Удалить вирус из оперативной памяти

Всем привет. Вирус в оперативной памяти, это явление довольно неприятное и к сожалению не редкое.

Кстати чаще всего проявляется в случаях неправильной настройки антивируса или отсутствия оного. Если у вас такая ситуация, то советую вам ознакомится с статьей — настройка и установка антивируса .

Прежде чем, удалить вирус из оперативной памяти, стоит разобраться, что происходит с антивирусной программой, установленной на вашем компьютере. Скорее всего, вашу антивирусную программу, «развалил», появившийся вирус. Может быть и такое, что в сигнатурном арсенале вашей антивирусной программы не имеется алгоритма, для того чтобы полностью стереть вирус из оперативной системы и программа принимает попытки всего лишь удалить вирусное заражение, а не сам вирус.

Довольно часто случаются ситуации, когда вирус заражает дополнительные файлы и программы для своей работы или же автоматически начинает работу, а в это время антивирусная программа распознает эти копии, но не распознает сам исходник (вирус), и как правило не может с ним справиться.

Аналогичный алгоритм заражения операционной системы Windows, применяет Conficker (популярный как Downup, Downadup и Kido) — это червь, от которого пострадало 12.000.000 машин (компьютеров) во всем мире в 2009 году.
Этот червь использовал чувствительность Windows, из интернета скачивался, при этом файлы его расположены в папке system 32 под видом dll библиотеки с рандомным именем. В результате создавались файлы autorun.inf и RECYCLED\название папки\название файла.vmx.

За счет этого, появлялась возможность «зацепить» вирус через флэшку. Сегодня достаточно много вирусов с аналогичным поведением и далеко не все антивирусные программы, правильно выполняют процесс удаления такого вируса.

Антивирусная программа извещает Вас о том, что обнаружила вирус, ликвидирует его, но в последствии снова его обнаруживает, опять ликвидирует, в итоге действия становятся систематическими и избавиться от него не получиться.

1) Правильно удаляем (при помощи деинсталлятора — установка/удаление программ) установленную антивирусную программу, она здесь ни к чему.

2) Скачиваем из интернета Ccleaner и устанавливаем ее. Начинаем работу, для начала очищаем папки temp. Это программное обеспечение подходит обычным пользователям, поэтому можно ставить все флажки в настройках- пользовательскую информацию она не сотрет! Подробней о программе я писал в статье — чистка реестра .

3) Далее нам на помощь понадобится утилита для очистки вирусов. О них я писал в статье — бесплатные утилиты для удаления вирусов . Выбираем любую. Например скачиваем из интернета программу Dr.Web Cure it и устанавливаем ее.

Ставим обновление, запускаем одно из двух сканирований(быстрое или полное). Быстрое сканирование дает в принципе эффективный результат. Все вирусы, которые были обнаружены — удаляем. Перезагружаем компьютер.

4) Скачиваем новый антивирус. Важно! Если до проблемы, у Вас был установлена антивирусная Eset NOD32 antivirus, то тогда, ставим Avast или Avira, если был установлен Avast ставим Eset, или любую другую программу антивируса на ваш вкус.

Объяснить такие действия довольно просто, антивирусная программа, которая у Вас была скорее всего, была повреждёна, данные в реестре могли остаться, а это что вызовет неточную работу антивирусной программы, тем более, что именно эта антивирусная программа не обнаружила угрозу из интернета на вашем компьютере.

Таким образом вы сможете удалить вирус из оперативной памяти и обновить защиту компьютера для возможных следующих атак. Удачи вам 🙂

Каждый пользователь без исключения рано или поздно сталкивается с такой проблемой, как вирус на компьютере, ноутбуке или любом другом КПК. Когда только вирусы появлялись, они были вполне безобидными и не вредили особо системе устройства, но сегодня практически любой вирус – это реальная угроза полноценной работе компьютера. Теперь вредоносным программам под силу даже оперативная память.

В первую очередь, нужно знать какие именно вредоносные программы попадают в оперативную память. Большинство случаев заражения – это заражение трояном. Оперативная память с вирусом в компьютерном устройстве не дает системам корректно работать и выполнять свои функции. Наиболее простой способ удалить компьютерный вирус – перезагрузить компьютер. Во время этого процесса оперативная память полностью обновляется и очищается. Но такое мероприятие не всегда может помочь – иногда вредоносное ПО находится еще в нескольких местах, что затрудняет его идентификацию. На жестком диске у вируса имеется специальное расширение EXE, а при автоматическом запуске, когда перезагружается система, он прописывается в Автозагрузке.

