Как вылечить от вируса win32
Ну вот вам первый совет.
До сих пор встречается этот вирус, хоть и стоят у людей различные антивирусные программы. Вот что муж писал в черновиках…
Вот может кому и пригодится данная информация. Искал себе на просторах Интернета дефрагментатор и… нашел с кряком:). Мой антивирус Comodo сразу взвыл – вирус win32.neshta.a, но я не принял его доводы во внимание и разрешил ему установиться.
Вот что известно о нем: Neshta — зловредный код ( в дальнейшем вирус) появившился в Беларуси в конце 2005г. Имя вирус получил возможно от транслитерации белорусского слова «не́шта», означающего «нечто», «что-то», а возможно по названию города. Neshta относится к категории файловых вирусов— в настоящее время не сильно популярных среди вирусных программ.
В базах антивирусных программ Neshta известен, как Virus.Win32.NeshtaWin32.HLLP.Neshta (Dr. Web), Win32.NeshtaWin32.Neshuta («Symantec Antivirus»), Win32:Trojan-gen («avast!»).
(«Антивирус Касперского»), (NOD32),
При запуске зараженной программы на «чистой» машине, вирус копирует своё тело в файл svchost.com (размер — 41 472 байта) в директории Windows. После этого регистрирует этот файл в системном реестре по адресу HKCRexefileshellopencommand, в результате чего запуск любого exe-файла на зараженной машине будет предваряться запуском файла вируса. Затем, вирус сканирует доступные логические диски компьютера и заражает exe файлы, удовлетворяющее некоторым критериям (как правило, это подавляющее большинство exe-файлов). После заражения работа компьютера не нарушается.
Для восстановления работоспособности компьютера после удаления Neshta антивирусом может понадобиться изменить значение ключа в реестре по адресу HKCRexefileshellopencommand с «%Windows%svchost.com „%1″ %*»«„%1″ %*» — БЕЗ упоминаний о windowssvchost.comна
Выявлен факт, что при невозможности скопировать свое тело в папку Windows, вирус пытается копировать себя в профиль учетной записи administrator. И прописывает свой запуск в реестр оттуда.
Скачал утилиту от Касперского и запустил – вирус не находит. Скачал утилиту от Доктора Веб и запустил – вирус не находит. Очень неприятный момент. Пришлось действовать головой).
Способ лечения вируса win32.neshta.a :
Первый – переустановить начисто систему, предварительно прогнав из-под DOS антивирусом. В этом случае, вы лишитесь всех файлов EXE, зараженных NESHTA.
Второй. Как ни прискорбно, но большинство антивирусов не лечат файлы зараженные NESHTA, а просто удаляют их. Но, у DRWEB есть бесплатная утилита под названием CUREIT. Вы можете бесплатно скачать ее с сайта DRWEB. Так же вам понадобится файл реестра, который вы можете сделать сами следующим образом. Создаем текстовый документ и вносим в него следующие данные:
REGEDIT4
[HKEY_CLASSES_ROOTexefileshellopencommand]
@=»»%1″ %*»
[HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand]
@=»»%1″ %*»
Примечание: пустая строка после REGEDIT4 – обязательна.
Сохраняемся и закрываем текстовый документ. Затем, меняем расширение документа с TXT на REG. Запускаем полученный файл реестра и соглашаемся с добавление данных. После чего запускаем утилиту CUREIT и проводим полную проверку системы. Что удивительно, теперь утилита видит вирус и лечит его спокойно. Утилита от Касперского все и теперь не видит заражение – прискорбно. Ну продолжим… На предложения типа «лечить» соглашаемся «да для всех».
Лечение 120 гигов заняло 8,5 часов, пролечил 950 файлов с расширением exe.
Источник
* Незаменимое средство для лечения компьютеров под управлением MS Windows 95OSR2/98/Me/NT 4.0/2000/XP/2003/Vista от вирусов, руткитов, троянских программ, шпионского ПО и разного рода вредоносных объектов, которые не «увидел» установленный на Вашем ПК антивирус.
* C помощью Dr.Web CureIt! Вы сможете регулярно контролировать эффективность установленного на Вашем ПК антивируса и вовремя понять не пора ли его сменить на Dr.Web.
* Dr.Web CureIt! не требует установки, не конфликтует ни с одним антивирусом, а значит, на время сканирования не требуется отключать установленный антивирус другого производителя.
* Dr.Web CureIt! cодержит самый последний набор дополнений к вирусной базе Dr.Web и обновляется один или несколько раз в час.
