Как избавиться от последствий вируса Neshta.a?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Как избавиться от последствий вируса Neshta.a? - 2008-07-16 20:59:10.036666
|
|
|
Dispetch
Сообщений: 61
Оценки: 0
Присоединился: 2007-09-11 23:11:38.140000
|
Проверил комп, каспер всё вылечил, svchost.com удалил.После этого назрела такая проблемма. Запускаю любой экзешник выдаётся ошибка что "Программа не запускается!". Приходится нажимать правой кнопкой мыши и там самую первую строчку, ну выскакивает окно с выбором программ, так выбираю программу и вроде запускается. Но иногда бывает что когда выбираю программу, нажимаю открыть, то она не появляется в том окне которое выскакивает.
Вобщем подскажите пожалуйста что с этим можно сделать(нетолько с тем что в окне не появляется программа, а чтобы и ексешники сразу запускались). Может что в реестре исправить. Просто я с реестром плохо разбираюсь.
|
|
|
|
|
RE: Как избавиться от последствий вируса Neshta.a? - 2008-07-16 21:03:46.680000
|
|
|
shad0vv
Сообщений: 165
Оценки: 0
Присоединился: 2008-07-15 19:53:01.200000
|
*****Взято из www.viruslist.com*****
Virus.Win32.Neshta.a
Инсталляция В корневом каталоге Windows (%WINDIR%) производится поиск и удаление файла svchost.com. После этого создается новый файл svchost.com, содержащий в себе тело вируса.
В системном реестре создается следующая запись:
[HKCR\exefile\shell\open\command]
@="%WINDIR%\svchost.com \"%1\" %*" Таким образом, все EXE-файлы в системе при запуске будут вызывать тело вируса, который и будет производить их дальнейший запуск.
Прочее В теле вируса содержатся следующие строки:
Delphi-the best.
**** off all the rest.
Neshta 1.0
Made in Belarus.
Деструктивная активность При запуске вирус расшифровывает текстовые строки внутри себя, проверяет, является ли его длина равной 41472 байта и, если она больше (запущен зараженный файл, а не тело вируса), то происходит вызов функции расшифровки и запуска файла.
В функции расшифровки и запуска файла вирус производит расшифровку части тела программы, которая была зашифрована после внедрения тела вируса в программу. Если по каким-то причинам вирусу не получается изменить запускаемый файл, то во временном каталоге Windows (%TEMP%) создается папка 3582_490 куда расшифровывается уже чистый исполняемый файл.
После запуска производится попытка заражения файлов перечисленных в файле %WINDIR%\directx.sys, если таковой присутствует.
После этого производится проверка количества параметров, переданных при вызове файла. Если параметры присутствуют и окончание у исполняемого файла .com, то производится запуск файла, имя которого передается в виде параметра, а его полное имя помещается в файл %WINDIR%\directx.sys для дальнейшего заражения.
Дальше происходит регистрация вируса в системе (создание и регистрация файла svchost.com).
После этого вирус создает в системе уникальный идентификатор «MutexPolesskayaGlush» для определения своего присутствия в системе.
После чего выполняются следующие действия: [ul]вирус получает список дисков, которые не являются FDD и CD-ROM; производится поиск файлов по найденным дискам, причем файлы должны соответствовать заданным критериям: [ul]файлы должны быть не из каталогов %Program Files% и %WINDIR%; не заражаются файлы на логических дисках A: и B:; размер фалов должен быть не меньше 41473 и не больше 10000000 байт.[/ul][/ul] Вирус правильно обрабатывает файлы с атрибутом «только чтение». После заражения он восстанавливает начальные атрибуты файла.
Рекомендации по удалению [ol]В системном реестре изменить значение следующего ключа: [HKCR\exefile\shell\open\command] c %WINDIR%\svchost.com "%1" %* на "%1" %* Удалить файл %WINDIR%\svchost.com Произвести полную проверку компьютера и имеющиеся флоппи-диски Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).[/ol]
Если я тебе помог - став плюсик!
|
|
|
|
|
RE: Как избавиться от последствий вируса Neshta.a? - 2008-07-16 21:19:06.803333
|
|
|
Dispetch
Сообщений: 61
Оценки: 0
Присоединился: 2007-09-11 23:11:38.140000
|
Пробую зайти в реестр Выполнить-regedit, опять же появляется окно для выбора программ. Что делать?
|
|
|
|
|
RE: Как избавиться от последствий вируса Neshta.a? - 2008-07-16 21:22:37.193333
|
|
|
shad0vv
Сообщений: 165
Оценки: 0
Присоединился: 2008-07-15 19:53:01.200000
|
Выбери прогу windows\system32\regedt32.exe?
|
|
|
|
|
RE: Как избавиться от последствий вируса Neshta.a? - 2008-07-16 21:32:57.506666
|
|
|
Dispetch
Сообщений: 61
Оценки: 0
Присоединился: 2007-09-11 23:11:38.140000
|
Кароче эта прога чегота незапускается. Скачал другую. %WINDIR% - это типа С:\Windows и т.д. например да???
|
|
|
|
|
RE: Как избавиться от последствий вируса Neshta.a? - 2008-07-16 21:34:50.380000
|
|
|
shad0vv
Сообщений: 165
Оценки: 0
Присоединился: 2008-07-15 19:53:01.200000
|
да…
|
|
|
|
|
RE: Как избавиться от последствий вируса Neshta.a? - 2008-07-16 21:39:02.476666
|
|
|
Dispetch
Сообщений: 61
Оценки: 0
Присоединился: 2007-09-11 23:11:38.140000
|
Спасибо АГРОМНЕЙШОЕ ТЕБЕ ЧЕЛОВЕК С БОЛЬШОЙ БУКВЫ. ВЫРУЧИЛ. ДЕРЖИ ПЛЮС :) :) :)
|
|
|
|
|
RE: Как избавиться от последствий вируса Neshta.a? - 2008-07-16 21:39:46.040000
|
|
|
Dispetch
Сообщений: 61
Оценки: 0
Присоединился: 2007-09-11 23:11:38.140000
|
Даже два
|
|
|
|
|
RE: Как избавиться от последствий вируса Neshta.a? - 2008-07-17 04:16:13.676666
|
|
|
mactep.Black
Сообщений: 6065
Оценки: 678
Присоединился: 2008-02-28 13:01:19.656666
|
приятно просто помогать людям.. а не плюсики себе выпрашивать.
|
|
|
|
|
RE: Как избавиться от последствий вируса Neshta.a? - 2008-07-17 13:20:34.110000
|
|
|
shad0vv
Сообщений: 165
Оценки: 0
Присоединился: 2008-07-15 19:53:01.200000
|
Приятно когда люди ценят твою роботу…
но вообщем, спс за замечание, беде иметь ввиду…
|
|
|
|
|
|
приятно помогать таким людям 8D