Для того чтобы это не происходило в автозагрузке отключают автоматический запуск данного приложения. А также пользователь должен найти и удалить вирус в ручном режиме с винчестера. Кроме того, необходимо удалить соответствующую запись в реестре системы. Например, при появлении Trojan.Win32.Agent.cp необходимо удаление вируса из оперативной памяти и удаление копии из системной папки Windows. Далее свойством вируса является добавление записи в системный реестр, и тогда он будет загружаться заново при каждом рестарте. Именно поэтому удаляют файл с винчестера и его запись из реестра.

Но многие пользователи, которые мало разбираются в работе с системным реестром, стараются не лезть туда. И чтобы предостеречь себя от опасных вредоносных программ, используют качественные и надежные антивирусы с модулем сканирования оперативной памяти и возможностью удалить любой вирус. Такими антивирусными программами могут быть Касперский, Panda, Dr.Web, причем по-настоящему справиться с проблемами в оперативной памяти могут только лицензионные версии данных программ.

Выбрать оптимальный антивирус, удалить все вирусы из оперативной памяти и не только могут специалисты выездного компьютерного сервиса.

Слабая защита компьютера или ее полное отсутствие может позволить вредоносным программа нанести значительный вред системе компьютера. Под воздействие вирусов может попасть не только сам компьютер, но и многие устройства. Также под угрозой может оказаться вся конфиденциальная информация на жестком диске. Некоторые вирусные программы могут попасть в оперативную память компьютера, для очистки ОЗУ понадобиться:

— Антивирус(Советуем вам использовать только 100% лицензионные антивирусы для полноценной защиты. Такие антивирусы вы можете заказать в нашем интернет-магазине со скидкой);

— Доступ в интернет.

  1. Для быстрой проверки компьютера на наличие вредоносного и шпионского программного обеспечения можно использовать специальные онлайн-сканеры. Данные программы не требуют специальной установки и хранения на жестком диске, они проверяют систему в режиме онлайн. Многие современные производители антивирусных программ предоставляют возможность воспользоваться онлайн-сканером на своем официальном сайте. Одна из подобных программ находится на официальном сайте разработчиков антивируса Panda.
  2. Для доступа к онлайн-сканеру от разработчиков Panda нужно перейти в соответствующий раздел на официальном сайте. Можете сразу перейти по ссылке . На данной странице нажмите кнопку-ссылку «Проверить ПК».

Страница антивируса Panda

  • В браузере откроется страница бесплатного антивирусного скана PandaActiveScan. Данный ресурс способен обнаруживать даже те вирусы, которые не могут обнаружить обычные антивирусные программы. На данной странице можно выбрать один из нескольких вариантов сканирования системы:
    • Выборочная проверка;
    • Быстрое сканирование;
    • Полное сканирование.

    Для начала сканирования системы вашего компьютера нужно выбрать один из имеющихся вариантов и нажать кнопку «Сканировать».

      Если вы обращаетесь к данному онлайн-сервису первый раз, то перед первым сканированием системы вам будет предложено скачать на свой компьютер плагин ActiveXcontrols. Примите данное предложение и согласитесь с внесением изменений в систему компьютера, связанным с загрузкой плагина. На странице онлайн-сканера нажмите повторно на кнопку «Сканировать», будет запущен процесс сканирования системы компьютера. Данный процесс займет определенное время, которое зависит от объема памяти на вашем компьютере, версии операционной системы, скорости и качества интернет-соединения и других факторов. После окончания данного процесса вы увидите отчет о проделанной работе, Страница с отчетом о проверке антивирусом

    оперативная память и другие устройства компьютера будут очищены от вредоносных и шпионских программ.

    Процедура удаления компьютерного вируса чаще всего включает в себя несколько этапов. Для начала необходимо установить антивирус – программу, которая сможет удалить вирус с компьютера. Затем необходимо вирус найти и собственно удалить. Но внешне простая процедура, как удалить вирус с компьютера, может принести много неприятных сюрпризов. Сегодня мы поговорим о самых сложных ситуациях и узнаем, как самостоятельно удалить вирус.

