Как вылечить вирус нечто

Здравствуйте. На форуме у многих много вопросов как избавиться от вируса Neshta. И нашел решение.

И так:
Сначало у Вас не будет запускаться ни одна программа, а будет запускаться окно с таким текстом:
1) Будет писать выберите программу для открытия этого файла.
2) Потом все антивирусы будут блокироваться.
3) При перезапуске компьютера у вас не будет не одного процесса.
Дальше: ——>>>>

Как с этим бороться?
1. Скачиваем архив
Cкачать с ######.ru
2 .Открываем архив.
3. Запускаем оба файла .reg
4 .В обоих нажимаем «Да»
5 .Готово!Вирус больше не будет заражать файлы на Вашем компьютере!
6. Главное удаляйте старый антивирус, и скачивайте новый.
7. Далее проверяйте систему на вирусы.
8. После удаляйте все зараженные вирусом файлы.
9. И вирус умер.
P.S — Если кто то думает что я кидаю стиллер, вот вам VirusTotal =)

Тот кто не знает что такое вирус Neshta привожу примеры скрины:

Запомните что качать читы нельзя и не нужно, если вы скачаете ваш компьютер будет опасен риску

__________________________________________________ _______________

Как излечится от вируса: Вариант 2. (Сделал лично я)
Технические детали

Вредоносная программа, которая находит и заражает исполняемые файлы с файловым расширением «EXE». Является приложением Windows (PE-EXE файл). Имеет размер 9487286 байт. Написана на Delphi.

Инсталляция
После активации вирус копирует свое тело в корневой каталог Windows под именем svchost.com:

%WinDir%svchost.com
Данный файл имеет размер 41472 байта.
md5: BC93F4F527B58419EF42F19DB49F64A8
sha1: 2650A73B61577CFC0C0D80A7F38103D65388D808

Предварительно производится поиск и удаление существующего файла «%WinDir%svchost.com».
Вирус изменяет значения следующего параметра ключа системного реестра:

[HKCRexefileshellopencommand]
«(default)» = «%WinDir%svchost.com «%1″ %*»
Таким образом, при запуске всех EXE-файлов в системе будет запускаться тело вируса %WinDir%svchost.com с параметром равным имени программы, которую запускает пользователь.

Деструктивная активность

Вирус получает список логических дисков на компьютере пользователя. После чего сканирует найденные диски в поисках исполняемых файлов Windows(PE-EXE), найденные файлы такого типа заражаются вирусом. При этом найденные файлы должны соответствовать критериям:

файл должен быть не меньше 41472 байта и не больше 10000000 байт;
файл не должен находиться в каталогах %WinDir% и %ProgramFiles%;
не заражаются файлы на CD-ROM и на логических дисках A и B;
При заражении вирус записывает в начало файла свое тело и перенаправляет точку входа в программу на тело вируса, оригинальное начала файла переносится в конец файла, при этом часть переносимого блока шифруется.

Также вирус создает файл в корневом каталоге Windows под именем «directx.sys»:

%WinDir%directx.sys
Если тело вируса запускается с параметром равным имени программы, которую запускает пользователь,то производится запуск программы, имя которой передается в виде параметра, а полный путь к запущенной программе помещается в файл %WinDir%directx.sys для дальнейшего заражения. При этом соблюдаются вышеуказанные критерии заражаемых файлов. Если был запущен зараженный файл (размер запускаемого файла больше 41472 байта), то после запуска тела вируса, вирус расшифровывает оригинальный файл и сохраняет его во временном каталоге текущего пользователя Windows в каталоге «3582-490» под оригинальным именем:
%Temp%3582-490
после чего оригинальный файл запускается на выполнение. Для контроля уникальности своего процесса в системе вирус создает уникальный идентификатор с именем:
MutexPolesskayaGlush
В теле вируса содержаться следующие строки:
Delphi-the best. *** all the rest. Neshta 1.0 Made in Belarus.
Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

md5: 09CBA414D6EDC9999220D79660C155B8
sha1: 5C4C02F5F84A932CB476480F0343FCCF7F4B393D

потому что являются win32 приложениями.

Neshta — компьютерный вирус, появившийся в Беларуси в конце 2005-го года. Название вируса происходит от транслитерации белорусского слова «не́шта» , означающего «нечто» , «что-то» . Neshta относится к категории файловых вирусов — ныне мало популярному виду вредоносных программ.
В базах антивирусных программ Neshta известен как Virus.Win32.Neshta («Антивирус Касперского») , Win32.HLLP.Neshta (Dr. Web), Win32.Neshta (NOD32), Win32.Neshuta («Symantec Antivirus»), Win32:Neshta(«avast!»).
Фактически, Neshta является первым белорусским вирусом, получившим широкое распространение (в основном, в самой Беларуси и странах СНГ) . При том, что вирус не содержит в себе разрушительной функции, в первые месяцы его распространения большое число компьютеров в Беларуси пострадало как раз от его лечения. Это было связано с тем, что популярные антивирусы удаляли сам вирус, но не возвращали некоторые изменённые вирусом значения в реестре ОС Windows в первоначальный вид. В результате, нормально работавшая до лечения система, при попытке запустить любую программу выдавала стандартное сообщение об ошибке Windows: «Не удалось открыть следующий файл…» . Также, после заражения возможна некорректная работа некоторых программ, в частности: Google Earth и Google Chrome.

