Как вылечить вирус neshta a вирус
Virus.Win32.Neshta.a
В поиске темы не нашел. Как убить эту гадость - Virus.Win32.Neshta.a? Находит и заражает.
Лечение вируса на слабых ПК - New Folder (Вирус или Worm.Win32,AutoIt.aea или Virus.Win32.Sality.gen)
В школе в комп класе на компах появился вирус - New Folder (Вирус или Worm.Win32,AutoIt.aea или.
Win32:Neshta
Как же мне надоел этот вирус. Пожалуйста,помогите с лечением *.exe файлов системы!CureIt.
Win32:Neshta
Вчера на компьютере появился вирус Neshta, выполнил проверку Dr.Web CureIt, нашел несколько.
Вы заражены файловым вирусом! Пожалуйста, пролечитесь как указано в этой теме: Как вылечить систему от файлового вируса?, а после этого:
Добавлено через 52 секунды
+
Файл
2.
- Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
- Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
- Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
- Введите sfc /scannow и нажмите Энтер.
- Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
- После того как закончится проверка в командной строке введите команду:
20.10.2014, 15:55 |
20.10.2014, 15:55 |
Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь. Win32.HLLP.Neshta Забанен за флуд
Можно. Загрузитесь с внешнего носителя - LiveCD, BartPE, WinPE - и тщательно проверьте всё.
Нет. Проще не получится. Вирус одним изменением реестра не вылечить. Берите внешний носитель с ОС, записывайте на него свежий CureIt! и, загрузившись с него, лечите систему.
Нет. Проще не получится. Вирус одним изменением реестра не вылечить. Берите внешний носитель с ОС, записывайте на него свежий CureIt! и, загрузившись с него, лечите систему. Дело в том, что не запускаются ехе файлы после лечения. Необходим файл до лечения и файл после лечения.
Если не запускаются EXE файлы - запустите приложенный к сообщентю файл. Так как файл приложить не удалось - то сохраните эти данные в виде 1.reg и запустите его.
А что конкретно непонятно? Откройте Блокнот, скопируйте туда текст из поста Malex'а, сохраните в файле с расширением .reg, потом запустите этот файл. По поводу логов и проч. - читайте прикрепленные темы в этом разделе:
Если не запускаются EXE файлы - запустите приложенный к сообщентю файл. Так как файл приложить не удалось - то сохраните эти данные в виде 1.reg и запустите его. С Нештой боролись года три назад, там всё достаточно прозрачно - в смысле повреждений. И чрезвычайно затруднительно долечивать после кавалерийского порубания направо-налево. Насколько я помню, .reg там тоже переассоциирован. Ситуация, IMHO, из верии "везите к нам". Нужна достаточно высокая квалификация врачевателя, возможно, вообще Live CD потребуется.
Нешта писана нами В нашей классификации такого нет- Virus.win32.neshta.a Логически -вирус по классификации касперов? Далее-лечение W32 вирусов не в нашей компетенции. Какие могут быть реги? Где детект АВ дрвеб? Не навреди (с)
Мой дорогой друг. Но ты конечно можешь снова поспорить.
Мой дорогой друг. Это можно делать каждый день без опаски за какие-либо повреждения. Лечение я человеку не предлагал, я ему предложил возможность запускать exe файлы. Но ты конечно можешь снова поспорить. Обязательно поспорю. Исправление запуска *.exe при активном заражении ни к чему не приведет (я это схавал в Николаеве и в Одессе в инет-кафешках. а у меня была флешка с всеми инструментами. Да и Сектор меня поставил на место. )
Возможность запуска *.exe при файловом вирусе до опы. Сначала определите инфекцию.
Где тут активное заражение? Да, понимаю, что если оно есть, то моя инструкция ни к чему не приведёт, но если вирус побит, и осталось чутка подправить реестр (чем здесь и пахнет), то тогда мой совет очень даже ничего. Меня уже начинает радовать факт, что в репликах исчезает "деструктивность" моих советов и плавно переходит в "бесполезность". P.S.
Возможность запуска *.exe при файловом вирусе до опы. Сначала определите инфекцию.
