Что за вирус win32 apanas. Белорусский вредитель — нечто (neshta)
Win32.Neshta - Белорусский вирус 2005-го года. Название вируса происходит от белорусского слова не́шта, означающего не́что. Программа является приложением Windows (exe-файл). Написана на Delphi. Размер оригинального вредоносного файла - 41 472 байта. Это файловый вирус - тот тип вируса, который уже не популярен в наше время, где лидерами давно стали трояны...
В базах антивирусных программ Neshta определяется так:
- Virus.Win32.Neshta - Касперский
- Win32.HLLP.Neshta - Dr. Web
- Win32.Neshta - NOD32
- Win32.Neshuta - Symantec
Заражение вирусом Neshta: в папке Windows, вирус Neshta находит и удаляет файл svchost.com, и создает новый файл с тем- же именем... но это уже файл с телом нашего вируса.
В реестре создается запись:
@="%WINDIR%\svchost.com \"%1\" %*"
Таким образом, все exe-файлы в системе при запуске будут вызывать новоявленный svchost.com, который и будет запускать вирус. Сам вирус будет искать файлы с расширением exe, и заражать их добавляя свой вредоносный код к ним, тем самым увеличивая размер файла на уже сказанное выше количество байт (41472 байта).
Лечение вируса Neshta: тестированные мной антивирусы, на момент написания статьи, не хотели лечить зараженные вирусом файлы, а лишь предлагали удалить их - а что значит потерять важные запускаемые программы и игры. Я решил отправить все зараженные файлы в карантин и потом их реанимировать (восстановить) оттуда, когда мой антивирус научится лечить данное заболевание. Но все равно хирургическое вмешательство нужно. Объясняю:
Создаем текстовый документ и вносим в него следующие данные:
REGEDIT4
@="\"%1\" %*"
@="\"%1\" %*"
Примечание: пустая строка после REGEDIT4 - обязательна.
Сохраняем документ как: любое имя файла.reg и запускаем его. На предложение добавить информацию в реестр отвечаем - ДА. После этого можно лечить антивирусом. Надеюсь на момент чтения этой статьи все антивирусы научатся лечить этот вирус, а не удалять его вместе с нужными нам файлами. (Я уже создал этот файл и прикрепил к этой статье. Вы можете его скачать по ссылке, которая находится в конце этой статьи: neshta.reg)
Профилактика вируса Neshta: любой антивирус со свежими базами, и фаерволл (брандмауэр) ... ну и конечно руки растущие из плеч.
Вот вам два файла лечащие Нешту(кому лень создавать файл по выше описанной инструкции)
Win32.Neshta
- Белорусский вирус 2005-го года. Название вируса происходит от белорусского слова не́шта
, означающего не́что
. Программа является приложением Windows (exe-файл). Написана на Delphi. Размер оригинального вредоносного файла - 41 472 байта. Это файловый вирус - тот тип вируса, который уже не популярен в наше время, где лидерами давно стали трояны…
В базах антивирусных программ Neshta определяется так:
- Virus.Win32.Neshta - Касперский
- Win32.HLLP.Neshta - Dr. Web
- Win32.Neshta - NOD32
- Win32.Neshuta - Symantec
Симптомы вируса Neshta : вы пытаетесь запустить программу или игру, но ничего не происходит. Некоторые пользователи пытаются очень быстро и очень много кликать левой клавишей мыши - но безрезультатно. Даже выделение ярлыка и нажатие на клавиатуре клавише на могает. Любой файл с расширением.exe стал больше на 41472 байт. Или ваш антивирус заругался, мол «Nesta» внутри… Тогда вы попали к нужному врачу…
Заражение вирусом Neshta : в папке Windows, вирус Neshta находит и удаляет файл svchost.com, и создает новый файл с тем- же именем … но это уже файл с телом нашего вируса.
В реестре создается запись:
@=»%WINDIR%\svchost.com \»%1\» %*»
Таким образом, все exe-файлы в системе при запуске будут вызывать новоявленный svchost.com, который и будет запускать вирус. Сам вирус будет искать файлы с расширением exe, и заражать их добавляя свой вредоносный код к ним, тем самым увеличивая размер файла на уже сказанное выше количество байт (41472 байта).
Лечение вируса Neshta : тестированные мной антивирусы, на момент написания статьи, не хотели лечить зараженные вирусом файлы, а лишь предлагали удалить их - а что значит потерять важные запускаемые программы и игры. Я решил отправить все зараженные файлы в карантин и потом их реанимировать (восстановить) оттуда, когда мой антивирус научится лечить данное заболевание. Но все равно хирургическое вмешательство нужно. Объясняю:
Создаем текстовый документ и вносим в него следующие данные:
REGEDIT4 @="\"%1\" %*" @="\"%1\" %*"
Примечание: пустая строка после REGEDIT4 - обязательна.
Сохраняем документ как: любое имя файла .reg и запускаем его. На предложение добавить информацию в реестр отвечаем - ДА. После этого можно лечить антивирусом. Надеюсь на момент чтения этой статьи все антивирусы научатся лечить этот вирус, а не удалять его вместе с нужными нам файлами. (Я уже создал этот файл и прикрепил к этой статье. Вы можете его скачать по ссылке, которая находится в конце этой статьи: neshta.reg)
Профилактика вируса Neshta : любой антивирус со свежими базами, и фаерволл (брандмауэр) … ну и конечно руки растущие из плеч .
Здравствуйте,
К сожалению, это так. По возможности не используйте инфицированную систему, пока не обезвредите активное заражение (см.ниже), чтобы избежать его дальнейшего распространения.
