Заражение оперативной памяти.

Антивирусы и другие программы, обеспечивающие защиту компьютеров от проникновения вредоносного содержимого (вирусы, трояны и т.п.).
Иные способы борьбы с "непрошеными гостями".
Меры борьбы со спамом и атаками на компьютеры и сайты.
Помощь в обнаружении вредоносов и очистке системы.

Модератор: McFlooder

siagma
Специалист
Сообщения: 694
Зарегистрирован: Пн июл 23, 2007 12:13 am

Re: Заражение оперативной памяти.

Сообщение siagma » Вс окт 16, 2011 2:53 am

Вопрос, где же эти файлы искать и имеются ли они в реестре, так и остался для меня открытым.
Все, что есть в Windows, так или иначе прописано в реестре. Было такое, что ручной откат на более раннюю точку восстановления сразу решил почти все проблемы с вирусами.
Если известно имя подозрительного файла, то захожу в regedit из системы или даже с LiveCD и даю поиск (Ctrl-F) по этому имени. Если решаю что удалить, то делаю предварительно экспорт этой ветки реестра в reg-файл. Всегда стараюсь обеспечить себе путь к отступлению, поскольку был когда-то запуган страшилками про реестр :D . Но, в общем-то, ничего страшного, было только раз удалил что-то лишнее в ветке userinit, после чего ОС перестала грузиться. Так загрузился с LiveCD и вернул все на место.
Папка System Volume Information была когда-то (еще на Windows Millenium) любимым местом пребывания вирусов, при выборочной чистке DrWeb CureIt стараюсь захватить эту папку.

Аватара пользователя
MBell
Директор школы
Сообщения: 13022
Зарегистрирован: Вс апр 01, 2007 2:19 pm
Откуда: Israel
Контактная информация:

Re: Заражение оперативной памяти.

Сообщение MBell » Вс окт 16, 2011 3:35 am

siagma писал(а):
Вопрос, где же эти файлы искать и имеются ли они в реестре, так и остался для меня открытым.
Все, что есть в Windows, так или иначе прописано в реестре. Было такое, что ручной откат на более раннюю точку восстановления сразу решил почти все проблемы с вирусами.
Если известно имя подозрительного файла, то захожу в regedit из системы или даже с LiveCD и даю поиск (Ctrl-F) по этому имени. Если решаю что удалить, то делаю предварительно экспорт этой ветки реестра в reg-файл. Всегда стараюсь обеспечить себе путь к отступлению, поскольку был когда-то запуган страшилками про реестр :D . Но, в общем-то, ничего страшного, было только раз удалил что-то лишнее в ветке userinit, после чего ОС перестала грузиться. Так загрузился с LiveCD и вернул все на место.
Папка System Volume Information была когда-то (еще на Windows Millenium) любимым местом пребывания вирусов, при выборочной чистке DrWeb CureIt стараюсь захватить эту папку.
Именно так я и поступаю с реестром. Файла с таким именем ни в одной ветке обнаружено не было.
Пути к этому файлу тоже не было.
Я и сейчас не уверена, что причиной проблем был файлик Eeq50.sys; находящийся в папке драйверов C:\WINDOWS\system32\drivers; и определенный как Trojan.PWS.Ibank.339;
Так как его имя по нодовской классификации было модифицированный Trojan.win32/wigon
Искать в таблицах вирусов соответствия не стала.
Он удален, нод молчит и ладно. А может это вообще был невинный драйвер?
Как знать! :crazy:

Откат можно делать, но ведь человека волновало, как и того парня по ссылке, что я дала, само выражение "память заражена!" Он даже хотел вытаскивать пластинки памяти по очереди в поисках зараженной...
:twisted:
О System Volume Information я указала, что как ни странно, файлы с такими именами якобы были на диске D. На самом же деле такой папки на этом диске НЕ БЫЛО!

siagma
Я знаю, что я всегда пишу очень длинно и все это вычитывать нудно. Но я при этом стараюсь предельно четко изложить ситуацию, включая самые мелкие подробности и детали.
Пардон.
:oops:

Аватара пользователя
vladislav
Специалист
Сообщения: 622
Зарегистрирован: Вт сен 30, 2008 5:22 pm
Откуда: Новосибирская область

Re: Заражение оперативной памяти.

Сообщение vladislav » Вс окт 16, 2011 3:38 am

MBell писал(а):siagma...
P.S.
О "прочей ерунде" тоже странно. Она якобы сидела в D:\System Volume Information\_restore{***) , папке, которой на этом диске вовсе не могло и быть. Там чисто архив фильмов, прог ит.д.
Windows на всех дисках такие папки создаёт.

Аватара пользователя
MBell
Директор школы
Сообщения: 13022
Зарегистрирован: Вс апр 01, 2007 2:19 pm
Откуда: Israel
Контактная информация:

Re: Заражение оперативной памяти.

Сообщение MBell » Вс окт 16, 2011 3:42 am

vladislav писал(а):
MBell писал(а):siagma...
P.S.
О "прочей ерунде" тоже странно. Она якобы сидела в D:\System Volume Information\_restore{***) , папке, которой на этом диске вовсе не могло и быть. Там чисто архив фильмов, прог ит.д.
Windows на всех дисках такие папки создаёт.
По идее, да. Но ТАМ ее не было. Ручаюсь....
Я видно немного не так выразилась. "Не могло и быть" - ее просто не было.
Если честно, то было лень писать. Меня этот момент сбил, как говорят на (в) Украине с пантелыку.

siagma
Специалист
Сообщения: 694
Зарегистрирован: Пн июл 23, 2007 12:13 am

Re: Заражение оперативной памяти.

