Как вылечить exe файл
30.03.2009, 19:50
#1
Junior Member
Вес репутации
40Как вылечить ехе-файлы от вируса Win32.Neshta.A virus не удаляя сами файлы?
Как вылечить ехе-файлы от вируса Neshta.A virus не удаляя сами файлы?
Все нужные логи имеютсяПоследний раз редактировалось max_paine; 31.03.2009 в 11:09.
Причина: уточнил название вируса
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
30.03.2009, 19:52
#2
Логи нужны из обычного режима…
30.03.2009, 19:54
#3
Junior Member
Вес репутации
40ЭЭэ в чем проблема,я могу залесть на комп только в безопастном режиме…
30.03.2009, 20:16
#4
А в обычном что происходит?
30.03.2009, 20:26
#5
Junior Member
Вес репутации
40В обычном все ехе-файлы не открываються,говорит мол «Вам запрещен доступ к этому файлу».Ну типо этот файл заражен
30.03.2009, 20:32
#6
Скачайте сканер VBA32 c ftp://vba.ok.by/vba/Vba32Check.exe или с ftp://anti-virus.by/pub/Vba32Check.exe
И сделайте как написано здесь https://virusinfo.info/showpost.php?p…5&postcount=35
Скачивать, распаковывать и записывать нужно на чистой машине! После лечения прикрепите файл vba32.rpt и повторите логи по правилам.
Сердце решает кого любить… Судьба решает с кем быть…
30.03.2009, 20:46
#7
Junior Member
Вес репутации
40в чем еще проблема, у меня лимитный интернет, и 55 метров многовато,а хотя через 2 дня дадут трафик,попробую выжить без компа 2 дняДобавлено через 2 минуты
особенно сильно ругаеться на файл svchost.com,ну или как там его,в папке винды,его и вывшлю в карантине…
Последний раз редактировалось max_paine; 30.03.2009 в 20:55.
Причина: Добавлено
30.03.2009, 20:54
#8
AVZ, меню «Файл — Выполнить скрипт» — Скопировать ниже написанный скрипт— Нажать кнопку «Запустить».
Код:
begin
DeleteService(‘PowerManager’);
DeleteService(‘DNCP’);
TerminateProcessByName(‘c:windowssystem32svchosst.exe’);
TerminateProcessByName(‘c:windowssystem32csrcs.exe’);
DeleteFile(‘c:windowssystem32csrcs.exe’);
DeleteFile(‘c:windowssystem32svchosst.exe’);
DeleteFile(‘C:WINDOWSsystem32dncpsvchost.exe’);
DeleteFile(‘C:WINDOWSsvchost.exe’);
DeleteFile(‘C:WINDOWSsystem32sysmgr.exe’);
DeleteFile(‘C:WINDOWSsvchost.com’);
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc(‘PowerManager’);
BC_DeleteSvc(‘DNCP’);
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.Затем сделайте полную проверку CureIT и повторите логи…
31.03.2009, 11:43
#9
Junior Member
Вес репутации
40Вот еще….
Вот еще программа CureIT открываеться => появляеться окно «проверить компьютер» => появляеться окно «купить бесплатно» => и все!
Скачал сегодня 20 мин назад.
Че делатЬ?Добавлено через 11 минутНовая проблема:После выполнения скрипта все файлы-ЕХЕ просят их через что-нибудь открыть,ну не через блокнот их открывать
Добавлено через 57 секунд
А может попробовать через Explover открыть..
Добавлено через 24 минуты
вот 4 раз перезагрузил комп и проги открываются без запросов,но вот CureIT продолжает бастовать
Последний раз редактировалось max_paine; 31.03.2009 в 11:43.
Причина: Добавлено
3ds Max и PhotoShop — друзья навек!
[INDENT]Пишите в ЛС[/INDENT]
31.03.2009, 11:46
#10
31.03.2009, 13:30
#11
Junior Member
Вес репутации
403ds Max и PhotoShop — друзья навек!
[INDENT]Пишите в ЛС[/INDENT]
31.03.2009, 13:43
#12
Сделайте полную проверку AVPTool и повторите логи…
01.04.2009, 13:43
#13
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- svchost.com — Virus.Win32.Neshta.a ( DrWEB: Win32.HLLP.Neshta, BitDefender: Win32.Neshta.A )
Источник
Модератор: mike 1
Tehnar
Интересующийся
Сообщения: 33 Зарегистрирован: 21 ноя 2014, 12:18
Есть ответ: 1
Статус:
Не в сети
Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
Tehnar » 03 дек 2014, 13:13
Компьютер заразился вирусом. Некоторые папки на дисках C и D превратились в ярлыки и при попытке открыть их, выскакивает сообщение «Программа не запускается». Зараженные папки (ярлыки) все стали расширением .ЕХЕ. Подскажите пожалуйста как вылечить данный вирус? Что за вирус такой?
