Win32.Neshta
- Белорусский вирус 2005-го года. Название вируса происходит от белорусского слова не́шта
, означающего не́что
. Программа является приложением Windows (exe-файл). Написана на Delphi. Размер оригинального вредоносного файла - 41 472 байта. Это файловый вирус - тот тип вируса, который уже не популярен в наше время, где лидерами давно стали трояны…
В базах антивирусных программ Neshta определяется так:
- Virus.Win32.Neshta - Касперский
- Win32.HLLP.Neshta - Dr. Web
- Win32.Neshta - NOD32
- Win32.Neshuta - Symantec
Симптомы вируса Neshta : вы пытаетесь запустить программу или игру, но ничего не происходит. Некоторые пользователи пытаются очень быстро и очень много кликать левой клавишей мыши - но безрезультатно. Даже выделение ярлыка и нажатие на клавиатуре клавише на могает. Любой файл с расширением.exe стал больше на 41472 байт. Или ваш антивирус заругался, мол «Nesta» внутри… Тогда вы попали к нужному врачу…
Заражение вирусом Neshta : в папке Windows, вирус Neshta находит и удаляет файл svchost.com, и создает новый файл с тем- же именем … но это уже файл с телом нашего вируса.
В реестре создается запись:
@=»%WINDIR%\svchost.com \»%1\» %*»
Таким образом, все exe-файлы в системе при запуске будут вызывать новоявленный svchost.com, который и будет запускать вирус. Сам вирус будет искать файлы с расширением exe, и заражать их добавляя свой вредоносный код к ним, тем самым увеличивая размер файла на уже сказанное выше количество байт (41472 байта).
Лечение вируса Neshta : тестированные мной антивирусы, на момент написания статьи, не хотели лечить зараженные вирусом файлы, а лишь предлагали удалить их - а что значит потерять важные запускаемые программы и игры. Я решил отправить все зараженные файлы в карантин и потом их реанимировать (восстановить) оттуда, когда мой антивирус научится лечить данное заболевание. Но все равно хирургическое вмешательство нужно. Объясняю:
Создаем текстовый документ и вносим в него следующие данные:
REGEDIT4 @="\"%1\" %*" @="\"%1\" %*"
Примечание: пустая строка после REGEDIT4 - обязательна.
Сохраняем документ как: любое имя файла .reg и запускаем его. На предложение добавить информацию в реестр отвечаем - ДА. После этого можно лечить антивирусом. Надеюсь на момент чтения этой статьи все антивирусы научатся лечить этот вирус, а не удалять его вместе с нужными нам файлами. (Я уже создал этот файл и прикрепил к этой статье. Вы можете его скачать по ссылке, которая находится в конце этой статьи: neshta.reg)
Профилактика вируса Neshta : любой антивирус со свежими базами, и фаерволл (брандмауэр) … ну и конечно руки растущие из плеч .
Ну вот вам первый совет.
До сих пор встречается этот вирус, хоть и стоят у людей различные антивирусные программы. Вот что муж писал в черновиках...
Вот может кому и пригодится данная информация. Искал себе на просторах Интернета дефрагментатор и… нашел с кряком:). Мой антивирус Comodo сразу взвыл – вирус win32.neshta.a, но я не принял его доводы во внимание и разрешил ему установиться.
Вот что известно о нем: Neshta - зловредный код (в дальнейшем вирус) появившился в Беларуси в конце 2005г. Имя вирус получил возможно от транслитерации белорусского слова «не́шта» , означающего «нечто», «что-то», а возможно по названию города. Neshta относится к категории файловых вирусов- в настоящее время не сильно популярных среди вирусных программ.
В базах антивирусных программ Neshta известен, как Virus.Win32.Neshta Win32.HLLP.Neshta (Dr. Web), Win32.Neshta Win32.Neshuta («Symantec Antivirus»), Win32:Trojan-gen («avast!»).
(«Антивирус Касперского»), (NOD32),
При запуске зараженной программы на «чистой» машине, вирус копирует своё тело в файл svchost.com (размер - 41 472 байта) в директории Windows. После этого регистрирует этот файл в системном реестре по адресу , в результате чего запуск любого exe-файла на зараженной машине будет предваряться запуском файла вируса. Затем, вирус сканирует доступные логические диски компьютера и заражает exe файлы, удовлетворяющее некоторым критериям (как правило, это подавляющее большинство exe-файлов). После заражения работа компьютера не нарушается.
