Как вылечить exe не удаляя его
30.03.2009, 19:50
#1
Junior Member
Вес репутации
40Как вылечить ехе-файлы от вируса Win32.Neshta.A virus не удаляя сами файлы?
Как вылечить ехе-файлы от вируса Neshta.A virus не удаляя сами файлы?
Все нужные логи имеютсяПоследний раз редактировалось max_paine; 31.03.2009 в 11:09.
Причина: уточнил название вируса
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
30.03.2009, 19:52
#2
Логи нужны из обычного режима…
30.03.2009, 19:54
#3
Junior Member
Вес репутации
40ЭЭэ в чем проблема,я могу залесть на комп только в безопастном режиме…
30.03.2009, 20:16
#4
А в обычном что происходит?
30.03.2009, 20:26
#5
Junior Member
Вес репутации
40В обычном все ехе-файлы не открываються,говорит мол «Вам запрещен доступ к этому файлу».Ну типо этот файл заражен
30.03.2009, 20:32
#6
Скачайте сканер VBA32 c ftp://vba.ok.by/vba/Vba32Check.exe или с ftp://anti-virus.by/pub/Vba32Check.exe
И сделайте как написано здесь https://virusinfo.info/showpost.php?p…5&postcount=35
Скачивать, распаковывать и записывать нужно на чистой машине! После лечения прикрепите файл vba32.rpt и повторите логи по правилам.
Сердце решает кого любить… Судьба решает с кем быть…
30.03.2009, 20:46
#7
Junior Member
Вес репутации
40в чем еще проблема, у меня лимитный интернет, и 55 метров многовато,а хотя через 2 дня дадут трафик,попробую выжить без компа 2 дняДобавлено через 2 минуты
особенно сильно ругаеться на файл svchost.com,ну или как там его,в папке винды,его и вывшлю в карантине…
Последний раз редактировалось max_paine; 30.03.2009 в 20:55.
Причина: Добавлено
30.03.2009, 20:54
#8
AVZ, меню «Файл — Выполнить скрипт» — Скопировать ниже написанный скрипт— Нажать кнопку «Запустить».
Код:
begin
DeleteService(‘PowerManager’);
DeleteService(‘DNCP’);
TerminateProcessByName(‘c:windowssystem32svchosst.exe’);
TerminateProcessByName(‘c:windowssystem32csrcs.exe’);
DeleteFile(‘c:windowssystem32csrcs.exe’);
DeleteFile(‘c:windowssystem32svchosst.exe’);
DeleteFile(‘C:WINDOWSsystem32dncpsvchost.exe’);
DeleteFile(‘C:WINDOWSsvchost.exe’);
DeleteFile(‘C:WINDOWSsystem32sysmgr.exe’);
DeleteFile(‘C:WINDOWSsvchost.com’);
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc(‘PowerManager’);
BC_DeleteSvc(‘DNCP’);
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.Затем сделайте полную проверку CureIT и повторите логи…
31.03.2009, 11:43
#9
Junior Member
Вес репутации
40Вот еще….
Вот еще программа CureIT открываеться => появляеться окно «проверить компьютер» => появляеться окно «купить бесплатно» => и все!
Скачал сегодня 20 мин назад.
Че делатЬ?Добавлено через 11 минутНовая проблема:После выполнения скрипта все файлы-ЕХЕ просят их через что-нибудь открыть,ну не через блокнот их открывать
Добавлено через 57 секунд
А может попробовать через Explover открыть..
Добавлено через 24 минуты
вот 4 раз перезагрузил комп и проги открываются без запросов,но вот CureIT продолжает бастовать
Последний раз редактировалось max_paine; 31.03.2009 в 11:43.
Причина: Добавлено
3ds Max и PhotoShop — друзья навек!
[INDENT]Пишите в ЛС[/INDENT]
31.03.2009, 11:46
#10
31.03.2009, 13:30
#11
Junior Member
Вес репутации
403ds Max и PhotoShop — друзья навек!
[INDENT]Пишите в ЛС[/INDENT]
31.03.2009, 13:43
#12
Сделайте полную проверку AVPTool и повторите логи…
01.04.2009, 13:43
#13
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- svchost.com — Virus.Win32.Neshta.a ( DrWEB: Win32.HLLP.Neshta, BitDefender: Win32.Neshta.A )
Источник
Ну вот вам первый совет.