ЛУЧШИЙ ОТВЕТ DesignerMix » 03 дек 2014, 14:49
Tehnar, Прежде всего включите отображение скрытых файлов и папок (включая системные!), если вы увидите ваши папки в виде полупрозрачных значков то следующий скрипт вам поможет. Скиньте в корень папки или диска на котором есть exe-файлы с пиктограммами ярлыков вот этот bat-файл и запустите его (желательно с правами администратора):
Скрипт проверенный и много раз выручал.
После запуска скрипта в корне той папки или диска откуда он был запущен у всех файлов и папок будут сняты атрибуты «скрытый» и «системный». Также будет создан файл list.txt в котором будут перечислены имена папок и файлов с которых снялись эти аттрибуты. После этого вы можете сделать отображение содержимого в виде таблицы (через меню вид) и отсортировать все «по типу» а затем удалить вредоносные файлы.
Поле этого обязательно проверьте компьютер и все ваши флешки антивирусом. Например Kaspersky Virus Removal Tool
ПЕРЕЙТИ К ПОЛНОМУ СООБЩЕНИЮ ➙
DesignerMix
Администратор
Сообщения: 6451 Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 218 Откуда: Белгород
Статус:
Не в сети
Re: Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
DesignerMix » 03 дек 2014, 14:49
Tehnar, Прежде всего включите отображение скрытых файлов и папок (включая системные!), если вы увидите ваши папки в виде полупрозрачных значков то следующий скрипт вам поможет. Скиньте в корень папки или диска на котором есть exe-файлы с пиктограммами ярлыков вот этот bat-файл и запустите его (желательно с правами администратора):
anti_hidden.rar
Скрипт для снятия «аттрибутов» скрытый и «системный» (193 байт) 5234 скачивания
Скрипт проверенный и много раз выручал.
После запуска скрипта в корне той папки или диска откуда он был запущен у всех файлов и папок будут сняты атрибуты «скрытый» и «системный». Также будет создан файл list.txt в котором будут перечислены имена папок и файлов с которых снялись эти аттрибуты. После этого вы можете сделать отображение содержимого в виде таблицы (через меню вид) и отсортировать все «по типу» а затем удалить вредоносные файлы.
Поле этого обязательно проверьте компьютер и все ваши флешки антивирусом. Например Kaspersky Virus Removal Tool
Tehnar
Интересующийся
Сообщения: 33 Зарегистрирован: 21 ноя 2014, 12:18
Есть ответ: 1
Статус:
Не в сети
Re: Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
Tehnar » 03 дек 2014, 16:46
DesignerMix, вылечил компьютер с помомощью ваших советов, сейчас тестируется Касперским. А что за вирус такой и с какой целью он создает скрытые папки? Спасибо.
DesignerMix
Администратор
Сообщения: 6451 Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 218 Откуда: Белгород
Статус:
Не в сети
Re: Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
DesignerMix » 03 дек 2014, 16:53
Tehnar, этот вирус распространяется с помощью флешек и его цель заставить пользователя запустить самого себя что-бы заразить компьютер или другую флешку. Делает он это крайне просто — берет и скрывает все папки создавая exe-файлы или ярлыки которые запускают вирус и при этом открывают нужную папку (часто она открывается в новом окне). Поэтому пользователь может долго ничего не подозревать (так как все работает). Сложность в удалении именно в том что помимо атрибута «скрытый» он добавляет «системный» атрибут который убрать сложнее.
Но все что я описал выше это только способ заражения, а вот что делает конкретный вирус — нужно разбираться.
Tehnar
Интересующийся
Сообщения: 33 Зарегистрирован: 21 ноя 2014, 12:18
Есть ответ: 1
Статус:
Не в сети
Re: Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
Tehnar » 03 дек 2014, 17:25
Кстати заразился от винчестера, который принесли на тестирование. Подключил его к своей рабочей машине. На будущее- прежде чем открывать содержание неизвестного винчестера, проверьте его на вирусы!
komdiv
Новичок
Сообщения: 3 Зарегистрирован: 12 дек 2014, 13:13
Статус:
Не в сети
Re: Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
komdiv » 12 дек 2014, 13:24
Ничего страшного это вирус пока что не делает, кроме того что прячет все подряд, но проверить глубже нужно. Уже не первый раз имею дело с ним! Атрибуты снимаю через тотал (файлы — изменить атрибуты…), а сам вирус удаляю вручную, НО на всякий случай делаю глубокую проверку с помощью Emsisoft Emergency Kit — https://programmybesplatno.com/system-so … gency-kit/. Он находит то, что другие бренды не находят! Советую всегда иметь под рукой этот сканер.
