| VL@DLEN25 | Дата: Четверг, 26/Июн/2014, 21:35 | Сообщение # 1 |
 ►Администратор
Группа: Администраторы
Сообщений: 41
Награды: 0
Репутация: 100
Статус: Offline
| Neshta — компьютерный вирус, который впервые появился в Беларуси (конец 2005 года). Название вируса происходит от транслитерации белорусского слова «не́шта», которое означает «нечто», «что-то». Neshta относится к категории файловых вирусов — ныне мало популярному виду вредоносных программ.
В ативирусных программах Neshta известен как
Virus.Win32.Neshta (Антивирус Касперского),
Win32.HLLP.Neshta (Dr. Web),
Win32.Neshta (NOD32),
Win32.Neshuta («Symantec Antivirus»),
Win32:Neshta(«avast!»).
Neshta является первым белорусским вирусом, получившим широкое распространение (в основном, в самой Беларуси и странах СНГ). При том, что вирус не содержит в себе разрушительной функции, в первые месяцы его распространения большое число компьютеров в Беларуси пострадало как раз от его лечения. Это было связано с тем, что популярные антивирусы удаляли сам вирус, но не возвращали некоторые изменённые вирусом значения в реестре ОС Windows в первоначальный вид. В результате, нормально работавшая до лечения система, при попытке запустить любую программу выдавала стандартное сообщение об ошибке Windows: «Не удалось открыть следующий файл…»
При запуске зараженной программы на «чистой» машине, вирус копирует своё тело в файл svchost.com (размер — 41 472 байта) в директории Windows. После этого регистрирует этот файл в системном реестре по адресу HKCR\exefile\shell\open\command, в результате чего запуск любого exe-файла на зараженной машине будет предваряться запуском файла вируса. Затем, вирус сканирует доступные логические диски компьютера и заражает exe файлы, удовлетворяющее некоторым критериям (как правило, это подавляющее большинство exe-файлов). После заражения работа компьютера не нарушается.
Способ лечения вируса win32.neshta : 1й– переустановить начисто систему, предварительно прогнав из-под DOS антивирусом. В этом случае, вы лишитесь всех файлов EXE, зараженных NESHTA.
2й. Как ни прискорбно, но большинство антивирусов не лечат файлы зараженные NESHTA, а просто удаляют их. Но, у DRWEB есть бесплатная утилита под названием CUREIT. Вы можете бесплатно скачать ее с сайта DRWEB. Так же вам понадобится файл реестра, который вы можете сделать сами следующим образом. Создаем текстовый документ и вносим в него следующие данные:
REGEDIT4
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
@="\"%1\" %*"
Примечание: пустая строка после REGEDIT4 – обязательна.
Сохраняемся и закрываем текстовый документ. Затем, меняем расширение документа с TXT на REG. Запускаем полученный файл реестра и соглашаемся с добавление данных. После чего запускаем утилиту CUREIT и проводим полную проверку системы. Что удивительно, теперь утилита видит вирус и лечит его спокойно. Утилита от Касперского все и теперь не видит заражение – прискорбно. Ну продолжим… На предложения типа «лечить» соглашаемся «да для всех».
Лечение 120 гигов заняло 8,5 часов, пролечил 950 файлов с расширением exe.
3й(практически такой же)
И вот мы снова с опозданием, но надеюсь это не сильно вас обидет. И так начинаем с того что в марте нас постигло большое количество вирусов файлового типа а именно Белорусский Virus.Win32.Neshta (Win32.HLLP.Neshta, Win32.Neshta, Win32.Neshuta, Win32:Neshta) и его собрат Win32.HLLP.Novosel. Себя они скрывали очень хорошо и передавались на другие «чистые» компьютеры, слава богу что блокированием Windows это всё не заканчивалось. Но что можно увидеть кроме заражённой части все .exe файлов? В первую очередь то что они прописываются в реестре HKCR\exefile\shell\open\command, после того как Ваш бесплатный антивирус справится с вирусом, вам следует изменить ветку в реестре HKCR\exefile\shell\open\command с «%Windows%\svchost.com „%1“ %*» на «„%1“ %*» — БЕЗ упоминаний о windows\svchost.com.
Надеюсь вам это помогло.
Если это сообщение вам помогло - отблагодарите участника повысив его репутацию!
|
| |
| |
Поиск
Главная 
