Как вылечить память компьютера от вируса
Всем привет. Вирус в оперативной памяти, это явление довольно неприятное и к сожалению не редкое.
Кстати чаще всего проявляется в случаях неправильной настройки антивируса или отсутствия оного. Если у вас такая ситуация, то советую вам ознакомится с статьей — настройка и установка антивируса.
Прежде чем, удалить вирус из оперативной памяти, стоит разобраться, что происходит с антивирусной программой, установленной на вашем компьютере. Скорее всего, вашу антивирусную программу, «развалил», появившийся вирус.Может быть и такое, что в сигнатурном арсенале вашей антивирусной программы не имеется алгоритма, для того чтобы полностью стереть вирус из оперативной системы и программа принимает попытки всего лишь удалить вирусное заражение, а не сам вирус.
Довольно часто случаются ситуации, когда вирус заражает дополнительные файлы и программы для своей работы или же автоматически начинает работу, а в это время антивирусная программа распознает эти копии, но не распознает сам исходник (вирус), и как правило не может с ним справиться.
Аналогичный алгоритм заражения операционной системы Windows, применяет Conficker (популярный как Downup, Downadup и Kido) — это червь, от которого пострадало 12.000.000 машин (компьютеров) во всем мире в 2009 году.
Этот червь использовал чувствительность Windows, из интернета скачивался, при этом файлы его расположены в папке system 32 под видом dll библиотеки с рандомным именем. В результате создавались файлы autorun.inf и RECYCLEDназвание папкиназвание файла.vmx.
За счет этого, появлялась возможность «зацепить» вирус через флэшку. Сегодня достаточно много вирусов с аналогичным поведением и далеко не все антивирусные программы, правильно выполняют процесс удаления такого вируса.
Антивирусная программа извещает Вас о том, что обнаружила вирус, ликвидирует его, но в последствии снова его обнаруживает, опять ликвидирует, в итоге действия становятся систематическими и избавиться от него не получиться.
Удаление вируса из оперативной памяти
1) Правильно удаляем (при помощи деинсталлятора — установка/удаление программ) установленную антивирусную программу, она здесь ни к чему.
2) Скачиваем из интернета Ccleaner и устанавливаем ее. Начинаем работу, для начала очищаем папки temp. Это программное обеспечение подходит обычным пользователям, поэтому можно ставить все флажки в настройках- пользовательскую информацию она не сотрет! Подробней о программе я писал в статье — чистка реестра.
3) Далее нам на помощь понадобится утилита для очистки вирусов. О них я писал в статье — бесплатные утилиты для удаления вирусов. Выбираем любую. Например скачиваем из интернета программу Dr.web Cure it и устанавливаем ее.
Ставим обновление, запускаем одно из двух сканирований(быстрое или полное). Быстрое сканирование дает в принципе эффективный результат. Все вирусы, которые были обнаружены — удаляем. Перезагружаем компьютер.
4) Скачиваем новый антивирус. Важно! Если до проблемы, у Вас был установлена антивирусная Eset NOD32 antivirus, то тогда, ставим Avast или Avira, если был установлен Avast ставим Eset, или любую другую программу антивируса на ваш вкус.
Объяснить такие действия довольно просто, антивирусная программа, которая у Вас была скорее всего, была повреждёна, данные в реестре могли остаться, а это что вызовет неточную работу антивирусной программы, тем более, что именно эта антивирусная программа не обнаружила угрозу из интернета на вашем компьютере.
Таким образом вы сможете удалить вирус из оперативной памяти и обновить защиту компьютера для возможных следующих атак. Удачи вам ????
Эксперт: Александр
Источник
Привет, GT! Зоопарк всевозможных вирусов растет с каждым годом, благо фантазии их создателям не занимать. Конечно, с рядом самых распространенных зловредов успешно справляются антивирусы, притом даже бесплатные их версии или же встроенные в саму ОС. С популярными шифровальщиками тоже худо-бедно бороться научились (на сайтах известных антивирусных компаний есть раздел с услугами по расшифровке или генерации кода, если вам известен кошелек или email, на который авторы зловреда просят перевести средства).
Обычные вирусы оставляют следы на зараженной машине — какие-нибудь подозрительные исполняемые файлы, файлы библиотек или просто огрызки зловредного кода, которые в состоянии обнаружить антивирус или же правильный админ. Нахождение и выявление таких следов помогают идентифицировать вирус, а значит – удалить его и минимизировать последствия.
Но противостояние меча и щита — штука вечная, и компьютерные зловреды не ограничиваются только теми, что оставляют какие-то следы на накопителях. Ведь если вирус размещается и действует только внутри оперативной памяти, не соприкасаясь с жестким диском или SSD, значит, следов на них он тоже не оставит.