Кто сейчас на конференции
Сейчас этот форум просматривают: Yandex [Bot] и 0 гостей
Источник
Эпиграф:
Как по девкам ходить — так с радостью!
А как уколы колоть — так больно…
/ Народная мудрость /
Распространение классических компьютерных вирусов в настоящее время не так широко, как в древние времена MS-DOS, однако методики написания файловых инфекторов с того времени претерпели многочисленные усовершенствования, что существенно осложняет лечение и восстановление зараженных файлов.
Многие производители антивирусных программ по указанной выше причине не включают механизмы лечения в свои продукты, предлагая пользователям удалить все зараженные файлы, а затем переустановить поврежденные программные продукты. Однако если таким образом будет удален хотя бы один из системных файлов, операционная система
не сможет
правильно или полностью загрузиться, что приведет к потере пользовательских данных, пользовательского времени, затраченного на оживление компьютера и конечно же к потере доверия к производителю антивирусного продукта, вызвавшего такие проблемы.
К сожалению, на данный момент не существует 100% методик лечения заражений, вызванных файловыми вирусами, и при использовании следущих методик не исключается вероятность повреждения программных или системных файлов. При этом поврежденный файл может быть вполне работоспособен, но в определенные моменты работы с ним могут возникать ошибки. Файл может быть поврежден, как в процессе заражения, так и в процессе лечения.
Многие пользователи, особенно уверенные пользователи, скажут, что переустановить систему им гораздо проще и быстрее, чем ждать окончания сканирования и лечения зараженных файлов. Отчасти они правы, однако в данном случае существуют риски повторного заражения, вызванного автозапуском инфекторов с зараженных флешек или других разделов жесткого диска или установкой программ из зараженных инсталляторов.
В настоящее время наиболее эффективными способоми лечения являются использование загрузочных (Live CD) дисков от антивирусных компаний и использование специальных сканеров и утилит для лечения определенных видов заражений.
Если какой-то из продуктов не обнаруживает заражения, необходимо отправить зараженные файлы производителю данного продукта на анализ и выработку методики лечения.
В любом случае Вам понадобится компьютер с установленной на нем незараженной системой для скачивания и записи на CD или USB инструментов лечения — это может быть компьютер Вашего друга, соседа или системного администратора на работе (учитывайте тот момент, что админ цветы и конфеты не пьет…).
Будьте предельно внимательны и осторожны при использовании незараженного компьютера — ведь
одно неверное Ваше действие
превратит его в брата по горю Вашему компьютеру.
Не используйте флешки
или отключите автозапуск с флеш-накопителей на чистом компьютере,
не запускайте
никаких файлов, принесенных с зараженной системы — карантин должен быть полным.
Мы предлагаем пройти несколько несложных (но достаточно продолжительных по времени) шагов для успешного лечения операционных систем, зараженных файловыми вирусами, данные методики сохранят время, а может быть и деньги, потраченные на работу компьютерного мастера:
- Подготовьте на случай повреждения системных файлов диск с дистрибутивом Вашей операционной системой.
- Подключите к компьютеру все внешние USB-накопители и произведите полное сканирование и лечение зараженных файлов с помощью LiveCD. Ссылки на инструкции по использованию лечащих дисков указаны ниже.
- После окончания сканирования и лечения перезагрузите компьютер.
- Не запускайте никаких программ, не открывайте дисков и флеш-накопителей двойным щелчком мыши.
- Скачайте автоматический сборщик логов и подготовьте логи в соответствие Правилам оформления запроса. Если Вы уже скачивали данные утилиты, скачайте их заново — в процессе лечения они могли быть повреждены.
- После успешного лечения и удаления вредоносного ПО выполните следующие действия:
- Проведите процедуру проверки и восстановления системных файлов (инструкции для ОС XP / Vista / Seven / Windows 8 /10) — для ОС XP потребуется диск с дистрибутивом ОС.
- Переустановите программное обеспечение, со скачанных заново инсталляторов программ.
- Произведите полное сканирование системы Вашим антивирусом.
- Ознакомьтесь и постарайтесь выполнять требования, описанные в составленных нами рекомендациях.
Инструкции по использованию загрузочных дисков и утилит лечения:
- Инструкция по использованию LiveCD Kaspersky Rescue Disk
- Инструкция по использованию LiveCD Dr.Web LiveCD
- Инструкция по использованию LiveCD Windows Defender Offline
- Инструкция по использованию LiveCD BitDefender Rescue CD
- Инструкция по использованию LiveCD Avira AntiVir Rescue System
- Инструкция по использованию LiveCD Vba32 Rescue
- Инструкция по использованию утилиты Dr.Web CureIt!
