• Добро пожаловать на сайт - Forumteam.digital !

    Что бы просматривать темы форума необходимо зарегестрироваться или войти в свой аккаунт.

    Группа в телеграме (подпишитесь, что бы не потерять нас) - ForumTeam Chat [Подписатся]
    Связь с администратором - @ftmadmin

Вирус Neshta+

Fingerlik

Проявляет активность
Местный
Регистрация
06.03.18
Сообщения
135
Реакции
88
Баллы
230
FTC
213¢
Вот что известно о нем: Neshta — зловредный код ( в дальнейшем вирус) появившился в Беларуси в конце 2005г. Имя вирус получил возможно от транслитерации белорусского слова «не́шта», означающего «нечто», «что-то», а возможно по названию города. Neshtaотносится к категории файловых вирусов— в настоящее время не сильно популярных среди вирусных программ.

В базах антивирусных программ Neshta известен, какVirus.Win32.NeshtaWin32.HLLP.Neshta (Dr. Web), Win32.NeshtaWin32.Neshuta («Symantec Antivirus»), Win32:Trojan-gen («avast!»).

(«Антивирус Касперского»), (NOD32),

При запуске зараженной программы на «чистой» машине, вирус копирует своё тело в файл svchost.com (размер — 41 472 байта) в директории Windows. После этого регистрирует этот файл в системном реестре по адресу HKCR\exefile\shell\open\command, в результате чего запуск любого exe-файла на зараженной машине будет предваряться запуском файла вируса. Затем, вирус сканирует доступные логические диски компьютера и заражает exe файлы, удовлетворяющее некоторым критериям (как правило, это подавляющее большинство exe-файлов). После заражения работа компьютера не нарушается.

Для восстановления работоспособности компьютера после удаления Neshta антивирусом может понадобиться изменить значение ключа в реестре по адресуHKCR\exefile\shell\open\command с «%Windows%\svchost.com „%1" %*»«„%1" %*» — БЕЗ упоминаний о windows\svchost.comна

Выявлен факт, что при невозможности скопировать свое тело в папку Windows, вирус пытается копировать себя в профиль учетной записи administrator. И прописывает свой запуск в реестр оттуда.

Скачал утилиту от Касперского и запустил – вирус не находит. Скачал утилиту от Доктора Веб и запустил – вирус не находит. Очень неприятный момент. Пришлось действовать головой).

Способ лечения вируса win32.neshta.a :

Первый – переустановить начисто систему, предварительно прогнав из-под DOS антивирусом. В этом случае, вы лишитесь всех файлов EXE, зараженных NESHTA.
Второй. Как ни прискорбно, но большинство антивирусов не лечат файлы зараженные NESHTA, а просто удаляют их. Но, у DRWEB есть бесплатная утилита под названиемCUREIT. Вы можете бесплатно скачать ее с сайта DRWEB. Так же вам понадобится файл реестра, который вы можете сделать сами следующим образом. Создаем текстовый документ и вносим в него следующие данные:

REGEDIT4


[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
@="\"%1\" %*"

Примечание: пустая строка после REGEDIT4 – обязательна.


Сохраняемся и закрываем текстовый документ. Затем, меняем расширение документа с TXT на REG. Запускаем полученный файл реестра и соглашаемся с добавление данных. После чего запускаем утилиту CUREIT и проводим полную проверку системы. Что удивительно, теперь утилита видит вирус и лечит его спокойно. Утилита от Касперского все и теперь не видит заражение – прискорбно. Ну продолжим… На предложения типа «лечить» соглашаемся «да для всех».
Сам как то попался, сейчас очищаю систему. Еще заметный симптом, это запуск командной строки при включении пк.
Сайт бесплатных антивирусов(лицензия) - https://www.comss.ru
 
Сверху Снизу