Как вылечить вирус neshta a вирус

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Win32.HLLP.Neshta
Вообщем поправил реестр, почистил вебом ком,п вроде бы норм но сегодня появился опять один.

Win32.HLLP.Neshta
Здравствуйте! Поймал вирус Win32.HLLP.Neshta - так его определили лечащие утилиты, которыми я.

Забанен за флуд

Вирус поражает все ехе файлы. Не возможно ни чего запустить ни с рабочего стола, ни через командную строку.
Можно ли его победить без перестановки виндовс?

Вирус поражает все ехе файлы. Не возможно ни чего запустить ни с рабочего стола, ни через командную строку.
Можно ли его победить без перестановки виндовс?

Можно. Загрузитесь с внешнего носителя - LiveCD, BartPE, WinPE - и тщательно проверьте всё.

А можно как-нибудь проще это сделать. Заменить файл реестра. Может есть у кого-нибудь.

А можно как-нибудь проще это сделать. Заменить файл реестра. Может есть у кого-нибудь.

Нет. Проще не получится. Вирус одним изменением реестра не вылечить. Берите внешний носитель с ОС, записывайте на него свежий CureIt! и, загрузившись с него, лечите систему.

А можно как-нибудь проще это сделать. Заменить файл реестра. Может есть у кого-нибудь.

Нет. Проще не получится. Вирус одним изменением реестра не вылечить. Берите внешний носитель с ОС, записывайте на него свежий CureIt! и, загрузившись с него, лечите систему.

Дело в том, что не запускаются ехе файлы после лечения.
Не было антивируса, принесли вместе с зараженными файлами, вирус проник в систему, установил антивирус, но после проверки не запускаются ехе файлы. О как. Как быть? Только внешний носитель и все?

Необходим файл до лечения и файл после лечения.

Дело в том, что не запускаются ехе файлы после лечения.
Не было антивируса, принесли вместе с зараженными файлами, вирус проник в систему, установил антивирус, но после проверки не запускаются ехе файлы. О как. Как быть? Только внешний носитель и все?

Если не запускаются EXE файлы - запустите приложенный к сообщентю файл.

Так как файл приложить не удалось - то сохраните эти данные в виде 1.reg и запустите его.

Ребята я дуб дубом в более глубоких вопросах о компах.
Расскажите по подробнее или киньте ссылку где прочитать.
Спасибо.

А что конкретно непонятно? Откройте Блокнот, скопируйте туда текст из поста Malex'а, сохраните в файле с расширением .reg, потом запустите этот файл. По поводу логов и проч. - читайте прикрепленные темы в этом разделе:

Дело в том, что не запускаются ехе файлы после лечения.
Не было антивируса, принесли вместе с зараженными файлами, вирус проник в систему, установил антивирус, но после проверки не запускаются ехе файлы. О как. Как быть? Только внешний носитель и все?

Если не запускаются EXE файлы - запустите приложенный к сообщентю файл.

Так как файл приложить не удалось - то сохраните эти данные в виде 1.reg и запустите его.

С Нештой боролись года три назад, там всё достаточно прозрачно - в смысле повреждений. И чрезвычайно затруднительно долечивать после кавалерийского порубания направо-налево. Насколько я помню, .reg там тоже переассоциирован.

Ситуация, IMHO, из верии "везите к нам". Нужна достаточно высокая квалификация врачевателя, возможно, вообще Live CD потребуется.

Не правда Ваша. Сначала нужно узнать что "там". Исправление "после". Вы стараетесь помочь одному(но хотелось бы получить больше инфы для помощи многим)

Не правда Ваша. Сначала нужно узнать что "там". Исправление "после". Вы стараетесь помочь одному(но хотелось бы получить больше инфы для помощи многим)

Нешта писана нами
1) reg там не переассоциирован
2) искать других зверей можно будет после того, как из рабочей системы будут запускаться cureit и пр.

В нашей классификации такого нет- Virus.win32.neshta.a

Логически -вирус по классификации касперов? Далее-лечение W32 вирусов не в нашей компетенции. Какие могут быть реги? Где детект АВ дрвеб? Не навреди (с)

Логически -вирус по классификации касперов? Далее-лечение W32 вирусов не в нашей компетенции. Какие могут быть реги? Где детект АВ дрвеб? Не навреди (с)

Мой дорогой друг.
Выставление по дефолту параметра запуска EXE файла ещё никого не убила в этом мире. Это можно делать каждый день без опаски за какие-либо повреждения.
Лечение я человеку не предлагал, я ему предложил возможность запускать exe файлы.
Реги могут быть разные. Остальное мне не интересно.

Но ты конечно можешь снова поспорить.