    Именно своими руками, ведь это единственный способ, как бесплатно удалить вирус. В некоторых случаях люди обращаются за помощью к квалифицированным специалистам. Это правильно, но с другой стороны, за это необходимо платить деньги, что весьма неохотно вписывается в наш бюджет. Итак, давайте расширим кругозор, а именно узнаем, как удалить exe вирус. Exe – расширение, свойственное исполняемым файлам Windows, программам. Именно под прикрытием полезных программ вирусы чаще всего попадают на наш компьютер. И в первую очередь, мы рассмотрим непростой случай, как удалить вирус, мешающий установке антивируса.

    Чтобы удалить вирус, блокирующий установку полноценного антивируса, мы воспользуемся утилитой Dr. Web Cure It. Она не нуждается в инсталляции и начнет свою работу сразу после запуска exe-файла. Скачать можно здесь. После скачивания необходимо запустить компьютер в безопасном режиме. Для этого перезагрузите компьютер и во время старта нажимайте клавишу F8. В появившемся списке найдите «Запуск в безопасном режиме» и осуществите его.

    Теперь вы можете запустить саму утилиту от Доктора Веба для непосредственного удаления вирусов. Следите за процессом проверки компьютера, вам будет предложено несколько вариантов действий с найденными файлами, зараженными вирусами.

    В первую очередь, постарайтесь выбрать «удаление». Если утилита откажет вам в удалении некоторых файлов, сделайте это вручную, ведь теперь вы знаете расположение вирусных директорий. Если система отказывает вам в удалении этих файлов, ссылаясь на необходимость оных для ее работы – значит, вирус в памяти. Как удалить вирус из памяти, мы рассмотрим несколько позже, сейчас поступим проще. Вновь запустите компьютер в безопасном режиме и повторите сканирование утилитой CureIt. Получив сведения о невозможности удалить некоторые файлы повторно, прибегните к следующему методу удаления вирусов.

    Нажмите сочетание клавиш Ctrl+Shift+Esc. Отсортируйте процессы по признаку «пользователь». Начинайте выгружать из памяти процессы, не являющиеся системными. В первую очередь, обратите внимание на имя процесса и его описание. Если вы наблюдаете такой процесс, как, например, «DfsggrrEHj12.exe» и у него отсутствует внятное описание, не раздумывая ни секунды, выделяйте его мышью и жмите Delete. Это – вирусный процесс.

    Хотелось бы заострить ваше внимание на существующей у многих пользователей проблеме. А именно, на svchost вирус. Как удалить вирус из памяти, мы рассмотрим чуть позже. Сейчас хотелось бы обратить ваше внимание на некоторую особенность svchost вирусов. Мы научим вас определять, является ли приложение svchost зараженным вирусами на вашем компьютере. Для этого в диспетчере задач отсортируйте процессы по имени. У вас получится целый блок приложений svchost. Нормальное количество — 4-7, но может быть и больше. А теперь обратите внимание на графу «Пользователь». Процесс svchost заражен вирусом, если запущен от вашего пользовательского имени. Ведь это системный процесс, и он не может быть запущен вами! Запомните эту черту svchost вирусов на будующее.

    По завершению действий лечения/удаления вирусов с компьютера, попробуйте восстановить систему. Для этого используйте контрольную точку, созданную еще до возникновения проблем. К сожалению, многие из пользователей Windows не используют данную функцию ОС ввиду расточительного использования места на жестком диске.

    Процедура, как удалить вирус оперативной памяти, сильно осложнена тем, что любой антивирус, запущенный на компьютере, будет запущен уже после присутствия вируса в ram. Говоря начистоту, у вашего антивируса практически нет шансов самому остаться незараженным и выполнить свою функцию, как удалить вирус из памяти. Поэтому удалить вирус из оперативной памяти надежно можно лишь одним способом – придется воспользоваться онлайн-утилитой.

    Перейдите по адресу: www.viruslab.ru/service/check/. Найдите кнопку синего цвета с надписью «проверить ПК». Смело жмите ее.

    В открывшемся окне антивируса онлайн вы увидите несколько кнопок, таких как «полное сканирование», «быстрое сканирование» и «выборочные проверки». Подберите способ, необходимый вам («полное сканирование» лучше всего, если вы решили удалить вирус из памяти)

    Вам будет предложено скачать некий компонент ActiveX. Не бойтесь, так и должно быть – скачивайте. Повторно нажмите «сканировать» и немного подождите. Оперативная память вашего компьютера очищена от вирусов!