Потому что это файловый вирус и он заражает легитимные файлы, внедряя в них свой код. Даже если вы с помощью Hitman Pro и CureIT обезвредите само исходное тело вируса, ставшее причиной заражения, то от инфекции таким образом всё равно не удастся избавиться полностью. Требуется срочное лечение, причем, не какими-то точечными ручными попытками с активной зараженной ОС как вы делаете, а непосредственно с помощью загрузочного диска (LiveCD), производя действия над системой, когда она не активна.
Что нужно сделать:
- Скачать ISO-образ загрузочного диска от компании
или
- Запишите загруженный образ на флешку или CD/DVD-диск, что будет под рукой (CD-диск может оказаться слишком мал), если потребуется, используя специальное ПО (например, бесплатный
или
)
- Загрузитесь с записанного образа загрузочного диска, руководствуясь инструкцией
- Работая с графической оболочкой LiveCD, на рабочем столе необходимо выбрать компоненты обновления и получить самые свежие антивирусные базы, после чего запустить встроенную утилиту для проведения полной проверки системы и всех
дисков
- Все обнаруженные ранее безопасные зараженные объекты (например, ваши программы) необходимо именно лечить
, в противном случае вы лишитесь своего ПО и даже собственных данных в том случае, если выберете карантин или удаление с диска в качестве предпринимаемого над обнаруженным объектом действия. Удалить или отправлять в карантин можно только отдельные файлы вирусы, в числе которых обнаруженный вами svchost.com, остальное только лечить
!
- Выполните перезагрузку системы после процесса лечения и убедитесь в отсутствии дальнейших признаков присутствия активного заражения в системе
По вопросам сотрудничества обращайтесь на наш или же посредством переписки. Бесплатная помощь в заражения и технических проблем оказывается на форуме, при этом необходимо создать новую тему в подходящем разделе.
Любая точка на карте может быть центром мира. Он не плох и не хорош. Он просто есть. Здесь нет добродетели и бесчестья. Есть только ты сам наедине со своей совестью. И так до тех пор, пока не окончится гонка, пока не настанет конец, пока мы не превратимся в призраков, которыми казались сами себе. (c) к/ф "Легенда"
От нерешительности теряешь больше, чем от неверного решения. (c) Кармела Сопрано
Ну вот вам первый совет.
До сих пор встречается этот вирус, хоть и стоят у людей различные антивирусные программы. Вот что муж писал в черновиках...
Вот может кому и пригодится данная информация. Искал себе на просторах Интернета дефрагментатор и… нашел с кряком:). Мой антивирус Comodo сразу взвыл – вирус win32.neshta.a, но я не принял его доводы во внимание и разрешил ему установиться.
Вот что известно о нем: Neshta - зловредный код (в дальнейшем вирус) появившился в Беларуси в конце 2005г. Имя вирус получил возможно от транслитерации белорусского слова «не́шта» , означающего «нечто», «что-то», а возможно по названию города. Neshta относится к категории файловых вирусов- в настоящее время не сильно популярных среди вирусных программ.
В базах антивирусных программ Neshta известен, как Virus.Win32.Neshta Win32.HLLP.Neshta (Dr. Web), Win32.Neshta Win32.Neshuta («Symantec Antivirus»), Win32:Trojan-gen («avast!»).
(«Антивирус Касперского»), (NOD32),
При запуске зараженной программы на «чистой» машине, вирус копирует своё тело в файл svchost.com (размер - 41 472 байта) в директории Windows. После этого регистрирует этот файл в системном реестре по адресу , в результате чего запуск любого exe-файла на зараженной машине будет предваряться запуском файла вируса. Затем, вирус сканирует доступные логические диски компьютера и заражает exe файлы, удовлетворяющее некоторым критериям (как правило, это подавляющее большинство exe-файлов). После заражения работа компьютера не нарушается.
Для восстановления работоспособности компьютера после удаления Neshta антивирусом может понадобиться изменить значение ключа в реестре по адресу HKCR\exefile\shell\open\command с «%Windows%\svchost.com „%1" %*» «„%1" %*» - БЕЗ упоминаний о windows\svchost.com на
Выявлен факт, что при невозможности скопировать свое тело в папку Windows, вирус пытается копировать себя в профиль учетной записи administrator. И прописывает свой запуск в реестр оттуда.
Скачал утилиту от Касперского и запустил – вирус не находит. Скачал утилиту от Доктора Веб и запустил – вирус не находит. Очень неприятный момент. Пришлось действовать головой).
Способ лечения вируса win32.neshta.a:
Первый
– переустановить начисто систему, предварительно прогнав из-под DOS антивирусом. В этом случае, вы лишитесь всех файлов EXE, зараженных NESHTA.
Второй.
Как ни прискорбно, но большинство антивирусов не лечат файлы зараженные NESHTA, а просто удаляют их. Но, у DRWEB
есть бесплатная утилита под названием CUREIT
. Вы можете бесплатно скачать ее с сайта DRWEB. Так же вам понадобится файл реестра, который вы можете сделать сами следующим образом. Создаем текстовый документ и вносим в него следующие данные:
@="\"%1\" %*"
@="\"%1\" %*"
Примечание : пустая строка после REGEDIT4 – обязательна.
Сохраняемся и закрываем текстовый документ. Затем, меняем расширение документа с TXT на REG. Запускаем полученный файл реестра и соглашаемся с добавление данных. После чего запускаем утилиту CUREIT и проводим полную проверку системы. Что удивительно, теперь утилита видит вирус и лечит его спокойно. Утилита от Касперского все и теперь не видит заражение – прискорбно. Ну продолжим… На предложения типа «лечить» соглашаемся «да для всех».
Лечение 120 гигов заняло 8,5 часов, пролечил 950 файлов с расширением exe.