До сих пор встречается этот вирус, хоть и стоят у людей различные антивирусные программы. Вот что муж писал в черновиках…
Вот может кому и пригодится данная информация. Искал себе на просторах Интернета дефрагментатор и… нашел с кряком:). Мой антивирус Comodo сразу взвыл – вирус win32.neshta.a, но я не принял его доводы во внимание и разрешил ему установиться.
Вот что известно о нем: Neshta — зловредный код ( в дальнейшем вирус) появившился в Беларуси в конце 2005г. Имя вирус получил возможно от транслитерации белорусского слова «не́шта», означающего «нечто», «что-то», а возможно по названию города. Neshta относится к категории файловых вирусов— в настоящее время не сильно популярных среди вирусных программ.
В базах антивирусных программ Neshta известен, как Virus.Win32.NeshtaWin32.HLLP.Neshta (Dr. Web), Win32.NeshtaWin32.Neshuta («Symantec Antivirus»), Win32:Trojan-gen («avast!»).
(«Антивирус Касперского»), (NOD32),
При запуске зараженной программы на «чистой» машине, вирус копирует своё тело в файл svchost.com (размер — 41 472 байта) в директории Windows. После этого регистрирует этот файл в системном реестре по адресу HKCRexefileshellopencommand, в результате чего запуск любого exe-файла на зараженной машине будет предваряться запуском файла вируса. Затем, вирус сканирует доступные логические диски компьютера и заражает exe файлы, удовлетворяющее некоторым критериям (как правило, это подавляющее большинство exe-файлов). После заражения работа компьютера не нарушается.
Для восстановления работоспособности компьютера после удаления Neshta антивирусом может понадобиться изменить значение ключа в реестре по адресу HKCRexefileshellopencommand с «%Windows%svchost.com „%1″ %*»«„%1″ %*» — БЕЗ упоминаний о windowssvchost.comна
Выявлен факт, что при невозможности скопировать свое тело в папку Windows, вирус пытается копировать себя в профиль учетной записи administrator. И прописывает свой запуск в реестр оттуда.
Скачал утилиту от Касперского и запустил – вирус не находит. Скачал утилиту от Доктора Веб и запустил – вирус не находит. Очень неприятный момент. Пришлось действовать головой).
Способ лечения вируса win32.neshta.a :
Первый – переустановить начисто систему, предварительно прогнав из-под DOS антивирусом. В этом случае, вы лишитесь всех файлов EXE, зараженных NESHTA.
Второй. Как ни прискорбно, но большинство антивирусов не лечат файлы зараженные NESHTA, а просто удаляют их. Но, у DRWEB есть бесплатная утилита под названием CUREIT. Вы можете бесплатно скачать ее с сайта DRWEB. Так же вам понадобится файл реестра, который вы можете сделать сами следующим образом. Создаем текстовый документ и вносим в него следующие данные:
REGEDIT4
[HKEY_CLASSES_ROOTexefileshellopencommand]
@=»»%1″ %*»
[HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand]
@=»»%1″ %*»
Примечание: пустая строка после REGEDIT4 – обязательна.
Сохраняемся и закрываем текстовый документ. Затем, меняем расширение документа с TXT на REG. Запускаем полученный файл реестра и соглашаемся с добавление данных. После чего запускаем утилиту CUREIT и проводим полную проверку системы. Что удивительно, теперь утилита видит вирус и лечит его спокойно. Утилита от Касперского все и теперь не видит заражение – прискорбно. Ну продолжим… На предложения типа «лечить» соглашаемся «да для всех».
Лечение 120 гигов заняло 8,5 часов, пролечил 950 файлов с расширением exe.
Источник
Сегодня многие пользователи из Сети «подхватывают» несколько
необычные вирусы, которые воздействуют на исполняемые файлы, да еще и
так, что не все антивирусные программы с ними справляются. Попробуем
разобраться, что можно сделать в такой ситуации, а заодно рассмотрим
проблему, как удалить вирус «EXE» с флешки.
Как работают вирусы, инфицирующие EXE-файлы?