Для восстановления работоспособности компьютера после удаления Neshta антивирусом может понадобиться изменить значение ключа в реестре по адресу HKCR\exefile\shell\open\command с «%Windows%\svchost.com „%1" %*» «„%1" %*» - БЕЗ упоминаний о windows\svchost.com на
Выявлен факт, что при невозможности скопировать свое тело в папку Windows, вирус пытается копировать себя в профиль учетной записи administrator. И прописывает свой запуск в реестр оттуда.
Скачал утилиту от Касперского и запустил – вирус не находит. Скачал утилиту от Доктора Веб и запустил – вирус не находит. Очень неприятный момент. Пришлось действовать головой).
Способ лечения вируса win32.neshta.a:
Первый
– переустановить начисто систему, предварительно прогнав из-под DOS антивирусом. В этом случае, вы лишитесь всех файлов EXE, зараженных NESHTA.
Второй.
Как ни прискорбно, но большинство антивирусов не лечат файлы зараженные NESHTA, а просто удаляют их. Но, у DRWEB
есть бесплатная утилита под названием CUREIT
. Вы можете бесплатно скачать ее с сайта DRWEB. Так же вам понадобится файл реестра, который вы можете сделать сами следующим образом. Создаем текстовый документ и вносим в него следующие данные:
@="\"%1\" %*"
@="\"%1\" %*"
Примечание : пустая строка после REGEDIT4 – обязательна.
Сохраняемся и закрываем текстовый документ. Затем, меняем расширение документа с TXT на REG. Запускаем полученный файл реестра и соглашаемся с добавление данных. После чего запускаем утилиту CUREIT и проводим полную проверку системы. Что удивительно, теперь утилита видит вирус и лечит его спокойно. Утилита от Касперского все и теперь не видит заражение – прискорбно. Ну продолжим… На предложения типа «лечить» соглашаемся «да для всех».
Лечение 120 гигов заняло 8,5 часов, пролечил 950 файлов с расширением exe.
Win32.Neshta - Белорусский вирус 2005-го года. Название вируса происходит от белорусского слова не́шта, означающего не́что. Программа является приложением Windows (exe-файл). Написана на Delphi. Размер оригинального вредоносного файла - 41 472 байта. Это файловый вирус - тот тип вируса, который уже не популярен в наше время, где лидерами давно стали трояны...
В базах антивирусных программ Neshta определяется так:
- Virus.Win32.Neshta - Касперский
- Win32.HLLP.Neshta - Dr. Web
- Win32.Neshta - NOD32
- Win32.Neshuta - Symantec
Заражение вирусом Neshta: в папке Windows, вирус Neshta находит и удаляет файл svchost.com, и создает новый файл с тем- же именем... но это уже файл с телом нашего вируса.
В реестре создается запись:
@="%WINDIR%\svchost.com \"%1\" %*"
Таким образом, все exe-файлы в системе при запуске будут вызывать новоявленный svchost.com, который и будет запускать вирус. Сам вирус будет искать файлы с расширением exe, и заражать их добавляя свой вредоносный код к ним, тем самым увеличивая размер файла на уже сказанное выше количество байт (41472 байта).
Лечение вируса Neshta: тестированные мной антивирусы, на момент написания статьи, не хотели лечить зараженные вирусом файлы, а лишь предлагали удалить их - а что значит потерять важные запускаемые программы и игры. Я решил отправить все зараженные файлы в карантин и потом их реанимировать (восстановить) оттуда, когда мой антивирус научится лечить данное заболевание. Но все равно хирургическое вмешательство нужно. Объясняю:
Создаем текстовый документ и вносим в него следующие данные:
REGEDIT4
@="\"%1\" %*"
@="\"%1\" %*"
Примечание: пустая строка после REGEDIT4 - обязательна.
Сохраняем документ как: любое имя файла.reg и запускаем его. На предложение добавить информацию в реестр отвечаем - ДА. После этого можно лечить антивирусом. Надеюсь на момент чтения этой статьи все антивирусы научатся лечить этот вирус, а не удалять его вместе с нужными нам файлами. (Я уже создал этот файл и прикрепил к этой статье. Вы можете его скачать по ссылке, которая находится в конце этой статьи: neshta.reg)
Профилактика вируса Neshta: любой антивирус со свежими базами, и фаерволл (брандмауэр) ... ну и конечно руки растущие из плеч.
Вот вам два файла лечащие Нешту(кому лень создавать файл по выше описанной инструкции)