    Особенно неприятные типы вирусов. Мало того, что большинство вирусов итак наносят некоторый вред, так эти еще и воруют вашу личную информацию. Как удалить вирус троян надежно?

    Мы будем использовать утилиту AVZ. Она абсолютно бесплатна и не требует установки, следовательно, ее можно хранить на флэшке. Скачиваем отсюда.

    Запускаем AVZ. Отмечаем необходимую область поиска, лучше ставить все галочки в этой графе. По поводу способа проверки: самый эффективный метод удаления вирусов и троянов – это долгая (или полная) проверка. Задайте параметры поиска – расширенный анализ и поиск кейлоггеров. Можно начинать, нажмите кнопку «пуск» и ожидайте окончание проверки. После удаления вирусов утилитой AVZ необходимо перезагрузить компьютер.

    Подведем итоги. Сегодня мы с вами узнали несколько всеобъемлющих способов, как удалить вирусы. Запомнив их всех (или добавив наш сайт в закладки) и сочетая между собой, вы легко сможете решить множество других проблем. Например, как удалить вирус в контакте или очистить съемный носитель от вирусов. Помните, главное тут — не шаблонное мышление, а некоторое знание основ ПК и приемов по удалению вирусов.

    Вероятно, практически все, кто работает с компьютером, особенно вначале его освоения, сталкивались с ситуацией проникновения вирусов на компьютер, скажем, через Интернет, электронную почту или же, со съемных носителей, на которых находились зараженные файлы. На заре развития Интернета вирусы были более безобидными, по сравнению с тем, которые появились в наше время. Бывает и такое, что это вредоносное программное обеспечение залазит даже в оперативную память.

    Для начала несколько слов о работе самих вирусов, которые попадают в оперативную память. Чаще всего, это вирусы, называемые троянами. Самая простая рекомендация, применить перезагрузку. При перезагрузке оперативная память полностью очищается. Это не всегда помогает, поскольку вирус не находится только в оперативной памяти. Он присутствует на жестком диске в виде исполняемого EXE-файла. Кроме того, его автоматический запуск при перезагрузке системы прописан в Автозагрузке. Необходимо в Автозагрузке отключить автоматический запуск этого приложения. Однако, этого мало. Надо найти и удалить этот файл вручную с винчестера. Также, удалению подлежит запись в системном реестре. К примеру, известный троян Trojan.Win32.Agent.cp при проникновении в операционную систему прописывает свою копию в системную папку Windows. Это может выглядеть так:

    Затем он добавляет запись в системный реестр, чаще всего:

    [KLM\Software\Microsoft\Windows\CurrentVersion\Run]»» = «%System%\jgsjyb.exe», что собственно и обуславливает его загрузку при каждом рестарте. Поэтому, необходимо найти сам файл на винчестере, а также, эту запись в реестре и удалить их.

    Однако, многие пользователи предпочитают не лезть в такие дебри, особенно, если никогда не работал с системным реестром. Можно, как говорится и дров наломать. Выходом может стать использование качественного антивирусного программного обеспечения, которое имеет модуль сканирования оперативной памяти и удаления вирусов из нее. В данном случае довольно неплохо зарекомендовали себя Антивирус Касперского, Panda и т. д. Можно воспользоваться именно ними. Но здесь возникает вопрос, какой антивирус лучше? Второй антивирус предпочтительней, поскольку меньше нагружает системные ресурсы и использует «облачные технологии» для изоляции вирусов. Не стоит использовать неофициальные версии NOD, он все равно ничего не найдет.

    Так что, если вы не знаток операционной системы, все-таки, лучше воспользоваться профессиональным программным обеспечением, а не заниматься, как говорится, самолечением.

    Вопросы Как выбрать проектор для офисных презентаций?
    Вопросы Реально ли сохранить потенцию на долгие годы?
    Вопросы Кто такие ватники и почему их так называют?
    Вопросы Какие должны быть диаметры бесшовных труб по ГОСТу?

    Как удалить вирус из оперативной памяти?

    Поделиться «Как удалить вирус из оперативной памяти?»

