r i p t i o n A n c i l l a r y F u n c t i o n D r i v e r f o r W i n S o c k b F i l e V e r s i o n 5 . 1 . 2 6 0 0 . 5 5 1 2 ( x p s p . 0 8 0 4 1 3 - 0 8 5 2 ) 0 I n t e r n a l N a m e a f d . s y s L e g a l C o p y r i g h t © M i c r o s o f t C o r p o r a t i o n . A l l r i g h t s r e s e r v e d . O r i g i n a l F i l e n a m e a f d . s y s j P r o d u c t N a m e M i c r o s o f t ® W i n d o w s ® O p e r a t i n g S y s t e m P r o d u c t V e r s i o n 5 . 1 . 2 6 0 0 . 5 5 1 2 D V a r F i l e I n f o T r a n s l a t i o n
У вирусных файлов, как правило, такой информации нет.
Можно еще дать поиск по имени файла, но вот для этого Eeq50.sys никакой информации не нашлось. Если это и драйвер, то не системный или мало известный (иначе инфа есть всегда). Я поступаю так: создаю в той же директории папку с любым именем и переношу туда подозрительный файл. Если возникнут проблемы, всегда можно вернуть его обратно, если нет - снести файл. Системные файлы при их переносе или удалении ОС восстанавливает сама. Но если уж антивирус унюхал в нем трояна, то вопросы снимаются.
Он даже хотел вытаскивать пластинки памяти по очереди в поисках зараженной...
:) :) :)

Re: Заражение оперативной памяти.

Добавлено: Вс окт 16, 2011 6:34 am
MBell
В данном случае все было просто. Curelt нашел и он же убил...
Что интересно, в отличие от других антивирей он полностью перекрывает рабочий стол и меню пуск.
То есть перейти, посмотреть на найденный им файл, не выходя из режима сканирования нельзя...
Вот так и решила. Если нужный, то система его сама восстановит или опять же откат на то есть!

Смеешься?
У меня это в асе зафиксировано!
Вот ведь тоже человек спрашивает:
http://www.avsoft.ru/forum/read.php?FID=31&TID=889
еще вопрос: поможет ли переустановка винды, если вирус в оперативной памяти????
А его посылают утилиты качать и скрипты выполнять. Могли бы сперва успокоить одним словом.
:x
Кстати, была одна забавная история. Не помню как точно было дело (очень давно это было), но то ли повредился то ли я нечаянно удалила сама какой то системный файлик из систем32, кажется.
Откат не помог.
Решила накатить систему по новой.
А мой диск с которого устанавливала был то ли потерт, то ли что еще. Короче взяла диск ХР у соседа. Открыла, нашла нужный файл и ...все путем! Вот такая самодеятельность...
:D

Re: Заражение оперативной памяти.

Добавлено: Вс окт 16, 2011 11:53 pm
siagma
в отличие от других антивирей он полностью перекрывает рабочий стол и меню пуск.
Это называется у них "режим усиленной защиты".
нечаянно удалила сама какой то системный файлик из систем32
Было такое. То, что система восстанавливает, лежит в папке \system32\dllcache\, и еще вроде бы в архиве c:\WINDOWS\Driver Cache\i386\driver.cab\. Но приходилось как-то вытаскивать файл из cab-файла инсталляционного диска или даже из соседнего компьютера, если там такая же ОС. В познавательных целях интересно бывает установить две системы Windows в разные разделы диска и потом их сравнивать в подозрительных случаях.

Re: Заражение оперативной памяти.

Добавлено: Вс апр 08, 2012 10:12 am
diletant
НЕ знаю на сколько это серьёзно, не спец. Это предупреждение получил от своего друга по ГП( гайдпарк)

ВНИМАНИЕ! В СЕТИ РАСПРОСТРАНЯЕТСЯ НОВЫЙ ВИРУС!!

Leon Ber написал 24 марта 2012, 02:27
5 оценок, 66 просмотров Обсудить (6)
ВНИМАНИЕ! ВИРУС!- NEW VIRUS! !!
Пожалуйста, передайте всем потребителям интернета

Только что в сети распространяется презентация Power Point под
заглавием "Das Leben ist wunderschön", "Life is beautiful", "La
vida es bella". /”жизнь прекрасна”/. Ни в коем случае не открывайте его и сразу
удалите!
При открытии этого сообщения появляется текст"It is too late now,
Your life is no longer beautiful", "Уже поздно, твоя жизнь не
прекрасна", "Ahora es tarde, su vida no es mas bella".
После этого все данные из компьютера исчезают, а человек, который
послал вам электронное письмо, получает доступ ко всем вашим
данным, паролям, информации.
Это новейший вирус, который распространяется с вечера субботы.
Никакая антивирусная программа не может его уничтожить. Хакер по имени
"Life Owner" запустил его с желанием уничтожить чем больше компьютеров.

Передайте это сообщение как можно большему числу людей и как можно быстрее.