Backdoor.Win32.Sinowal — буткит, похищающий конфиденциальную информацию пользователя. Является приложением Windows (PE-EXE файл) .
Тип вируса: Загрузочный вирус.
Был обнаружен в конце марта 2009 года.
Размер инсталлятора может варьироваться в пределах от 300 до 460 КБ.

В настоящее время огромное число сайтов заражено вирусами. Обычно вебмастера называют вирусами любой вредоносный код, который тем или иным образом вредит работе сайта или посетителей. Одни вирусы выполняют безобидный редирект на сайты варезных приложений, азартных игр или сайты для взрослых. Другие, используя уязвимости в браузерах или плагинах, проникают на компьютер посетителя и заражают операционную систему, выполняя разрушительные операции. Но не важно, насколько вредоносным оказывается действие конкретного вируса, любой вредоносных код необходимо убрать с сайта как можно раньше и вот почему.

Наличие вируса на сайте приводит к тому, что последний пессимизируется поисковой системой, теряет позиции в поисковой выдаче, а трафик существенно падает. Падение посещаемости может быть связано с двумя проблемами:

1. сайт попал в базу поисковой системы, и маркирован как подозрительный или вредоносный
2. сайт попал в базу антивируса (например, Касперского)

Итог один: сайт теряет посещаемость, лояльность пользователей и поисковых систем. Для того, чтобы восстановить позиции или удалить сайт из базы «подозрительных», придется потратить достаточно много времени и сил.

Сайт заражается вирусом несколькими способами:

1. злоумышленник взламывает сайт через уязвимости в скриптах или на сервере, модифицирует настройки сервера, шаблоны или php скрипты для того, чтобы на странице появлялся вредоносный код на javacript, или выполнялся редирект при определенном условии на сторонний сайт.

   Для того, чтобы это не произошло, нужно укреплять безопасность сайта: регулярно обновлять версию операционной системы на сервере и скриптов системы управления сайтом, грамотно выставлять привилегии для директорий, использовать безопасные настройки PHP/Perl на сервере, регулярно менять пароли от панели администратора и т.п.

2. вирус на компьютере владельца сайта перехватывает пароль от FTP, отсылает его злоумышленнику или боту, который в свою очередь соединяется по FTP и заражает сайт (см. п 1)

   Для того, чтобы этого не произошло, нужно использовать безопасное соединение SFTP вместо FTP, не хранить пароли в FTP-клиенте, чаще
   менять пароли от FTP, проверять компьютер антивирусом.

Обнаружить вирус помогают поисковые системы, браузеры, антивирусы и иногда посетители сайта. Поисковая система, обычно, присылает отчет о том, что сайт представляет угрозу для посетителей через интерфейс вебмастера. Антивирус или браузер (например, Chrome) блокирует доступ к зараженному сайту, который находится в базе инфицированных сайтов, и показывает пользователю предупреждение при заходе на такой ресурс. Владельцу сайта рекомендуется использовать инструменты вебмастера Яндекса и Гугла для того, чтобы отслеживать работоспособность своих ресурсов. Также в обнаружении вредоносного кода хорошо помогает наблюдение за трафиком: заметное снижение посещаемости сайта может быть сигналом к наличию редиректа или заражению сайта.

Многие владельцы сайтов даже не подозревают о наличии вирусов на своих ресурсах, поскольку вредоносный код может срабатывать при определенных условиях (какое-то конкретное время, количество кликов на странице, заход с определенного браузера или мобильного устройства). Такие вредоносы могут существовать на сайте месяцы, а то и годы. Для их обнаружения необходим как внешний анализ работы сайта, так и внутренний анализ состояния скриптов и сервера.

1. Для внешнего анализа работы сайта подойдут браузер Chome, антивирус Касперского и две панели вебмастера (Яндекс.Вебмастер и Google Webmaster Tool).
   Браузер Chrome кроме богатого инструментария вебмастера (включая сетевой анализатор и сниффер трафика) имеет встроенный сервис Google Safe Browsing, который покажет, находится ли зараженный сайт в базе Google Safe Browsing.
2. Для внутреннего анализа рекомендуется использовать специализированные инструменты поиска вредоносных скриптов и следов взлома сайта:
   • AI-Bolit для поиска шеллов, вирусов и других вредоносных скриптов среди скриптов сайта
   • Rkhunter для поиска руткитов на выделенном (VDS/VPS) сервере
   • ClamAV для поиска вирусов под Unix

1. Проверьте свой компьютер коммерческим антивирусом с регулярно обновляемыми базами
2. Смените все пароли (доступ к хостингу, к панели администратора сайтов)
3. Выполните внешний и внутренний анализ сайта, описанные в предыдущем разделе
4. Удалите вредоносный код из шаблонов и скриптов
5. Укрепите безопасность сервера и скриптов (советы по усилению безопасности можно посмотреть в группе «Безопасность сайтов» https://vk.com/siteprotect)
6. Следуйте рекомендациям для предотвращения повторного заражения в статье «Как уберечь сайт от заражения вирусом»

Если вы достаточно уверенно администрируете сервер и являетесь опытным вебмастером, вы сможете легко справится с вредоносными скриптами на сайте.

Также вы всегда можете обратиться к профессионалам, которые помогут вам избавиться от проблем с вирусами, а также защитить сайт от взлома и повторного заражения.