Ситуация, IMHO, из верии "везите к нам". Нужна достаточно высокая квалификация врачевателя, возможно, вообще Live CD потребуется.

Логически -вирус по классификации касперов? Далее-лечение W32 вирусов не в нашей компетенции. Какие могут быть реги? Где детект АВ дрвеб? Не навреди (с)

Мой дорогой друг.
Выставление по дефолту параметра запуска EXE файла ещё никого не убила в этом мире.

Это можно делать каждый день без опаски за какие-либо повреждения.

Лечение я человеку не предлагал, я ему предложил возможность запускать exe файлы.
Реги могут быть разные. Остальное мне не интересно.

Но ты конечно можешь снова поспорить.

Обязательно поспорю. Исправление запуска *.exe при активном заражении ни к чему не приведет (я это схавал в Николаеве и в Одессе в инет-кафешках. а у меня была флешка с всеми инструментами. Да и Сектор меня поставил на место. )

Обязательно поспорю. Исправление запуска *.exe при активном заражении ни к чему не приведет (я это схавал в Николаеве и в Одессе в инет-кафешках. а у меня была флешка с всеми инструментами. Да и Сектор меня поставил на место. )

Возможность запуска *.exe при файловом вирусе до опы. Сначала определите инфекцию.

Дело в том, что не запускаются ехе файлы после лечения.

Где тут активное заражение? Да, понимаю, что если оно есть, то моя инструкция ни к чему не приведёт, но если вирус побит, и осталось чутка подправить реестр (чем здесь и пахнет), то тогда мой совет очень даже ничего.

Меня уже начинает радовать факт, что в репликах исчезает "деструктивность" моих советов и плавно переходит в "бесполезность".
Глядишь, ещё через парочку топикстартер отпишется, что у него всё нормально и файлы отлично открываются.

P.S.
Дорогой друг, не давайте "секторам" ставить себя "на место".

Обязательно поспорю. Исправление запуска *.exe при активном заражении ни к чему не приведет (я это схавал в Николаеве и в Одессе в инет-кафешках. а у меня была флешка с всеми инструментами. Да и Сектор меня поставил на место. )

Возможность запуска *.exe при файловом вирусе до опы. Сначала определите инфекцию.

Дело в том, что не запускаются ехе файлы после лечения.

Где тут активное заражение? Да, понимаю, что если оно есть, то моя инструкция ни к чему не приведёт, но если вирус побит, и осталось чутка подправить реестр (чем здесь и пахнет), то тогда мой совет очень даже ничего.

Меня уже начинает радовать факт, что в репликах исчезает "деструктивность" моих советов и плавно переходит в "бесполезность".
Глядишь, ещё через парочку топикстартер отпишется, что у него всё нормально и файлы отлично открываются.

P.S.
Дорогой друг, не давайте "секторам" ставить себя "на место".

Ну йопта. А что за вирус?

Сканер DrWeb подправляет в реестре ошибки после лечения каспера?

1. Обновите антивирус и антивирусные базы.
2. ОтключИте компьютер от сети.
3. ЗагрузИтесь в безопасном режиме.
4. ОтключИте восстановление системы.
5. ЛечИте систему - полное сканирование всех логических дисков.
6. На всякий случай создайте файл exe.reg следующего содержания:
== cut ==
REGEDIT4

== cut ==
Если вдруг после лечения екзешники не запустятся, то щелкнете по этому файлу и внесете изменения в реестр.
По-моему, фсё.

добавлю - а после того как EXE станут запускаться - скачать AVZ4 и в нем реально восстановить все остальное (мало ли. )

1. Обновите антивирус и антивирусные базы.
2. ОтключИте компьютер от сети.
3. ЗагрузИтесь в безопасном режиме.
4. ОтключИте восстановление системы.
5. ЛечИте систему - полное сканирование всех логических дисков.
6. На всякий случай создайте файл exe.reg следующего содержания:
== cut ==
REGEDIT4

== cut ==
Если вдруг после лечения екзешники не запустятся, то щелкнете по этому файлу и внесете изменения в реестр.
По-моему, фсё.

Cпасибо Борка, всё сделала как вы сказали. всё идет отлично, пару экзешников не открываецца и я сделала как вы сказали дальше..создала файл exe.reg. и в hkey_ classess_root всё прописала. и вот. пипец сосвсем стал. не могу вообще ничего открыть..пишет что нет доступа и всё. что теперь делать..час от часу не легче..одна надежда на ваас Борка.