    Здравствуйте. Удалить вирус из оперативной памяти можно двумя путями, переустановить либо удалить антивирусом. Для удаления антивирусом советую использовать антивирус McAfee. По данным проверки этот антивирус признан самым надежным и самым бесперебойным. Но лучше всего будет переустановить всю операционную систему, так вероятность того что вирус удалится 100 процентов. Удачи

    Здравствуйте. Удалить вирус из оперативной памяти можно двумя путями, переустановить либо удалить антивирусом. Для удаления антивирусом советую использовать антивирус McAfee. По данным проверки этот антивирус признан самым надежным и самым бесперебойным. Но лучше всего будет переустановить всю операционную систему, так вероятность того что вирус удалится 100 процентов. Удачи

    Самый простой способ — вытащить планки оперативной памяти и поменять их местами. После этого также желательно проверить весь компьютер антивирусом, рекомендую антивирус Касперского, а если это не поможет — то удалить вирус из оперативной памяти можно будет только переустановкой ОС и с полным форматированием жестких дисков.

    Между прочем, компьютерный вирус не может находиться в планках оперативной памяти, скорее всего, он просто ее использует, ну а сам прячиться гдето в системе. Так что вполне может быть достаточно проверки диска С: на вирусы. Но можно также предпринять методы указаные выше.

    «Для того чтобы удалить вирус из оперативной памяти, достаточно перезагрузить компьютер. И поскольку при перезагрузке все содержимое оперативной памяти либо удаляется, либо сбрасывается в файл подкачки, то вирус из оперативной памяти в удалите.

    Только в этом толку будет не много, поскольку при очередной загрузке, вирус снова будет загружен в оперативную память. «

    Вирус нужно удалять, в первую очередь с жесткого диска.

    И делается это при помощи антивирусной программы, и лучше на другом компьютере.

    Тогда «вы будете уверены, что антивирус не инфицирован, вредоносным вирусом.

    Вот примерно так, можно удалить вирус из оперативной памяти.

    Требуется помощь? Мы поможем!

    1. Заполните заявку
    2. Получите предложения с ценами от проверенных мастеров и сервисов
    3. Выберите лучшего исполнителя по стоимости услуг и отзывам

    Разместите задание и узнайте цены

    • Гарантия на
      все виды работ
    • Бесплатная
      диагностика
    • Выезд специалиста
      на дом (от 30 мин.)

    Наш сайт поможет вам быстро найти частного мастера или надежный компьютерный сервис. Просто разместите свою заявку, и уже через несколько минут вы получите предложения от свободных мастеров, готовых выполнить ваш заказ.

    1. Сравните цены и выберите лучшие условия
    2. Отклики только от заинтересованных специалистов
    3. Не теряете время на общение с посредниками

    Наши сотрудники участвовали в роли экспертов в съемках специального репортажа о мошенничестве при вызове компьютерных мастеров на дом.

    Оперативная память компьютера является довольно уязвимым местом, так как именно через нее проходит основной объем входящей информации, которая поступает на компьютер через разнообразные внешние источники. Именно от ее качественной работы зависит стабильность функционирования всего компьютера в целом. Очистить оперативную память от вирусов может только опытный специалист, который может качественно провести такие работы, как:

    • диагностика проблем подключения и обнаружения источника заражения
    • определение необходимых средств по устранению вирусов
    • установка и запуск соответствующих средств защиты компьютера

    Если у вас появилась необходимость очистить оперативную память от вирусов, и, при этом, вы находитесь на территории Москвы, Санкт-Петербурга или других городов Ленинградской и Московской областей, вам предоставляется возможность воспользоваться услугами краудсорс-биржи Youdo. Все мастера, выполняющие заказы через этот ресурс, являются настоящими профессионалами и в своей работе они придерживаются таких принципов, как:

    • высокое качество и надежность проведенных работ
    • выгодные сроки выполнения заказов
    • сравнительно низкие расценки
    • сопровождение всех работ необходимыми рекомендациями по соблюдению мер безопасности

    Если вы решили очистить оперативную память от вирусов с помощью специалистов, предоставляющих услуги на краудсорс-бирже Youdo, помимо высокого качества, вы получаете возможность воспользоваться такими выгодными предложениями ресурса, как:

    • вызов специалиста на место проведения работ
    • быстрое и доступное оформление заказа
    • оплата услуг разными способами
    • обмен мнениями о качестве работ с другими пользователями, посредством отзывов

    Как удалить вирус из оперативной памяти?