Как используется Dr.Web CureIt!?
Загрузите Dr.Web CureIt!, запустите на исполнение и в открывшемся окне нажмите кнопку «Пуск» . На запрос подтвердите запуск проверки и дождитесь результатов сканирования памяти компьютера и файлов автозапуска. Если необходимо просканировать все или некоторые диски компьютера, выберите режим полной или выборочной проверки (в последнем случае выделите требуемые объекты для проверки) и нажмите кнопку «Начать проверку» у правого края окна сканера.
При сканировании зараженные файлы будут излечены, а неизлечимые — перемещены в карантин. По окончании проверки остаются доступны файл отчета и сам карантин.
При запуске утилиты в командной строке можно указывать параметры для сканера, т. е. задавать конкретные объекты для проверки и режимы, уточняющие или изменяющие используемые по умолчанию.
Можно ли обновлять Dr.Web CureIt!?
Лечащая утилита Dr.Web CureIt! вылечит инфицированную систему однократно, но она не является постоянным средством для защиты компьютера от вирусов. Утилита на нашем сайте всегда имеет в своем составе самые последние вирусные базы Dr.Web, но в нее не входит модуль автоматического обновления вирусных баз. Поставляемый в комплекте утилиты Dr.Web CureIt! набор вирусных баз актуален только до выхода нового дополнения (как правило, дополнения к вирусным базам Dr.Web выпускаются один или несколько раз в час) .
Для того, чтобы просканировать компьютер утилитой Dr.Web CureIt! в следующий раз с самыми последними обновлениями вирусных баз, необходимо снова скачать Dr.Web CureIt!.
Скачать Dr.Web CureIt! История проекта
ВИРУСЫ — ПЕРВАЯ ДЕСЯТКА
Win32.HLLM.Netsky.based
Win32.HLLW.Autoruner.437
Win32.HLLM.Netsky.35328
Win32.HLLP.Jeefo.36352
VBS.Igidak
Win32.HLLP.Neshta
Win32.HLLM.Wukill
Trojan.MulDrop.13408
Win32.HLLM.Beagle
Trojan.Regger
ПРОВЕРЬТЕ СВОИ ФАЙЛЫ АНТИВИРУСОМ
ПОДПИШИТЕСЬ НА НОВОСТИ
Rambler’s Top100
www.freedrweb.com / www.drweb.com
«Доктор Веб» © 2008 «Доктор Веб» — российский разработчик средств информационной безопасности.
Компания предлагает эффективные антивирусные и антиспам-решения как для крупных компаний и государственных организаций, так и для частных пользователей. Антивирусные продукты Dr.Web разрабатываются с 1992 года и неизменно демонстрируют превосходные результаты детектирования вредоносных программ и соответствуют мировым стандартам безопасности. Сертификаты и награды, а также обширная география пользователей Dr.Web свидетельствуют о степени исключительного доверия к продуктам компании. Специалисты «Доктор Веб» благодарны пользователям за поддержку решений семейства Dr.Web!
Источник
Вредоносная программа, которую называют троян, создается и распространяется людьми. Внедряется она непосредственно в компьютерные системы. Активированная программа на вашем компьютере позволяет злоумышленникам украсть пароли, реквизиты или получить другие ресурсы с вашего технического устройства. Для того чтобы избежать подобной ситуации, на компьютере должен быть установлен надежный антивирус. Однако, и он не всегда срабатывает, в таком случае вам понадобится избавляться от вируса самостоятельно. Способы удаления вирусов с компьютера могут отличаться в зависимости от их видов.
Что представляет из себя троян
Перед тем, как удалить вирус троян win32, давайте рассмотрим, что представляет из себя данная программа. Свое название вирус получил от знаменитой легенды о Троянском коне. Обычно он маскируется под какую-либо полезную программу. Отличительной чертой трояна является то, что он активируется только после того, как вы сами запускаете его.
К примеру, вирус может представлять собой папку EXE, которая располагается на флешке или каком-либо ресурсе интернет-сети. Пользователь, который не обращает внимание на расширение, пытается открыть папку и кликает на нее. Естественно, зайти в нее не получается, а вирус начинает активно действовать. При этом он опасен не только для зараженного компьютера, но и всех других устройств, которые связаны сетью с ним. Чтобы не попасться на уловки мошенников, следует быть осторожным, не нажимать на все подряд ссылки, а также не открывать программы, присланные с неизвестных адресов.