В 2014 году был ряд новостей о так называемых RAM malware, но тогда это относилось к довольно узкой группе поражаемых устройств — к платежным терминалам.
Данные транзакций считаются защищенными, так как хранятся в зашифрованном виде на серверах платежных систем. Но существует очень короткий период времени, в течение которого информация для авторизации платежа хранится в виде plain text. Причем хранится именно в оперативной памяти платежного терминала.
Само собой, хакерам этот кусок показался слишком лакомым, чтобы просто так пройти мимо него, и на свет появились зловреды, собирающие информацию из RAM POS-терминалов — номера карт, адреса, коды безопасности и имена пользователей.
А затем кто-то решил пойти дальше, вспомнив, что у компьютеров тоже есть оперативная память.
RAM-only
Февраль 2017 года, компания «Лаборатория Касперского» выпускает материал о том, что подобный зловред поразил компьютеры в телекоммуникационных компаниях, банках и правительственных учреждениях в 40 странах.
Как проходит заражение машины в таком случае:
- зловред прописывает себя непосредственно в оперативную память, минуя жесткие диски
- из-за этого при проверке безопасности его не получается обнаружить
- для прописывания зловреда в память злоумышленники использовали популярные средства администрирования — PowerShell, Mimikatz, Metasploit
- для передачи данных использовались сайты, созданные на национальных доменах таких стран как Габон, Центральноафриканская Республика и Мали. Их домены характерны тем, что они не сохраняют WHOIS-информацию о том, кому принадлежал конкретный домен, после истечения срока его продления. То есть еще минус одна возможность как-то отследить злоумышленника.
Киберпреступники успевали собрать данные о логинах и паролях системных администраторов, что позволяло в будущем администрировать зараженный хост. И понятно, что при такой возможности управления зараженным компьютером, можно наделать много не самых законных действий, но главное направление таких атак — это «дойка» банкоматов.
Найти такие вирусы трудно, потому что в привычном виде они на самом деле не оставляют следов. Нет каких-то установленных приложений. Нет отдельных файлов, раскиданных в разных папках, включая системные или скрытые.
Но где-то же они оставляют следы?
Само собой, если вирус не оставляет следов на накопителях, на них нет и особого смысла искать. И что тогда? Правильно — реестр, дампы памяти и сетевая активность. Надо же ему как-то прописать себя в память (причем так, чтобы сохранять работоспособность и после перезагрузки машины), а затем как-то передавать данные на сервер злоумышленника.
Специалисты “Лаборатории Касперского” тщательно проанализировали дампы памяти и записи реестра с машин, подвергшихся заражению, и с помощью Mimikatz и Meterpreter смогли реконструировать атаку.
Фрагмент кода, загруженного с помощью Meterpreter с сайта adobeupdates.sytes[.]net
Скрипт, сгенерированный фреймворком Metasploit.
Выделяет необходимое количество памяти, использует WinAPI и загружает утилиту Meterpreter прямо в оперативную память.
Стоит ли опасаться подобного
С одной стороны – безусловно да. Вирус, каким бы он ни был, направлен не на то, чтобы сделать вашу работу за компьютером более комфортной.
С другой стороны, не так сильно (пока не так сильно), как обычных вирусов и тех же шифровальщиков. Хотя бы потому, что на данный момент главная цель подобных атак — финансовые учреждения, а не обычные пользователи.
Но кто знает, как часто таких зловредов будут создавать и использовать уже в ближайшее время.
Напоминаем, что весна — отличный повод обновляться не только листочкам на деревьях, но и системным блокам у вас под столом. Специально для этого у Kingston действуют акции в магазинах-партнерах. Например, в сети DNS до 15 апреля можно со скидкой купить оперативную память Kingston SO-DIMM, подробности — здесь. В Юлмарте до 18 апреля проходит акция и действуют специальные цены на модули памяти Kingston и HyperX для компьютеров и ноутбуков по промокоду KINGMEM. А в магазинах Ситилинк до 7 апреля скидки распространяются сразу на несколько видов оперативки, и там также важно не забывать вводить промокод — DDR3HX. Так что есть смысл поспешить за новой памятью и выгодно обновиться.
Для получения дополнительной информации о продукции Kingston и HyperX обращайтесь на официальный сайт компании.
Источник
В какой-то момент понимаешь, что нужно подвергнуть компьютер полной очистке. Как полностью очистить компьютер? Для начала проверить на вирусы, почистить реестры, почистить оперативную память устройства, корзину…
Делать это время от времени обязательно нужно, чтобы компьютер хорошо и быстро работал, а также как можно дольше оставался в работоспособном состоянии. В противном случае вам понадобится ремонт компьютера, и очень срочно.