    Здравствуйте. Удалить вирус из оперативной памяти можно двумя путями, переустановить либо удалить антивирусом. Для удаления антивирусом советую использовать антивирус McAfee. По данным проверки этот антивирус признан самым надежным и самым бесперебойным. Но лучше всего будет переустановить всю операционную систему, так вероятность того что вирус удалится 100 процентов. Удачи

    Здравствуйте. Удалить вирус из оперативной памяти можно двумя путями, переустановить либо удалить антивирусом. Для удаления антивирусом советую использовать антивирус McAfee. По данным проверки этот антивирус признан самым надежным и самым бесперебойным. Но лучше всего будет переустановить всю операционную систему, так вероятность того что вирус удалится 100 процентов. Удачи

    Самый простой способ — вытащить планки оперативной памяти и поменять их местами. После этого также желательно проверить весь компьютер антивирусом, рекомендую антивирус Касперского, а если это не поможет — то удалить вирус из оперативной памяти можно будет только переустановкой ОС и с полным форматированием жестких дисков.

    Между прочем, компьютерный вирус не может находиться в планках оперативной памяти, скорее всего, он просто ее использует, ну а сам прячиться гдето в системе. Так что вполне может быть достаточно проверки диска С: на вирусы. Но можно также предпринять методы указаные выше.

    «Для того чтобы удалить вирус из оперативной памяти, достаточно перезагрузить компьютер. И поскольку при перезагрузке все содержимое оперативной памяти либо удаляется, либо сбрасывается в файл подкачки, то вирус из оперативной памяти в удалите.

    Только в этом толку будет не много, поскольку при очередной загрузке, вирус снова будет загружен в оперативную память. «

    Вирус нужно удалять, в первую очередь с жесткого диска.

    И делается это при помощи антивирусной программы, и лучше на другом компьютере.

    Тогда «вы будете уверены, что антивирус не инфицирован, вредоносным вирусом.

    Вот примерно так, можно удалить вирус из оперативной памяти.

    Простые советы на все случаи жизни. Как сделать всё просто

    Не секрет, что вирус в оперативной памяти компьютера, явление очень неприятное, но очень часто встречающееся. В группу риска попадают как те, кто неправильно установил антивирусную программу или не установил ее вообще.Если антивирусная программа установлена, но вирус в операционной системе присутствует, необходимо разобраться, что происходит с вашей программой. Не исключено, что она попросту развалена вирусом либо в сигнатурном арсенале отсутствует алгоритма удаления вируса из оперативной системы, но программа предпринимает попытки удалить вирусное заражение, тогда как удалять надо именно вирус.

    До сих пор по сети бродит Conficker (Downup, Downadup или Kido) — вирус, поразивший всего за месяц 12.000.000. Он заражал дополнительные программы и файлы, не давая доступа антивирусной программе к обновлению и препятствуя ее работе.

    При этом файлы вируса располагались в папке system 32 с рандомным именем dll библиотеки.Самым кардинальным способом избавить от таких вирусов является переустановка операционной системы. Это можно сделать либо самостоятельно либо обратиться в ремонт ноутбуков в СПб (в любом другом городе), где специалисты проведут весь комплекс работ по настройке вашей машины.Но можно поступить иначе.
    1. Правильно удаляем с помощью установка/удаление программ антивирусную программу, теперь она уже бесполезна.
    2. Скачиваете и устанавливаете Ccleaner. Для начала очищаете папки temp.
    3. Далее понадобится программа для очистки вирусов. Подходит любая из тех, которые регулярно обновляются. Это может быть Dr.Web Cure it или другая.
    4. Запускаете сканирование. Все обнаруженные вирусы удаляете. Перезагружаете компьютер.

    5. Скачиваете новый антивирус. Внимание! Если до заражения была установлена Eset NOD32 antivirus, тогда ставите Avast или Avira, соответственно, если Avast ставите Eset, и наоборот. Повторно устанавливать ту же самую программу категорически запрещено, поскольку в реестре все равно останутся данные уже битого антивируса и впоследствии это приведет к сбою в работе

    Обычные вирусы оставляют следы на зараженной машине — какие-нибудь подозрительные исполняемые файлы, файлы библиотек или просто огрызки зловредного кода, которые в состоянии обнаружить антивирус или же правильный админ. Нахождение и выявление таких следов помогают идентифицировать вирус, а значит – удалить его и минимизировать последствия.

    Но противостояние меча и щита — штука вечная, и компьютерные зловреды не ограничиваются только теми, что оставляют какие-то следы на накопителях. Ведь если вирус размещается и действует только внутри оперативной памяти, не соприкасаясь с жестким диском или SSD, значит, следов на них он тоже не оставит.