Чистка автозагрузки
Но если вы все-таки подцепили вредоносную программу, то, как удалить вирус троян с компьютера, знать вам просто необходимо. Для начала следует попробовать избавиться от него с помощью антивируса. Для начало нужно проверить компьютер на вирусы при помощи антивирусов и по возможность программе найти и вылечить все зараженные объекты. Но следует знать, что в обычном режиме антивирус не сможет проверить те файлы, которые использует операционная система. Поэтому более эффективно запустить проверку, перейдя в Безопасный режим.
Чтобы сделать последнее действие, перезапускаем компьютер и нажимаем клавишу F8 до того, как загрузилась операционная система. В появившемся списке выбираем Безопасный режим. После этих действий WINDOWS загрузится, но многие драйвера и программы работать не будут, что позволяет антивирусу проверить все более тщательно, чем при обычной загрузке.
Нередко программа не видит вирус, поэтому приведенные выше рекомендации оказываются неэффективными. Тогда на помощь может прийти бесплатная утилита Dr.web Cureit. Установите ее на компьютер и проведите еще раз глубокую проверку. Чаще всего после этого проблема отпадает.
Говоря дальше о том, как удалить вирус троян с ноутбука или компьютера, нужно отметить следующий шаг, который заключается в чистке автозагрузки. Для этого через Пуск заходим в Выполнить. В строке вбиваем команду msconfig. Это поможет запустить Настройку системы. Здесь нужно перейти на Автозагрузку и просмотреть все подозрительные объекты, напротив которых проставлены галочки. Обычно это элементы, заканчивающиеся на .exe. Например, windir%system328353.exe.
Если вы уверены в том, что подобные утилиты не установлены на вашем компьютере, то галочку рядом с ними нужно убрать, что деактивирует вредоносные программы. А добавляются программы необходимые вам немного по другому, об этой читайте здесь.
Следует отметить файл svchost.exe, который является вирусом. Его опасность состоит в том, что он часто шифруется под системные службы компьютера. Помните, что в автозагрузке этот файл не должен отображаться, поэтому если он здесь высветился, то можете смело его удалять.
Дальнейшие действия
Следующий шаг – это удаление файлов восстановления системы. Очень часто именно сюда в первую очередь попадает троян и другие вирусы. Кроме того, желательно просмотреть папку temp и очистить кэш-память браузера, которым вы пользуетесь. Для этих действий можно использовать специальные программы, например, эффективна Ccleaner, которая, кстати, применяется и для мобильных устройств или планшетов.
Также удалить файлы восстановления системы можно следующим образом. Заходим в Мой компьютер и переходим по ссылке Свойства. Здесь выбираем вкладку Восстановление системы. Кликаем по кнопке Параметры диска. Переводим ползунок до отметки 0 и нажимаем ОК. После того, как очистка закончится, можно поставить его на место.
Для поиска и обнаружения троянов эффективно использовать программу Trojan Remover. Утилита распространяется за определенную плату. Однако, в сети есть и демоверсия программы, которая полностью рабочая в течение первого месяца после установки. После запуска Trojan Remover проверяет на наличие трояна реестр операционной системы, сканирует все документы и файлы, в которых может быть вирус. Причем программа эффективна не только против троянов, но и против некоторых видов червей. Интерфейс антивируса довольно прост и интуитивно понятен даже для новичков, не часто сталкивающихся с техникой.
Если вы заподозрили, что на компьютере или ноутбуке появилась вредоносная программа, то незамедлительно следует заняться его “лечением”. Для этого можно использовать антивирусы. Кроме того, есть и другие способы, например, очистить компьютер от вредоносных программ вручную. На самом деле все не так сложно, а в результате можно оградить себя от значительных неприятностей, которые доставляют компьютерные вирусы.
Источник
На сегодняшний день нет абсолютных методик лечения файловых вирусов.
1) Скачайте на заведомо «здоровом» компьютере утилиту от DrWeb — CureIT! Разархивируйте и запишите её на CD или DVD, можно записать и на флешку, если производителем предусмотрен режим защиты данных от изменений (только чтение). Иначе активный вирус повредит утилиту ещё до запуска. Сделайте полную проверку зараженного компьютера в режиме Safe Mode, затем в нормальном.
Этот способ может не сработать, если в сигнатурх продуктов DrWeb нет данной модификации зловреда, заразившего Ваш компьютер. Отправьте несколько зараженных файлов аналитикам Dr. Web.* и в течении суток CureIT! «научат» лечить вирус, утилиту придется скачать заново на заведомо «здоровом» компьютере.