Лечимся бесплатно
Поговорим сегодня о том, как бесплатно почистить компьютер от вирусов. Чтобы бесплатно вылечить компьютер от вирусов, нужно найти в интернете программу AVZ и утилиту Curelt DrWeb. Для начала лечения нам нужно запустить систему в безопасном режиме. Чтобы это сделать, когда компьютер будет включаться, нажмите клавишу F8.
В появившемся контекстном меню выберите опцию «безопасный режим». Если это привело к перезагрузке системы, значит вирус задел реестр Windows, тогда вам нужно найти в интернете файл, который помогает восстанавливать безопасный режим, включить его и опять повторить процедуру.
Затем после загрузки в безопасном режиме включите программу AVZ;
Сразу перейдите в меню файл — восстановление системы;
Выбирайте все пункты и нажимайте выполнить.
После этого нужно зайти в меню сервис — диспетчер процессов и убрать все процессы, не подсвеченные зеленым цветом.
На этом очистка компьютера от вирусов не закончена, обслуживание продолжается. Зайдите в меню файл — мастер поиска и устранения проблем и выполните очистку системы. Это позволит нейтрализовать вирусы, но не удалит их.
Помощь Curelt
Лечение компьютера от вирусов продолжается. Как вы помните, мы скачали утилиту Curelt, которая дает возможность очистить компьютер от вирусов бесплатно. Программу нужно запустить и поставить на полную проверку. При обнаружении вирусов, вам будет предложено вылечить их или удалить. Несколько часов проверки дадут возможность убрать вирусы из системы.
загружаете операционную систему;Многие не знают, как очистить компьютер от вирусов, используя еще один компьютер. А вот, как: вам понадобится ничем не зараженный компьютер с установленным антивирусом. Соблюдайте осторожность, чтобы не повредить данные. Для реализации этого способа нужно снять жесткий диск с зараженного компьютера и выполнить его подключение к исправному (компьютеры при этом выключены). После этого:
включаете проверку на вирусы;
через несколько часов проверка закончится.
Лишившись вирусов, можно возвращать жесткий диск на место.
Что делать если чистка компьютера от вирусов не привела к их полному удалению? В этом случае можно посоветовать воспользоваться другой бесплатной (или платной) утилитой или, в крайнем случае, переустановить операционную систему.
Чистим ОЗУ
Поговорим о том, как очистить оперативную память на компьютере. Если ваша операционная память все время занята, посмотрите, чем именно. Для этого нужно открыть диспетчер задач (одновременным нажатием клавиш ctr+alt+del).
После этого во вкладке «Процессы» вы увидите программы, которые в текущий момент открыты системой. Для выгрузки ненужных программ из операционной памяти, нажмите на кнопку «Закончить процесс». Только постарайтесь случайно не закончить процесс, который нужен для функционирования системы.
Как очистить ОЗУ на компьютере? Для отмены автоматической загрузки программ в память, уберите программы из списка автоматической загрузки. Для этого в сети можно скачать специальную утилиту Msconfig.
Мы рассмотрели два самых распространенных способа как очистить озу компьютера. Если после этого вы обнаруживаете, что ваша память вновь постоянно забита, обратитесь к специалисту, для которого ремонт компьютеров — дело привычное или в компьютерный сервис, чтобы они нашли причину и провели обслуживание на профессиональном уровне.
Чистим реестр
Для того, чтобы запомнить, как очистить реестр на компьютере, необходимо проделать несложные манипуляции всего один раз. Итак, приступим.
Чтобы перейти в редактор реестра нужно нажать пуск, выбрать пункт выполнить. Затем нажимаем открыть и в появившемся поле пишем regedit. Затем нажимаем ОК.
Перед вами редактор реестра. Среди представленных пунктов нас интересует Мой компьютер, который нужно развернуть и из выбранного списка нужно развернуть раздел HKEY_CURRENT_USER, потом выберите Software и в появившемся списке будут отображены все программы компьютера.
Внимательно просмотрите весь список и выберите из него записи об уже удаленных программах. Выбрав запись о программе, которой уже нет, удалите ее. Для этого используйте кнопку Delete или клацните правой кнопкой и выберите удалить. После удаления ненужных записей, закройте редактор и выполните перезагрузку системы.
Удаляем мусор из корзины
Перед тем, как очистить корзину на компьютере, рекомендуем вам посмотреть, нет ли там чего-нибудь полезного. Если нет – смело приступаем к чистке.