создайте файл (хоть на рабочем столе, хоть где) со следующим содержимым:

назовите его EXE.ZZZ
потом выберите на нем "Открыть с помощью. " - в папке Windows есть файл REGEDIT.EXE - вот с его помощью и откройте.
ответьте "ДА" на вопрос. проверьте запускаемость файлов - если не помоголо - сразу отпишитесь сюда

При запуске вирус расшифровывает текстовые строки внутри себя, проверяет, является ли его длина равной 41472 байта и, если она больше (запущен зараженный файл, а не тело вируса), то происходит вызов функции расшифровки и запуска файла.

В функции расшифровки и запуска файла вирус производит расшифровку части тела программы, которая была зашифрована после внедрения тела вируса в программу. Если по каким-то причинам вирусу не получается изменить запускаемый файл, то во временном каталоге Windows (%TEMP%) создается папка 3582_490 куда расшифровывается уже чистый исполняемый файл.

После запуска производится попытка заражения файлов перечисленных в файле %WINDIR%\directx.sys, если таковой присутствует.

После этого производится проверка количества параметров, переданных при вызове файла. Если параметры присутствуют и окончание у исполняемого файла .com, то производится запуск файла, имя которого передается в виде параметра, а его полное имя помещается в файл %WINDIR%\directx.sys для дальнейшего заражения.

Дальше происходит регистрация вируса в системе (создание и регистрация файла svchost.com).

После чего выполняются следующие действия:
вирус получает список дисков, которые не являются FDD и CD-ROM;
производится поиск файлов по найденным дискам, причем файлы должны соответствовать заданным критериям:
файлы должны быть не из каталогов %Program Files% и %WINDIR%;
не заражаются файлы на логических дисках A: и B:;
размер фалов должен быть не меньше 41473 и не больше 10000000 байт.

85%)
2. Кто пытался вылечиться, скажите пожалуйста, сейчас файлы считаются неизлечимыми и удаляются или ситуация изменилась в лучшию сторону?

Участники

Здравствуйте, зараженный комп находится в 1000 км. у мамы, работаю через таймвивер.

Что с ним, не знаю, но Касперский интернет секюрити ругается даже на свой инсталяционный файл и находит вот такую бяку Virus.Win32.Neshta.a, Virus.Win32.Agent.icqj.

Kaspersky Virus Removal Tool 2015 угроз не обнаружил.

Гугл Хром постоянно вырубается, даже при работе AutoLogger произошел очередной сбой (Произошел сбой Google Chrome. Перезапустить?), ко многим exe-шным файлам закрыт доступ (такое чувство что через групповую политику кто-то его закрыл, файл gpedit.msc тоже не запускается. Всё висит и страшно тупит.

Всё сделал по инструкции, логи приложил, жду Вашей помощи.

Файловый вирус лучше лечить, загрузившись с Live CD.

Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect

Участники

Файловый вирус лучше лечить, загрузившись с Live CD.

Других вариантов нет?

Увы. Лечить файловый вирус из-под больной системы можно долго и бесполезно.

Как вариант, подключить винчестер с проблемной машины к другому компьютеру с действующим антивирусом. Но вряд ли и этот вариант Вам подойдет

Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect

Участники

Увы. Лечить файловый вирус из-под больной системы можно долго и бесполезно.

Как вариант, подключить винчестер с проблемной машины к другому компьютеру с действующим антивирусом. Но вряд ли и этот вариант Вам подойдет

нашел на просторах сети инструкцию, по ней, обнаружился один зверь Trojan.Yontoo.1734 (пока что )

Как ни прискорбно, но большинство антивирусов не лечат файлы зараженные NESHTA, а просто удаляют их. . Так же вам понадобится файл реестра, который вы можете сделать сами следующим образом. Создаем текстовый документ и вносим в него следующие данные:

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
@="\"%1\" %*"

попробую её, если не получится, буду отправлять мамку к спецам ))), для переустановки системы.

Файловый вирус с легкостью может заразить и лечащие утилиты, если их запускать прямо с винчестера. Опять же, как вариант, записать утилиту на CD (DVD) и запускать проверку с нее

Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect

Что делать, если антивирус обнаружил not-a-virus: какие они бывают и с чем их едят.

21 августа 2017

Иногда Kaspersky Internet Security вдруг выводит желтое окошко и пишет, что на вашем компьютере обнаружен not-a-virus. Немудрено смутиться: если это не-вирус, то зачем антивирусная программа мне об этом сообщает?

В Kaspersky Internet Security словом Not-a-virus называются по большому счету два типа программ — adware и riskware. Оба эти типа не зловредны сами по себе, поэтому вирусами их не назовешь. Однако пользователю неплохо бы знать об их существовании, поскольку эти программы могут делать что-то, что ему может не понравиться.

Что такое Adware

Adware — это рекламные приложения. Они могут показывать вам рекламу, менять поисковую выдачу, подсовывая одни сайты взамен других, собирать о вас данные, чтобы в дальнейшем подстраивать контекстную рекламу под ваши интересы, или делать все это сразу.