    В 2014 году был ряд новостей о так называемых RAM malware, но тогда это относилось к довольно узкой группе поражаемых устройств — к платежным терминалам.

    Данные транзакций считаются защищенными, так как хранятся в зашифрованном виде на серверах платежных систем. Но существует очень короткий период времени, в течение которого информация для авторизации платежа хранится в виде plain text. Причем хранится именно в оперативной памяти платежного терминала.

    Само собой, хакерам этот кусок показался слишком лакомым, чтобы просто так пройти мимо него, и на свет появились зловреды, собирающие информацию из RAM POS-терминалов — номера карт, адреса, коды безопасности и имена пользователей.

    А затем кто-то решил пойти дальше, вспомнив, что у компьютеров тоже есть оперативная память.

    Февраль 2017 года, компания «Лаборатория Касперского» выпускает материал о том, что подобный зловред поразил компьютеры в телекоммуникационных компаниях, банках и правительственных учреждениях в 40 странах.

    • зловред прописывает себя непосредственно в оперативную память, минуя жесткие диски
    • из-за этого при проверке безопасности его не получается обнаружить
    • для прописывания зловреда в память злоумышленники использовали популярные средства администрирования — PowerShell, Mimikatz, Metasploit
    • для передачи данных использовались сайты, созданные на национальных доменах таких стран как Габон, Центральноафриканская Республика и Мали. Их домены характерны тем, что они не сохраняют WHOIS-информацию о том, кому принадлежал конкретный домен, после истечения срока его продления. То есть еще минус одна возможность как-то отследить злоумышленника.

    Киберпреступники успевали собрать данные о логинах и паролях системных администраторов, что позволяло в будущем администрировать зараженный хост. И понятно, что при такой возможности управления зараженным компьютером, можно наделать много не самых законных действий, но главное направление таких атак — это «дойка» банкоматов.

    Найти такие вирусы трудно, потому что в привычном виде они на самом деле не оставляют следов. Нет каких-то установленных приложений. Нет отдельных файлов, раскиданных в разных папках, включая системные или скрытые.

    Само собой, если вирус не оставляет следов на накопителях, на них нет и особого смысла искать. И что тогда? Правильно — реестр, дампы памяти и сетевая активность. Надо же ему как-то прописать себя в память (причем так, чтобы сохранять работоспособность и после перезагрузки машины), а затем как-то передавать данные на сервер злоумышленника.

    Специалисты “Лаборатории Касперского” тщательно проанализировали дампы памяти и записи реестра с машин, подвергшихся заражению, и с помощью Mimikatz и Meterpreter смогли реконструировать атаку.


    Фрагмент кода, загруженного с помощью Meterpreter с сайта adobeupdates.sytes[.]net

    Скрипт, сгенерированный фреймворком Metasploit.
    Выделяет необходимое количество памяти, использует WinAPI и загружает утилиту Meterpreter прямо в оперативную память.

    С одной стороны – безусловно да. Вирус, каким бы он ни был, направлен не на то, чтобы сделать вашу работу за компьютером более комфортной.

    С другой стороны, не так сильно (пока не так сильно), как обычных вирусов и тех же шифровальщиков. Хотя бы потому, что на данный момент главная цель подобных атак — финансовые учреждения, а не обычные пользователи.

    Но кто знает, как часто таких зловредов будут создавать и использовать уже в ближайшее время.
    ___________________________________________________________________________

    Напоминаем, что весна — отличный повод обновляться не только листочкам на деревьях, но и системным блокам у вас под столом. Специально для этого у Kingston действуют акции в магазинах-партнерах. Например, в сети DNS до 15 апреля можно со скидкой купить оперативную память Kingston SO-DIMM, подробности — акция и действуют специальные цены на модули памяти Kingston и HyperX для компьютеров и ноутбуков по промокоду KINGMEM. А в магазинах Ситилинк до 7 апреля скидки распространяются сразу на несколько видов оперативки, и там также важно не забывать вводить промокод — DDR3HX. Так что есть смысл поспешить за новой памятью и выгодно обновиться.

    Для получения дополнительной информации о продукции Kingston и HyperX обращайтесь на официальный сайт компании .

    Оставьте первый комментарий

    Оставить комментарий

    Ваш электронный адрес не будет опубликован.