Ситуация
с проявлением активности вирусов подобного типа не нова. Такое было и
раньше. Самым распространенным сегодня считается компьютерный
троян-вредитель под названием Virus.Win32.Expiro.(версий «w», «ao», «bc»
и т.д.).
Подцепить
его в Интернете можно совершенно элементарно, а потом думай, что с этим
делать и как удалить. Вирус удаляет EXE-файлы, вернее, делает их
недоступными для исполнения. Неудивительно, что при попытке открытия
какой-либо программы или приложения, вследствие воздействия вредоносного
кода вируса, система не распознает исполняемый файл и выдает сообщение о
том, что такой-то и такой-то файл не найден.
Что самое печальное,
это касается не только установленных программ, но первого запуска
инсталлятора (имеется в виду, если дистрибутив скачан из Интернета и
находится на жестком диске). В случае установки программы с оптического
носителя воздействие угрозы может проявиться позже, по окончании
процесса установки. Наверное, не стоит говорить, что при запуске
инсталляционного процесса с USB-накопителя вирус автоматически
перепрыгивает на него и инфицирует все файлы, имеющие расширением .exe.
Но распознать действие вируса можно только при запуске
исполняемого файла. Именно поэтому, пока файл не запущен, некоторые
антивирусные пакеты угроз не идентифицируют, и наличие вируса не
определяется вообще.
Проблемы антивирусного ПО
Давайте
посмотрим, что и как удалить. Вирус удаляет EXE-файлы или блокирует их, в
данном случае неважно. Но тут, как оказывается, палка о двух концах. С
одной стороны, мы имеем дело с блокированием файлов самим вирусом, с
другой – неправильную реакцию антивирусных программ.
Так,
например, сегодня известно достаточно много случаев, когда тот же пакет
Avast при заданном пользователем сканировании (а не при проникновении
угрозы изначально) вирус все-таки определяет. Правда, определение
сводится только к тому, что он показывает зараженные EXE-файлы и по
причине невозможности лечения удаляет их сам без разбора. Вот вам и
ситуация. Казалось бы, все просто: все знают, что и как удалить. Вирус
удаляет EXE-файлы даже не сам, а (парадокс!) делает это руками
антивирусного сканера. Естественно, такой вредитель способен создавать
собственные копии и маскироваться даже под системные процессы типа
svchost.
Как удалить вирус (EXE-файлы заражены)?
Что
касается борьбы с такой угрозой, здесь не все просто. Прежде всего,
большинству пользователей можно посоветовать не использовать бесплатные
антивирусные программы и утилиты типа Avast, AVG и т.д. На крайний
случай лучше бы в системе был облачный антивирус типа Panda.
Самый
лучший вариант – мощное антивирусное ПО «Лаборатории Касперского» или
корпорации ESET. Кстати, можно прибегнуть к услугам утилит типа
Kaspersky Virus Removal Tool, только сначала программу в виде
портативной версии нужно записать на оптический диск, используя для
этого незараженный компьютер, и запускать именно с CD- или DVD-носителя.
В противном случае успешное лечение не гарантируется.
Также можно использовать и небольшие программы типа CureIt, которые именно лечат зараженные файлы, а не удаляют их.
Но
поскольку вирус, как правило, «сидит» в оперативной памяти, самым
оптимальным решением станет использование запуска с оптического носителя
программ с общим названием Rescue Disc.
Они
проверяют все компоненты системы еще до ее собственного старта. В
большинстве случаев этот метод является действенным. Кстати сказать,
такая методика подойдет и для флешек, только в параметрах сканирования
устройств хранения данных нужно будет дополнительно поставить галочку на
USB-носителе.
Заключение
В целом, думается, некоторые
советы помогут большинству юзеров понять, как удалить вирус. Удаляет
EXE-файлы сам вирус или производит несанкционированную блокировку
исполняемых файлов, сразу и не поймешь. Но если есть хоть малейшее
подозрение на его присутствие, крайне не рекомендуется запускать ни одну
программу до окончания полного процесса сканирования, лечения файлов и
удаления угрозы.
Кроме всего прочего, желательно иметь в системе
какой-нибудь пакет типа Internet Security, способный предотвратить
проникновение угрозы еще на начальной стадии.
Источник
