###
  • Програми
  • Безпека
  • Новини
  • Цікаве
  • Поради
  • Новини
  • Огляди

    • Програма для лікування virus win32 neshta a. Білоруський шкідник – щось (neshta). У базах антивірусних програм Neshta визначається так

    07.11.2019 Новини

    Win32.Neshta- Білоруський вірус 2005 року. Назва вірусу походить від білоруського слова щось, що означає щось. Програма є додатком Windows(exe-файл). Написано на Delphi. Розмір оригінального шкідливого файлу- 41 472 байти. Це файловий вірус – той тип вірусу, який вже не популярний у наш час, де лідерами давно стали трояни.

    У базах антивірусних програм Neshta визначається так:

    • Virus.Win32.Neshta - Касперський
    • Win32.HLLP.Neshta - Dr. Web
    • Win32.Neshta - NOD32
    • Win32.Neshuta - Symantec

    СимптомивірусуNeshta: Ви намагаєтеся запустити програму або гру, але нічого не відбувається. Деякі користувачі намагаються дуже швидко і дуже багато клацати лівою клавішею миші – але безрезультатно. Навіть виділення ярлика та натискання на клавіатурі клавіші не може. Будь-який файл з розширенням.exe став більшим на 41472 байт. Або ваш антивірус залаявся, мовляв «Nesta» всередині. Тоді ви потрапили до потрібного лікаря.

    Зараження вірусом Neshta: у папці Windows, вірус Neshta знаходить та видаляє файл svchost.com, і створює новий файлз тим же ім'ям … але це вже файл із тілом нашого вірусу.

    У реєстрі створюється запис:
    @=»%WINDIR%\svchost.com \"%1\" %*»

    Таким чином, всі exe-файли в системі під час запуску викликатимуть новоявлений svchost.com, який і запускатиме вірус. Сам вірус шукатиме файли з розширенням exe, і заражати їх додаючи свій шкідливий коддо них, тим самим збільшуючи розмір файлу на сказане вище кількість байт (41472 байта).

    Лікування вірусуNeshta: Тестовані мною антивіруси, на момент написання статті, не хотіли лікувати заражені вірусом файли, а лише пропонували видалити їх - а що значить втратити важливі програми та ігри, що запускаються. Я вирішив відправити всі заражені файли до карантину і потім їх реанімувати (відновити) звідти, коли мій антивірус навчиться лікувати це захворювання. Але все одно хірургічне втручання потрібне. Пояснюю:

    Створюємо текстовий документі вносимо до нього такі дані:

    REGEDIT4 @="\"%1\" %*" @="\"%1\" %*"

    Примітка: порожній рядок після REGEDIT4 обов'язковий.

    Зберігаємо документ як: будь-яке ім'я файлу.reg і запускаємо його. На пропозицію додати інформацію до реєстру відповідаємо - ТАК. Після цього можна лікувати антивірусом. Сподіваюся на момент читання цієї статті всі антивіруси навчаться лікувати цей вірус, а не видаляти його разом із потрібними нам файлами. (Я вже створив цей файл і прикріпив до цієї статті. Ви можете завантажити його за посиланням, яке знаходиться в кінці цієї статті: neshta.reg)

    Профілактика вірусуNeshta: будь-який антивірус зі свіжими базами, і фаєрволл (брандмауер)... і звичайно руки, що ростуть з плечей.

    Вітаю,

    На жаль це так. По можливості не використовуйте інфіковану систему, поки не знешкодите активне зараження (див.нижче), щоб уникнути подальшого поширення.

    Тому що це файловий вірус і він заражає легітимні файли, впроваджуючи свій код. Навіть якщо ви за допомогою Hitman Pro і CureIT знешкодите саме вихідне тіло вірусу, що стало причиною зараження, то інфекції таким чином все одно не вдасться позбавитися повністю. Потрібно термінове лікування, причому не якимись точковими ручними спробами з активною зараженою ОС як ви робите, а безпосередньо за допомогою завантажувального диска(LiveCD), роблячи дії над системою, коли вона активна.