2) Этот способ подразумевает наличие «здорового» компьютера, на котором установлен антивирус Dr. Web или Касперского, делаищие упор на сигнатурный детект, что позволяет наиболее эффективно бороться с классическими вирусами. Для борьбы необходимо наличие наиболее свежих антивирусных баз. Необходимо жёсткий диск (HDD) «зараженного» компьютера подключить к чистой машине и провести полную проверку. После проверкилечения жесткий диск необходимо вернуть на место.
Данный способ не дает абсолютного положительного результата. Ваш антивирус может не знать данную модификацию вируса, тогда существует риск заражения «чистой машины» (если будете запускать программы и файлы с подключенного жесткого диска). В этом случае необходимо отправить зараженный файл вендору* и детект будет добавлен в ближайшее время. Полностью отказаться от этого метода заставит наличие гарантии на один из компьютеров или отсутствие знаний как снимать жесткий диск. В этом случае необходимо обратится в ближайший сервисный центр (при наличии гарантии в гарантийный центр обслуживания).
P.S. При лечении файлового вируса вторым методом. т.е. посредством подключения жёсткого диска к чистой машине следует быть очень внимательным и аккуратным, т.к. можно заразить чистую машину. Если вы не сомневаетесь в своих возможностях лучше не пробывать.
Ссылки, по которым можно отправить файлы на анализ
Kaspersky
Drweb
Добавлено через 31 секунду
Еще одна довольно эффективная методика: это использование LiveCD, собранного специально для очистки компьютера от вредоносных программ, которых обычными средствами проблематично уничтожить.
1. В нашем случае (заражении файловым вирусом) необходимо использовать Dr.Web LiveCD, позволяет восстановить работоспособность системы, пораженной действиями вредоносных программ. Эта сборка LiveCD не только очистит компьютер от инфицированных и подозрительных файлов, но и попытается вылечить зараженные объекты.
Документация (перед началом использования и если у Вас нет опыта работы с подобными продуктами, обязательно почитайте документацию по продукту)
Прямой линк на скачивание образа диска
В состав сборки Dr.Web LiveCD входят следующие приложения:
1. Сканер Dr.Web® для Linux;
2. Браузер Firefox;
3. Файловый менеджер Midnight Commander;
4. Терминал для работы с командной строкой непосредственно перед из-под графической оболочки;
5. Текстовый редактор Leafpad.
Более подробная информация находится в документации.
2. Если нет возможности воспользоваться DVD/CD приводом, то пригодиться Dr.Web® LiveUSB — это утилита, позволяющая создать загрузочную флэш-карту с переносной операционной системой на базе Linux и встроенным программным обеспечением, предназначенным для проверки излечения компьютера (антивирусное решение Dr.Web LiveUSB), работы с файловой системой, просмотра и редактирования текстовых файлов, просмотра веб-страниц и ведения электронной переписки. С помощью загрузочной флэш-карты можно восстановить систему в тех случаях, когда вследствие вирусной активности не представляется возможным произвести загрузку компьютера с жесткого диска обычным способом.
Dr.Web® LiveUSB поставляется в виде исполняемого файла drwebliveusb.exe.
Более подробная информация находится в документации.
3. А так-же можно воспользоваться Avira AntiVir Rescue System которая является linux приложением, позволяющим получить доступ к компьютеру, который не удается загрузить. Это позволяет:
- восстановить поврежденную систему,
- спасти данные,
- выполнить проверку системы на наличие вирусов.
Если у вас есть старый установочный файл, то вам прийдется его скачать еще раз т.к., Avira AntiVir Rescue System обновляется несколько раз в день.
Не забывайте, что установочный файл (rescuecd.exe примерно 60 mb) необходимо скачивать и запускать на заведомо здоровом компьютере.
4. Или же можно воспользоваться Kaspersky Rescue Disk 10 который формируется на базе на базе ядра операционной системы Linux и представляет собой файл .iso, который включает:
системные и конфигурационные файлы Linux;
- набор утилит для диагностики операционной системы;
- набор вспомогательных утилит (файловый менеджер и др.);
- файлы Kaspersky Rescue Disk;
- файлы, содержащие антивирусные базы.
Если у вас установлен один из продуктов ЛК линейки 2010, то образ можно поддержать в актуальном состоянии.