Вроде бы ничего зловредного, но и ничего приятного тоже. Особенно весело становится тогда, когда подобных программ на компьютер пробирается десяток-другой и они начинают конкурировать друг с другом за ресурсы.

Если же рекламная программа никак не уведомляет пользователя о том, что она пытается установиться на компьютер, то Kaspersky Internet Security считает такую программу зловредным трояном. Тогда сообщение будет уже не в желтой, а в красной рамочке, и работа такой программы будет немедленно заблокирована. Кстати, тут можно подробнее почитать о том, что означают цвета окошек уведомлений в наших продуктах.

Riskware — немного другое дело. В этот тип попадают разнообразные программы, которые изначально созданы для чего-то полезного и могут использоваться на компьютере по назначению. Но зачастую их устанавливают — без ведома пользователя, разумеется — злоумышленники в недобрых целях. Полный список типов программ, которые мы относим к riskware, можно посмотреть тут.

Например, к riskware относятся программы для удаленного управления компьютером (Remote Admin). Если вы сами установили такую программу и знаете, что делаете, то никакого вреда она не принесет. Однако плохие парни нередко используют программы такого рода как часть зловредного комплекса, — и в этом случае пользователю полезно знать о том, что на его компьютере неожиданно завелось что-то подобное.

Другой пример — утилиты для загрузки файлов. Многие из них действительно повышают удобство загрузки файлы. Но некоторые работают на грани фола, вместе с полезным файлом норовя загрузить еще пачку других программ, показав предупреждение о том, что загружен будет не только искомый файл, например, серым шрифтом на сером фоне.

Из прочих распространенных видов riskware стоит упомянуть тулбары, которые, кстати, также могут относиться и к adware — в зависимости от функциональности и степени навязчивости. Бывают и другие расширения для браузера, которые также могут относиться к riskware.

Еще в категорию riskware попадают майнеры — программы для добычи биткоинов. Разумеется, если вы сами сознательно поставили на свой компьютер майнер, то все хорошо. Но вполне может быть так, что кто-то сделал это без вашего ведома — и теперь расходует ресурсы вашего компьютера для собственного обогащения.

Kaspersky Internet Security выводит уведомления об обнаружении такого рода программ, чтобы вы знали, что они есть на вашем компьютере. Возможно, вы поставили их осознанно — как мы уже говорили, среди riskware-приложений бывают очень даже полезные. В таком случае можно не беспокоиться.

С другой стороны, возможно, очередной not-a-virus пробрался на компьютер незамеченным. И в этом случае вам лучше знать, что эта программа относится либо к riskware, либо к adware. Поэтому пользователю предлагается выбрать, что делать с программой. Если вы ее не ставили — то лучше удалить.

Neshta — довольно старый файловый вирус, который до сих пор широко распространен. Изначально он был обнаружен в 2003 году и ранее ассоциировался с вредоносным ПО BlackPOS. Он добавляет вредоносный код в зараженные файлы. В основном эта угроза попадает в среду посредством непреднамеренной загрузки или с помощью других вредоносных программ. Он заражает исполняемые файлы Windows и может атаковать сетевые ресурсы и съемные носители.

В 2018 году Neshta преимущественно ориентировалась на обрабатывающую промышленность, но также атаковала финансовый, потребительский и энергетический секторы. В целях устойчивости в системе Neshta переименовывает себя в svchost.com, а затем изменяет реестр, чтобы он запускался каждый раз при запуске .exe файла. Известно, что эта угроза собирает системную информацию и использует POST запросы для эксфильтрации данных на сервера, контролируемые злоумышленниками. Двоичные файлы Neshta, использованные в нашем анализе, не продемонстрировали поведение или функциональность эксфильтрации данных.

В этом разделе описываются симптомы заражения Neshta. Мы взяли образцы вируса закачанные на VirusTotal в 2007, 2008 и 2019.

Мы проанализировали файлы со следующими SHA-256 хэшами:

• 29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
• 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
• 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
• a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
• 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
• c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75

Код Neshta скомпилирован с помощью Borland Delphi 4.0. Размер файла обычно составляет 41,472 байта.

Как и любой бинарный файл Delphi, Neshta имеет четыре записываемых (DATA, BSS, .idata и .tls) и три разделяемых секции (.rdata, .reloc и .rsrc):

Рисунок 1. Особенности хедеров секций.

Кроме того, код Neshta демонстрирует любопытные строки — см. рисунок 2 ниже:

“Delphi-the best. F*** off all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм

беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама :) Восень- кепская пара… Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]”
(«Delphi — лучший. Остальные идут на***. Neshta 1.0 Сделано в Беларуси. Привет всем