Пустил я к себе вирус Win32/Neshta. Устанавливая игру, отключил антивирус для «кряка», и потом очень сильно пожалел.
У меня стоит ОС Windows 7 домашняя расширенная.
Вирус начал действовать через файл svchost.com, который сидел в папке Windows и весил 40 с лишним КБ. У меня стоит антивирусная программа AVG Internet Security, которую этот вирус также убил. Почитав интернет, я начал заниматься «самолечением». Скачал утилиту Dr.Web CUREIT. Она обнаружила порядка 20 заражённых файлов EXE разных программам, какие-то вылечила, какие-то переместила. Также, наверное, удалила вирус, т.к. файл svchost.com не пытался больше запуститься и внести изменения в компьютере с моего согласия. Проверив реестр, я убедился, что ключи, которые советуют посмотреть, в порядке:
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\ open\command]
@="\"%1\" %*"
Восстановив свой антивирус, он мне обнаружил 670 зараженных файлах Exe, вирусом - Worm.delf.ff. это файлы различных программ. Вылечить он их не может и предлагает удалить. Но на данный момент, я нахожусь в командировке, и некоторые программы для меня очень важны, а переустановить просто нет возможности.
На сегодняшний день:
Утилита Dr.Web CUREIT, не находит ни одного зараженного объекта.
AVG только что и успевает выводить информацию о зараженных Exe файлах, вирусом - Worm.delf.ff.
Многие программы не запускаются.
Файл svchost.com находится в папке Windows\System32 и весит 27 КБ.
Прошу помочь, с восстановлением запуска программ!!!
Прилагаю логи утилит взятых с вашего сайта, и утилиты Dr.Web CUREIT.
За ранее спасибо!!!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) mefistofel-82, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Благодарю за оперативную и профессиональную помощь!!!
Утилита Kaspersky Rescue Disk 10 вылечила все файлы Exe. В процессе лечения, было удалено пару файлов типа Uninstal. Программы, которые мне так необходимы, теперь работают. Часть других программ посмотрел, тоже запускаются без проблем.
Есть небольшое замечание к инструкции на сайте касперского (http://support.kaspersky.ru/8092) в теме «Как записать Kaspersky Rescue Disk 10 на USB-носитель и загрузить с него компьютер».
После того как Kaspersky Recue2Usb запишет файлы на USB-носитель, он грузиться не будет, т.к. в папке Recue ,будет 2 образа в формате Iso, один, для компакт-диска, другой для флэшки. Пришлось немного поколдовать, и все заработало. Может, есть путь и легче, но у меня получилось так.
Надо открыть нужный нам образ Iso (для USB-носителья) в winrar и распаковать в любую папку. После чего, скопировать все файлы с флэшки, которые получились при работе фирменной программы Kaspersky Recue2Usb , в эту же папку. Подготовить по новой флэшку. Поставить загрузчик, при помощи программы Universal-USB-Installer-1.9.6.1, или подобной, и переписать все из нашей папки в корень флэшки. После этого перезагрузка и чистящий диск с USB-носителя запуститься.
При повторной проверке утилитой AVZ4, в ее протоколе были отмечены красные пункты. Не знаю, имеют ли они для Вас какое-то значение, но я их привел ниже.
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessInternalW (170) перехвачена, метод
APICodeHijack.JmpTo[73F21746]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtMapViewOfSection (350) перехвачена, метод APICodeHijack.JmpTo[73F219B6]
Функция ntdll.dll:NtWriteVirtualMemory (600) перехвачена, метод APICodeHijack.JmpTo[73F215D6]
Функция ntdll.dll: ZwMapViewOfSection (1600) перехвачена, метод APICodeHijack.JmpTo[73F219B6]
Функция ntdll.dll: ZwWriteVirtualMemory (1850) перехвачена, метод APICodeHijack.JmpTo[73F215D6]
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C000036B]
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C000036B]
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации SCR файлов
Также прикрепляю к сообщению логи, ваших утилит, сделанные после лечения компьютера.