Подробнее на сайте технической поддержки ЛК
Или же создать локальную папку с базами обновлениями и обновить базы Диска аварийного восстановления (Kaspersky Rescue Disk) с помощью утилиты обновления
5. Еще одним вариантом лечения будет Live CD Vba32 Rescue который содержит:
- Консольный сканер для *UNIX (VBA32.L)
- Файловый менеджер MidnightCommander
Основные возможности продукта:
- Сканирование ПК на наличие вредоносных объектов;
- Создание отчетов сканирования системы для последующего обращения в службу тех. поддержки;
- Выполнение основных операций с файлами, находящимися на компьютере пользователя (переименование, копирование, перемещение и т.д.);
Скачать LiveCD Vba32 Rescue
Удачного лечения.
Источник
— компьютерный вирус, появившийся в Беларуси в конце 2005-го года.
Название вируса происходит от транслитерации белорусского слова
«не́шта» , означающего «нечто» , «что-то» . Neshta относится к категории
файловых вирусов — ныне мало популярному виду вредоносных программ.
В
базах антивирусных программ Neshta известен, как Virus.Win32.Neshta
(«Антивирус Касперского») , Win32.HLLP.Neshta (Dr. Web), Win32.Neshta
(NOD32), Win32.Neshuta («Symantec Antivirus»), Win32:Trojan-gen
(«avast!»).
Фактически, Neshta является первым белорусским
вирусом, получившим широкое распространение (в основном, в самой
Беларуси и странах СНГ) . При том, что вирус не содержит в себе
разрушительной функции, в первые месяцы его распространения большое
число компьютеров в Беларуси пострадало как раз от его лечения. Это было
связано с тем, что популярные антивирусы удаляли сам вирус, но не
возвращали некоторые изменённые вирусом значения в реестре ОС Windows в
первоначальный вид. В результате, нормально работавшая до лечения
система, при попытке запустить любую программу выдавала стандартное
сообщение об ошибке Windows: «Не удалось открыть следующий файл…» .
К сожалению страдают и сейчас.
Вирус Win32.NESHTA
очень распространенный вирус. Излюбленным местом обитания этого
паразита являются неадминистрируемые локальные сети. Любит компьютеры
незащищенные антивирусными программами или защищенные в недостаточной
степени. Устаревшие антивирусные базы или бесплатные антивирусы, ни в
коей мере не могут поставить надежный щит от проникновения этого и
многих других вирусов.
Последствия заражения вирусом NESHTA.
Когда на компьютере перестают запускаться программы и игры, знайте, вы
попали в цепкие лапы вируса NESHTA. Упорно кликая по ярлыкам или файлам
программ, вы с удивлением замечаете, что ничего не происходит.
Принцип действия вируса NESHTA. На заражаемый компьютер прописывается исполняемый файл вируса C:WINDOWS svchost.com, который, в свою очередь, пытается дотянуться до всех исполняемых файлов с расширением EXE.
А, дотянутся, он может до всего. Это и программы, которые вы
используете в повседневной работе на компьютере, и любимые игры и
дистрибутивы из вашей коллекции программ. Дотянувшись до файла с
расширением EXE, NESHTA увеличивает размер файла на 41472
байт. Происходит внедрение в тело файла тела вируса. В дальнейшем
зараженный файл уже сам является разносчиком заразы и способен заразить
незащищенный компьютер.
Есть два способа избавить от NESHTA.
Первый — переустановить начисто систему, предварительно прогнав из-под DOS антивирусом. В этом случае, вы лишитесь всех файлов EXE, зараженных NESHTA.
Второй. Как ни прискорбно, но большинство антивирусов не лечат файлы зараженные NESHTA, а просто удаляют их. Но, у DRWEB есть бесплатная утилита под названием CUREIT.
Вы можете бесплатно скачать ее с сайта . Так же вам понадобится файл
реестра, который вы можете сделать сами следующим образом. Создаем
текстовый документ и вносим в него следующие данные:
Ключ реестра
REGEDIT4
[HKEY_CLASSES_ROOTexefileshellopencommand]
@=»»%1″ %*»
[HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand]
@=»»%1″ %*»
Примечание: пустая строка после REGEDIT4 — обязательна.
Сохраняемся и закрываем текстовый документ. Затем, меняем расширение документа с TXT на REG. Запускаем полученный файл реестра и соглашаемся с добавление данных. После чего запускаем утилиту CUREIT и проводим полную проверку системы. На предложения типа «лечить» соглашаемся «да для всех» .
Произведя
все эти действия, и избавившись от вируса, не забудьте установить
качественный антивирус, со свежими антивирусными базами
Источник