    Що потрібно зробити:
    - Завантажити ISO-образ завантажувального диска від компанії або
    - Запишіть завантажений образ на флешку або CD/DVD-диск, що буде під рукою (CD-диск може бути занадто малий), якщо потрібно, використовуючи спеціальне ПЗ (наприклад, безкоштовний або )
    - Завантажтеся із записаного образу завантажувального диска, керуючись інструкцією
    - Працюючи з графічною оболонкою LiveCD, на робочому столі необхідно вибрати компоненти оновлення та отримати найсвіжіші антивірусні бази, після чого запустити вбудовану утиліту для проведення повної перевірки системи та всіхдисків
    - Усі виявлені раніше безпечні заражені об'єкти (наприклад, ваші програми) необхідно саме лікувати, інакше ви втратите своє ПЗ і навіть власних даних у тому випадку, якщо виберете карантин або видалення з диска як дія, що робиться над виявленим об'єктом. Видалити або відправляти до карантину можна лише окремі файли віруси, серед яких виявлений вами svchost.com, інше тільки лікувати!
    - Виконайте перезавантаження системи після процесу лікування та переконайтеся у відсутності подальших ознак присутності активного зараження у системі


    З питань співпраці звертайтеся на наш або через листування. Безкоштовна допомогау зараження та технічних проблемвиявляється на форумі, при цьому необхідно створити нову темуу відповідному розділі.

    Будь-яка точка на карті може бути центром світу. Він непоганий і не хороший. Він просто їсти. Тут немає чесноти та безчестя. Є тільки ти сам наодинці зі своєю совістю. І так доти, доки не скінчиться гонка, доки не настане кінець, доки ми не перетворимося на привидів, якими здавалися самі собі. (c) к/ф "Легенда"

    Від нерішучості втрачаєш більше, ніж від неправильного рішення. (c) Кармела Сопрано

    Win32.Neshta – Білоруський вірус 2005-го року. Назва вірусу походить від білоруського слова щось, що означає щось. Програма є програмою Windows (exe-файл). Написано на Delphi. Розмір оригінального шкідливого файлу – 41 472 байти. Це файловий вірус - той тип вірусу, який вже не популярний у наш час, де лідерами давно стали трояни.
    У базах антивірусних програм Neshta визначається так:

    • Virus.Win32.Neshta - Касперський
    • Win32.HLLP.Neshta - Dr. Web
    • Win32.Neshta - NOD32
    • Win32.Neshuta - Symantec
    Симптоми вірусу Neshta: ви намагаєтеся запустити програму чи гру, але нічого не відбувається. Деякі користувачі намагаються дуже швидко і дуже багато клацати лівою клавішею миші – але безрезультатно. Навіть виділення ярлика та натискання на клавіатурі клавіші не може. Будь-який файл з розширенням.exe став більшим на 41472 байт. Або ваш антивірус залаявся, мовляв «Nesta» всередині... Тоді ви потрапили до потрібного лікаря...
    Зараження вірусом Neshta: у папці Windows вірус Neshta знаходить і видаляє файл svchost.com і створює новий файл з тим же ім'ям... але це вже файл з тілом нашого вірусу.
    У реєстрі створюється запис:
    @="%WINDIR%\svchost.com \"%1\" %*"
    Таким чином, всі exe-файли в системі під час запуску викликатимуть новоявлений svchost.com, який і запускатиме вірус. Сам вірус шукатиме файли з розширенням exe, і заражатиме їх додаючи свій шкідливий код до них, тим самим збільшуючи розмір файлу на вже сказану вище кількість байт (41472 байта).

    Лікування вірусу Neshta: тестовані мною антивіруси, на момент написання статті, не хотіли лікувати заражені вірусом файли, а лише пропонували видалити їх - а що значить втратити важливі програми та ігри, що запускаються. Я вирішив відправити всі заражені файли до карантину і потім їх реанімувати (відновити) звідти, коли мій антивірус навчиться лікувати це захворювання. Але все одно хірургічне втручання потрібне. Пояснюю:
    Створюємо текстовий документ і вносимо до нього такі дані:
    REGEDIT4


    @="\"%1\" %*"
    @="\"%1\" %*"
    Примітка: порожній рядок після REGEDIT4 обов'язковий.
    Зберігаємо документ як: будь-яке ім'я файла.reg та запускаємо його. На пропозицію додати інформацію до реєстру відповідаємо - ТАК. Після цього можна лікувати антивірусом. Сподіваюся на момент читання цієї статті всі антивіруси навчаться лікувати цей вірус, а не видаляти його разом із потрібними нам файлами. (Я вже створив цей файл і прикріпив до цієї статті. Ви можете завантажити його за посиланням, яке знаходиться в кінці цієї статті: neshta.reg)
    Профілактика вірусу Neshta: будь-який антивірус зі свіжими базами, і фаєрволл (брандмауер) ... руки ростуть з плечей.