Чтобы очистить корзину, клацните по соответствующему ярлыку на рабочем столе правой кнопкой мыши и в появившемся контекстном меню нажмите левой кнопкой на «очистить корзину».
Если вы хотите просмотреть файлы перед удалением, тогда двойным быстрым нажатием левой кнопкой мыши на ярлык, откройте ее. Просмотрите файлы и вверху, после адресной строки, клацните левой кнопкой мыши на фразу «очистить корзину». Компьютер спросит вашего подтверждения действия. Нажимайте левой кнопкой на «да».
Теперь вы знаете, как очистить компьютер полностью. Не забывайте делать такую очистку системы хотя бы раз в полгода, а ремонт компьютеров пускай делают другие!
(с)
Источник
Несколько дней назад ко мне на ноутбук попал какой-то вирус или руткит в оперативную память, и все мои попытки извлечь его не приносили успеха. Мой антивирус ESET Smart Security 4 только находил, но удалить или очистить не мог, правда, базы были месячной давности. Поковырявшись в автозагрузке, остановив некоторые службы и удалив ряд процессов, я уже подумал, что победил вирус, да и сканирование антивирусом это подтвердила, но после перезагрузки все повторилось сначала.
Я уже хотел по быстрому переустановить систему, но решил поискать в Интернете решение этой проблемы и вот наткнулся на интересную утилиту Universal Virus Sniffer, которая предназначается для быстрого устранения заражения неизвестными вирусами, руткитами, буткитами.
Автор Дмитрий Кузнецов в распространяемом архиве программы подробно описал необходимые действия по нахождению и удалению неизвестных вирусов и тд. с помощью утилиты.
Авторский сайт и последняя версия утилиты (https://dsrt.dyndns.org/)
Все версии (https://depositfiles.com/folders/A5PK4YRKA)
Скрытый текст
Как быстро найти неизвестный вирус
Это упрощенная процедура, которая подходит для основной массы вирусов/троянов/авторанов/ботов.
01. Запускаем uvs, проводим тест на активные файловые вирусы, если они есть убиваем соотв. кнопкой. (предварительно подбираем длину сигнатуры… если например заражен и start.exe и startf.exe то подобрать длину довольно легко, добавляем сигнатуру start.exe и затем в контекстном меню сигнатуры добавляем startf.exe)
(!) Против серьезных полиморфных вирусов поисковой движок uVS бессилен.
(!) В этом случае рекомендуется сразу же убить все процессы в памяти с помощью функции
(!) Дополнительно->Выгрузить все процессы кроме системных, после чего запустить средствами
(!) uvs лечащую утилиту (Dr.Web CureIt или AVPRT)
02. Скрываем все проверенные файлы, сперва F4 (база sha1 должна быть в каталоге uVS). Скрываем подписанные файлы по F6. Далее просматриваем список подозрительных, если ничего действительно подозрительно там нет то…
03. Если вирус проявляет себя в браузерах, то просматриваем соотв. разделы и чистим их от хлама, если нет то…
04. Открываем раздел «Процессы без видимых окон» Трояны/автораны/вирусы п.н. будут здесь. Помогаем себе кнопкой F1 (управляет скрытием известных файлов) Обращаем внимание на те файлы, что не содержат информацию о версии/производителе и т.п.
05. Так же стоит взглянуть на раздел сетевой активности. (спамботы, прокси, даунлоадеры будут здесь)
06. Складываем копии найденных подозр. файлов в Zoo и отправляем их на VirusTotal.com или аналог, либо ищем там по SHA1 (если нет времени на загрузку и ожидание).
07. Со всех найденных вирусов снимаем сигнатуры, проверяем список автозапуска соотв. кнопкой. Осматриваем список найденных вирусов, если есть ложные срабатывания то удлиняем сигнатуру в списке сигнатур и повторяем проверку. (для DLL рекомендуется указывать длину = 64)
08. Нажимаем «удалить все вирусы» все копии активных вирусов в памяти будут нейтрализованы и затем массово уничтожены, автозапуск очищен, критические ключи реестра будут восстановлены.
(!) НЕ следует выгружать вирусы и удалять их вручную по одному, некоторые вирусы «плохо» относятся к потери одного из своих процессов.
09. Устраняем вред нанесенный вирусом системе с помощью любой из предназначенных для этого утилит. (uvs производит восстановление лишь важных(для запуска Windows) ключей и только тех что испорчены удаленным с помощью uvs вирусом)
10. Опционально стоит провести проверку дисков с использованием снятых сигнатур. Предварительно удаляем мусор из временных каталогов в меню Дополнительно и после сканирования дисков стоит выполнить «Безопасное удаление ссылок на ВСЕ отсутствующие объекты».
Источник