Где тут активное заражение? Да, понимаю, что если оно есть, то моя инструкция ни к чему не приведёт, но если вирус побит, и осталось чутка подправить реестр (чем здесь и пахнет), то тогда мой совет очень даже ничего. Меня уже начинает радовать факт, что в репликах исчезает "деструктивность" моих советов и плавно переходит в "бесполезность". P.S. Ну йопта. А что за вирус? Сканер DrWeb подправляет в реестре ошибки после лечения каспера? 1. Обновите антивирус и антивирусные базы. == cut == добавлю - а после того как EXE станут запускаться - скачать AVZ4 и в нем реально восстановить все остальное (мало ли. ) 1. Обновите антивирус и антивирусные базы. == cut == Cпасибо Борка, всё сделала как вы сказали. всё идет отлично, пару экзешников не открываецца и я сделала как вы сказали дальше..создала файл exe.reg. и в hkey_ classess_root всё прописала. и вот. пипец сосвсем стал. не могу вообще ничего открыть..пишет что нет доступа и всё. что теперь делать..час от часу не легче..одна надежда на ваас Борка. создайте файл (хоть на рабочем столе, хоть где) со следующим содержимым: назовите его EXE.ZZZ При запуске вирус расшифровывает текстовые строки внутри себя, проверяет, является ли его длина равной 41472 байта и, если она больше (запущен зараженный файл, а не тело вируса), то происходит вызов функции расшифровки и запуска файла. В функции расшифровки и запуска файла вирус производит расшифровку части тела программы, которая была зашифрована после внедрения тела вируса в программу. Если по каким-то причинам вирусу не получается изменить запускаемый файл, то во временном каталоге Windows (%TEMP%) создается папка 3582_490 куда расшифровывается уже чистый исполняемый файл. После запуска производится попытка заражения файлов перечисленных в файле %WINDIR%\directx.sys, если таковой присутствует. После этого производится проверка количества параметров, переданных при вызове файла. Если параметры присутствуют и окончание у исполняемого файла .com, то производится запуск файла, имя которого передается в виде параметра, а его полное имя помещается в файл %WINDIR%\directx.sys для дальнейшего заражения. Дальше происходит регистрация вируса в системе (создание и регистрация файла svchost.com). После чего выполняются следующие действия: 85%)
Участники Здравствуйте, зараженный комп находится в 1000 км. у мамы, работаю через таймвивер. Что с ним, не знаю, но Касперский интернет секюрити ругается даже на свой инсталяционный файл и находит вот такую бяку Virus.Win32.Neshta.a, Virus.Win32.Agent.icqj. Kaspersky Virus Removal Tool 2015 угроз не обнаружил. Гугл Хром постоянно вырубается, даже при работе AutoLogger произошел очередной сбой (Произошел сбой Google Chrome. Перезапустить?), ко многим exe-шным файлам закрыт доступ (такое чувство что через групповую политику кто-то его закрыл, файл gpedit.msc тоже не запускается. Всё висит и страшно тупит. Всё сделал по инструкции, логи приложил, жду Вашей помощи.
Файловый вирус лучше лечить, загрузившись с Live CD. Microsoft MVP 2012-2016 Consumer Security
Участники Файловый вирус лучше лечить, загрузившись с Live CD. Других вариантов нет?
Увы. Лечить файловый вирус из-под больной системы можно долго и бесполезно. Как вариант, подключить винчестер с проблемной машины к другому компьютеру с действующим антивирусом. Но вряд ли и этот вариант Вам подойдет Microsoft MVP 2012-2016 Consumer Security
Участники Увы. Лечить файловый вирус из-под больной системы можно долго и бесполезно. Как вариант, подключить винчестер с проблемной машины к другому компьютеру с действующим антивирусом. Но вряд ли и этот вариант Вам подойдет нашел на просторах сети инструкцию, по ней, обнаружился один зверь Trojan.Yontoo.1734 (пока что ) Как ни прискорбно, но большинство антивирусов не лечат файлы зараженные NESHTA, а просто удаляют их. . Так же вам понадобится файл реестра, который вы можете сделать сами следующим образом. Создаем текстовый документ и вносим в него следующие данные: попробую её, если не получится, буду отправлять мамку к спецам ))), для переустановки системы.