Сообщение siagma » Вс окт 16, 2011 5:17 am

что причиной проблем был файлик Eeq50.sys
Я еще смотрю в конец подозрительных файлов просто в текстовом режиме. У нормальных файлов там всегда прописаны имя фирмы-создателя и иногда сайт. К примеру, файл afd.sys из \system32/drivers\:
C o m p a n y N a m e M i c r o s o f t C o r p o r a t i o n F i l e D e s c r i p t i o n A n c i l l a r y F u n c t i o n D r i v e r f o r W i n S o c k b F i l e V e r s i o n 5 . 1 . 2 6 0 0 . 5 5 1 2 ( x p s p . 0 8 0 4 1 3 - 0 8 5 2 ) 0 I n t e r n a l N a m e a f d . s y s L e g a l C o p y r i g h t © M i c r o s o f t C o r p o r a t i o n . A l l r i g h t s r e s e r v e d . O r i g i n a l F i l e n a m e a f d . s y s j P r o d u c t N a m e M i c r o s o f t ® W i n d o w s ® O p e r a t i n g S y s t e m P r o d u c t V e r s i o n 5 . 1 . 2 6 0 0 . 5 5 1 2 D V a r F i l e I n f o T r a n s l a t i o n
У вирусных файлов, как правило, такой информации нет.
Можно еще дать поиск по имени файла, но вот для этого Eeq50.sys никакой информации не нашлось. Если это и драйвер, то не системный или мало известный (иначе инфа есть всегда). Я поступаю так: создаю в той же директории папку с любым именем и переношу туда подозрительный файл. Если возникнут проблемы, всегда можно вернуть его обратно, если нет - снести файл. Системные файлы при их переносе или удалении ОС восстанавливает сама. Но если уж антивирус унюхал в нем трояна, то вопросы снимаются.
Он даже хотел вытаскивать пластинки памяти по очереди в поисках зараженной...
:) :) :)

Аватара пользователя
MBell
Директор школы
Сообщения: 13022
Зарегистрирован: Вс апр 01, 2007 2:19 pm
Откуда: Israel
Контактная информация:

Re: Заражение оперативной памяти.

Сообщение MBell » Вс окт 16, 2011 6:34 am

В данном случае все было просто. Curelt нашел и он же убил...
Что интересно, в отличие от других антивирей он полностью перекрывает рабочий стол и меню пуск.
То есть перейти, посмотреть на найденный им файл, не выходя из режима сканирования нельзя...
Вот так и решила. Если нужный, то система его сама восстановит или опять же откат на то есть!

Смеешься?
У меня это в асе зафиксировано!
Вот ведь тоже человек спрашивает:
http://www.avsoft.ru/forum/read.php?FID=31&TID=889
еще вопрос: поможет ли переустановка винды, если вирус в оперативной памяти????
А его посылают утилиты качать и скрипты выполнять. Могли бы сперва успокоить одним словом.
:x
Кстати, была одна забавная история. Не помню как точно было дело (очень давно это было), но то ли повредился то ли я нечаянно удалила сама какой то системный файлик из систем32, кажется.
Откат не помог.
Решила накатить систему по новой.
А мой диск с которого устанавливала был то ли потерт, то ли что еще. Короче взяла диск ХР у соседа. Открыла, нашла нужный файл и ...все путем! Вот такая самодеятельность...
:D

siagma
Специалист
Сообщения: 694
Зарегистрирован: Пн июл 23, 2007 12:13 am

Re: Заражение оперативной памяти.

Сообщение siagma » Вс окт 16, 2011 11:53 pm

в отличие от других антивирей он полностью перекрывает рабочий стол и меню пуск.
Это называется у них "режим усиленной защиты".
нечаянно удалила сама какой то системный файлик из систем32
Было такое. То, что система восстанавливает, лежит в папке \system32\dllcache\, и еще вроде бы в архиве c:\WINDOWS\Driver Cache\i386\driver.cab\. Но приходилось как-то вытаскивать файл из cab-файла инсталляционного диска или даже из соседнего компьютера, если там такая же ОС. В познавательных целях интересно бывает установить две системы Windows в разные разделы диска и потом их сравнивать в подозрительных случаях.

Аватара пользователя
diletant
Специалист
Сообщения: 872
Зарегистрирован: Чт май 08, 2008 4:16 pm
Откуда: Baku

Re: Заражение оперативной памяти.

Сообщение diletant » Вс апр 08, 2012 10:12 am

НЕ знаю на сколько это серьёзно, не спец. Это предупреждение получил от своего друга по ГП( гайдпарк)

ВНИМАНИЕ! В СЕТИ РАСПРОСТРАНЯЕТСЯ НОВЫЙ ВИРУС!!

Leon Ber написал 24 марта 2012, 02:27
5 оценок, 66 просмотров Обсудить (6)
ВНИМАНИЕ! ВИРУС!- NEW VIRUS! !!
Пожалуйста, передайте всем потребителям интернета

Только что в сети распространяется презентация Power Point под
заглавием "Das Leben ist wunderschön", "Life is beautiful", "La
vida es bella". /”жизнь прекрасна”/. Ни в коем случае не открывайте его и сразу
удалите!
При открытии этого сообщения появляется текст"It is too late now,
Your life is no longer beautiful", "Уже поздно, твоя жизнь не
прекрасна", "Ahora es tarde, su vida no es mas bella".
После этого все данные из компьютера исчезают, а человек, который
послал вам электронное письмо, получает доступ ко всем вашим
данным, паролям, информации.
Это новейший вирус, который распространяется с вечера субботы.
Никакая антивирусная программа не может его уничтожить. Хакер по имени
"Life Owner" запустил его с желанием уничтожить чем больше компьютеров.

Передайте это сообщение как можно большему числу людей и как можно быстрее.

Ответить