    Ось вам два файли, що лікують Нешту (кому ліньки створювати файл за вище описаною інструкцією)

    Ну ось вам перша порада.

    Досі зустрічається цей вірус, хоч і стоять у людей різні антивірусні програми. Ось що чоловік писав у чернетках...

    Ось може кому і знадобиться дана інформація. Шукав собі на просторах Інтернету дефрагментатор і… знайшов із кряком:). Мій антивірус Comodo відразу завив - вірус win32.neshta.a, але я не взяв його докази до уваги і дозволив йому встановити.

    Ось що відомо про нього: Neshta- шкідливий код (надалі вірус) з'явився у Білорусі наприкінці 2005р. Ім'я вірус отримав можливе від транслітерації білоруського слова «нешта», Що означає "щось", "щось", а можливо за назвою міста. Neshtaвідноситься до категорії файлових вірусів-нині не сильно популярних серед вірусних програм.

    У базах антивірусних програм Neshta відомий як Virus.Win32.NeshtaWin32.HLLP.Neshta(Dr. Web), Win32.NeshtaWin32.Neshuta(«Symantec Antivirus»), Win32: Trojan-gen(«Avast!»).

    («Антивірус Касперського»), (NOD32),

    При запуску зараженої програми на «чистій» машині вірус копіює своє тіло у файл svchost.com(Розмір - 41 472 байти) в директорії Windows. Після цього реєструє цей файл у системному реєстріза адресою , внаслідок чого запуск будь-якого exe-файлу на зараженій машині передуватиметься запуском файлу вірусу. Потім вірус сканує доступні логічні диски комп'ютера і заражає exe файли, що задовольняє деяким критеріям (як правило, це переважна більшість exe-файлів). Після зараження робота комп'ютера не порушується.

    Для відновлення працездатності комп'ютера після видалення антивірусом Neshta може знадобитися змінити значення ключа в реєстрі за адресою HKCR\exefile\shell\open\commandз "%Windows%\svchost.com "%1" %*"""%1" %*"- БЕЗ згадок про windows\svchost.comна

    Виявлено факт, що за неможливості скопіювати своє тіло в папку Windowsвірус намагається копіювати себе в профіль облікового запису administrator. І прописує свій запуск до реєстру звідти.

    Скачав утиліту від Касперського та запустив – вірус не знаходить. Скачав утиліту від Лікаря Інтернет і запустив - вірус не знаходить. Дуже неприємний момент. Довелося діяти головою).

    Спосіб лікування вірусу win32.neshta.a:

    Перший- перевстановити повністю систему, попередньо прогнавши з-під DOS антивірусом. У цьому випадку ви втратите всі файли EXE, заражені NESHTA.
    Другий.Як не прикро, але більшість антивірусів не лікують заражені файли NESHTA, а просто видаляють їх. Але, у DRWEBє безкоштовна утилітапід назвою CUREIT. Ви можете безкоштовно скачати її з сайту DRWEB. Також вам знадобиться файл реєстру, який ви можете зробити самі в такий спосіб. Створюємо текстовий документ і вносимо до нього такі дані:


    @="\"%1\" %*"
    @="\"%1\" %*"

    Примітка: порожній рядок після REGEDIT4 – обов'язковий.


    Зберігаємось і закриваємо текстовий документ. Потім змінюємо розширення документа з TXT на REG. Запускаємо отриманий файл реєстру та погоджуємось з додаванням даних. Після чого запускаємо утиліту CUREIT та проводимо повну перевіркусистеми. Що дивно, тепер утиліта бачить вірус та лікує його спокійно. Утиліта від Касперського все і тепер не бачить зараження – сумно. Ну продовжимо ... На пропозиції типу "лікувати" погоджуємося "так для всіх".

    Лікування 120 гігів зайняло 8,5 години, пролікував 950 файлів з розширенням exe.