Специальные инструменты:
Инструкция по использованию утилиты Sality.Killer:
Для лечения Virus.Win32.Sality только модификаций:
Virus.Win32.Sality.aa(Win32.Sector.12), Virus.Win32.Sality.ag(Win32.Sector.21), Virus.Win32.Sality.ae(Win32.Sector.19), Virus.Win32.Sality.bh(win32.sector.22).
Нужно воспользоваться утилитой SalityKiller
А так же необходимо скачать Sality_RegKeys это набор твиков реестра, который позволит восстановить безопасный режим и отключить автозапуск со съемных носителей.
Дополнительные ключи для работы с SalityKiller.exe из командной строки:
-p <path> – сканировать определённый каталог.
-n – сканировать сетевые диски.
-r – сканировать flash-накопители, переносные жесткие диски, подключаемые через USB и FireWire.
-y – закрытие окна по окончании работы утилиты.
-s – проверка в «тихом» режиме (без вывода консольного окна).
-l <имя_файла> – запись отчета в файл.
-v – ведение подробного отчета (необходимо вводить вместе с параметром -l).
-x – восстановление возможности показа скрытых и системных файлов.
-a – отключение автозапуска со всех носителей.
-j – восстановление ветки реестра SafeBoot (при ее удалении компьютер не может загрузиться в безопасном режиме).
-m – режим мониторинга для защиты от заражения системы.
-q – сканирование системы, по окончании утилита переходит в режим мониторинга.
-k – сканирование всех дисков, распознавание на них файла autorun.inf (созданный вирусом Virus.Win32.Sality) и удаление autorun.inf. Так же удаляется исполняемый файл, на который ссылается autorun.inf, даже если этот файл уже пролечен и более не заражён вирусом.
Полное описание утилиты и методологию использования можно прочитать на странице технической поддержки ЛК.
Если вы не можете получить доступ к ресурсам Kaspersky Lab для скачивания salitykiller, то воспользуйтесь этой ссылкой.
Инструкция по использованию утилиты Virut.Killer:
Для лечения Virus.Win32.Virut только модификаций:
Virus.Win32.Virut.ce и Virus.Win32.Virut.q.
Для лечения необходимо воспользоваться утилитой VirutKiller.exe
Распакуйте и запустите утилиту, дождитесь окончания сканирования и лечения. Возможно потребуется перезагрузка компьютера.
При запуске утилиты без параметров выполняется:
- Поиск и завершение зловредных потоков.
- Поиск и снятие перехватов функций:
- NtCreateFile;
- NtCreateProcess;
- NtCreateProcessEx;
- NtOpenFile;
- NtQueryInformationProcess.
- Сканирование файлов на всех жестких дисках и их лечение.
- Параллельно во время сканирования жестких дисков утилита каждые 10 секунд проверяет исполняемые файлы всех запущенных процессов. В случае их обнаружения процессы завершаются, файлы – лечатся.
Дополнительные ключи для запуска утилиты VirutKiller из командной строки:
-l <имя_файла> – запись отчета в файл.
-v – ведение подробного отчета (необходимо вводить вместе с параметром -l).
-s – проверка в «тихом» режиме (без вывода консольного окна).
-y – закрытие окна по окончании работы утилиты.
-p <путь_к_каталогу> – проверить определенный каталог.
-r – проверить сменные носители (flash-накопители), переносные жесткие диски, подключаемые через USB и FireWire.
-n – проверить сетевые диски
Полное описание утилиты и методологию использования можно прочитать на странице технической поддержки ЛК.
Инструкция по использованию утилиты Xpaj.Killer:
Для лечения Virus.Win32.Xpaj только модификаций:
Virus.Win32.Xpaj.a, Virus.Win32.Xpaj.b, Virus.Win32.Xpaj.c, Virus.Win32.Xpaj.gen, Virus.Win32.Xpaj.gen2, Virus.Win32.Xpaj.gena, Virus.Win32.Xpaj.genb, Virus.Win32.Xpaj.genc
Для лечения необходимо воспользоваться утилитой XpajKiller.exe
- Запустите файл XpajKiller.exe на зараженной (или потенциально зараженной) машине.
- Дождитесь окончания сканирования и лечения. После лечения может потребоваться перезагрузка.
Дополнительные ключи для запуска утилиты из командной строки:
—l <имя_файла> — запись отчета в файл.
—v — ведение подробного отчета (необходимо вводить вместе с параметром -l).
—s — проверка в «тихом» режиме (без вывода консольного окна).
—y — закрытие окна по окончании работы утилиты.
—p <путь_к_каталогу> — проверить определенный каталог.
—r — проверить сменные носители (flash-накопители), переносные жесткие диски, подключаемые через USB и FireWire.
Полное описание утилиты и методологию использования можно прочитать на странице технической поддержки ЛК.
Источник