Файловый вирус с легкостью может заразить и лечащие утилиты, если их запускать прямо с винчестера. Опять же, как вариант, записать утилиту на CD (DVD) и запускать проверку с нее Microsoft MVP 2012-2016 Consumer Security Что делать, если антивирус обнаружил not-a-virus: какие они бывают и с чем их едят. 21 августа 2017
Иногда Kaspersky Internet Security вдруг выводит желтое окошко и пишет, что на вашем компьютере обнаружен not-a-virus. Немудрено смутиться: если это не-вирус, то зачем антивирусная программа мне об этом сообщает? В Kaspersky Internet Security словом Not-a-virus называются по большому счету два типа программ — adware и riskware. Оба эти типа не зловредны сами по себе, поэтому вирусами их не назовешь. Однако пользователю неплохо бы знать об их существовании, поскольку эти программы могут делать что-то, что ему может не понравиться. Что такое AdwareAdware — это рекламные приложения. Они могут показывать вам рекламу, менять поисковую выдачу, подсовывая одни сайты взамен других, собирать о вас данные, чтобы в дальнейшем подстраивать контекстную рекламу под ваши интересы, или делать все это сразу. Вроде бы ничего зловредного, но и ничего приятного тоже. Особенно весело становится тогда, когда подобных программ на компьютер пробирается десяток-другой и они начинают конкурировать друг с другом за ресурсы. Если же рекламная программа никак не уведомляет пользователя о том, что она пытается установиться на компьютер, то Kaspersky Internet Security считает такую программу зловредным трояном. Тогда сообщение будет уже не в желтой, а в красной рамочке, и работа такой программы будет немедленно заблокирована. Кстати, тут можно подробнее почитать о том, что означают цвета окошек уведомлений в наших продуктах. Riskware — немного другое дело. В этот тип попадают разнообразные программы, которые изначально созданы для чего-то полезного и могут использоваться на компьютере по назначению. Но зачастую их устанавливают — без ведома пользователя, разумеется — злоумышленники в недобрых целях. Полный список типов программ, которые мы относим к riskware, можно посмотреть тут. Например, к riskware относятся программы для удаленного управления компьютером (Remote Admin). Если вы сами установили такую программу и знаете, что делаете, то никакого вреда она не принесет. Однако плохие парни нередко используют программы такого рода как часть зловредного комплекса, — и в этом случае пользователю полезно знать о том, что на его компьютере неожиданно завелось что-то подобное. Другой пример — утилиты для загрузки файлов. Многие из них действительно повышают удобство загрузки файлы. Но некоторые работают на грани фола, вместе с полезным файлом норовя загрузить еще пачку других программ, показав предупреждение о том, что загружен будет не только искомый файл, например, серым шрифтом на сером фоне. Из прочих распространенных видов riskware стоит упомянуть тулбары, которые, кстати, также могут относиться и к adware — в зависимости от функциональности и степени навязчивости. Бывают и другие расширения для браузера, которые также могут относиться к riskware. Еще в категорию riskware попадают майнеры — программы для добычи биткоинов. Разумеется, если вы сами сознательно поставили на свой компьютер майнер, то все хорошо. Но вполне может быть так, что кто-то сделал это без вашего ведома — и теперь расходует ресурсы вашего компьютера для собственного обогащения. Kaspersky Internet Security выводит уведомления об обнаружении такого рода программ, чтобы вы знали, что они есть на вашем компьютере. Возможно, вы поставили их осознанно — как мы уже говорили, среди riskware-приложений бывают очень даже полезные. В таком случае можно не беспокоиться. С другой стороны, возможно, очередной not-a-virus пробрался на компьютер незамеченным. И в этом случае вам лучше знать, что эта программа относится либо к riskware, либо к adware. Поэтому пользователю предлагается выбрать, что делать с программой. Если вы ее не ставили — то лучше удалить. Neshta — довольно старый файловый вирус, который до сих пор широко распространен. Изначально он был обнаружен в 2003 году и ранее ассоциировался с вредоносным ПО BlackPOS. Он добавляет вредоносный код в зараженные файлы. В основном эта угроза попадает в среду посредством непреднамеренной загрузки или с помощью других вредоносных программ. Он заражает исполняемые файлы Windows и может атаковать сетевые ресурсы и съемные носители. В 2018 году Neshta преимущественно ориентировалась на обрабатывающую промышленность, но также атаковала финансовый, потребительский и энергетический секторы. В целях устойчивости в системе Neshta переименовывает себя в svchost.com, а затем изменяет реестр, чтобы он запускался каждый раз при запуске .exe файла. Известно, что эта угроза собирает системную информацию и использует POST запросы для эксфильтрации данных на сервера, контролируемые злоумышленниками. Двоичные файлы Neshta, использованные в нашем анализе, не продемонстрировали поведение или функциональность эксфильтрации данных. В этом разделе описываются симптомы заражения Neshta. Мы взяли образцы вируса закачанные на VirusTotal в 2007, 2008 и 2019. Мы проанализировали файлы со следующими SHA-256 хэшами:
Код Neshta скомпилирован с помощью Borland Delphi 4.0. Размер файла обычно составляет 41,472 байта. Как и любой бинарный файл Delphi, Neshta имеет четыре записываемых (DATA, BSS, .idata и .tls) и три разделяемых секции (.rdata, .reloc и .rsrc):
Кроме того, код Neshta демонстрирует любопытные строки — см. рисунок 2 ниже:
беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама :) Восень- кепская пара… Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]”
Сводка процесса заражения описана ниже и на рисунке 3.
Эти действия позволяют запускать вредоносный код сразу после запуска зараженного файла:
При запуске зараженного файла исходная программа помещается в %Temp%\3582-490\ и запускается с помощью WinExec API. Приложение
o 29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a o 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2 o 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d o a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2 o 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00 o c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75
o Delphi-the best. F**k off all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама :) Восень- кепская пара… Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas] Читайте также:
|