-
Junior Member
- Вес репутации
- 55
Virus.Win32.Neshta.a
Здравствуйте!на машине хозяйничает вирус Virus.Win32.Neshta.a, модифицирующий все запускаемые exe-файлы. Kaspersky Virus Removal Tool'ом в обычном режиме и Dr. Web CureIt!'ом в безопасном были сделаны полные сканирования, вылечены или удалены все найденные зловреды, но проблема остается. Восстановление системы было отключено, кэш браузера очищен. Виндоус установлена в каталог Windows.0
прикладываю логи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А почему логи делались полиморфным AVZ, а не обычным?
-
-
Junior Member
- Вес репутации
- 55
обычный авз с экзешником заражается то ли при подключении флэшки, то ли при запуске утилиты, менять расширение у него я не решился. Если он нормально будет функционировать с измененным расширением, то могу переделать логи.
для корректного запуска и для избежания заражения менял расширение у Hijackthis, если что.
P.S. на зараженном ПК ещё характерная картина - нельзя включить отображение скрытых файлов и папок.
-
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS.0\svchost.com','');
DeleteFile('C:\WINDOWS.0\svchost.com');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1); {восстановление параметров запуска исполняемых файлов}
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Скачайте обычный AVZ и обновите его базы.
Выполните скрипт AVZ:
Код:
begin
SetAVZPMStatus(true);
RebootWindows(false);
end.
Система перезагрузится.
Сделайте повторный лог только согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
-
-
Junior Member
- Вес репутации
- 55
лог прикладываю, карантин пуст
в таскменеджере висят не совсем понятные приложения -
wscntfy.exe
wpabaln.exe
HPZipm12.exe
-
В логах ничего вредоносного не видно.
Эти процессы нормальные и необходимы для работы системы.
Обычные exe-файлы запускаться начали?
-
-
Junior Member
- Вес репутации
- 55
пока да, вроде. сейчас ещё погоняю, посмотрю.
спасибо за оперативную помощь
-
Миссия выполнена
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи
-
-
Junior Member
- Вес репутации
- 55
-
Понятно. Видимо, где-то был заражённый файл, он и распространил заразу.
Для начала надо пролечиться, как описано здесь. Потом - выполните скрипт:
Код:
begin
DeleteFile('C:\WINDOWS.0\svchost.com');
ExecuteRepair(1); {восстановление параметров запуска исполняемых файлов}
end.
Потом - сделайте повторный лог только согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip
УЧТИТЕ: Neshta может заразить какие-то исполняемые файлы на Ваших флешках, потому их обязательно следует пролечить перед использованием в компьютере.
-
-
Junior Member
- Вес репутации
- 55
просканировал разделы жесткого диска LiveCD ДрВеба, вылечил все найденное.
Neshta.a судя по всему уже не беспокоит(с оставленной флешкой после перезагрузки эксцессов не было), но ссылка на svchost.com в shell'e судя по всему висит -_- и слетели ассоциации с exe файлами - предлагают теперь выбрать приложение для открытия.
лог прилагаю.
-
Сообщение от
gjf
Потом - выполните скрипт:
Код:
begin
DeleteFile('C:\WINDOWS.0\svchost.com');
ExecuteRepair(1); {восстановление параметров запуска исполняемых файлов}
end.
Это делали?
-
-
Junior Member
- Вес репутации
- 55
делал, AVZ написал, что для удаления этого файла потребуется перезагрузка - перезагрузился. вроде после этого слетели ассоциации с расширением .exe. логи делал после выполнения скрипта.
-
Эта ерунда происходит в том случае, если Вы запускаете заражённый файл. Тогда все восстановления, которые делались AVZ, насмарку.
просканировал разделы жесткого диска LiveCD ДрВеба, вылечил все найденное.
А флешку тоже сканировали?
-
-
Junior Member
- Вес репутации
- 55
с флэшки предварительно были удалены все .exe файлы, либо переименованы в .com или в .pif лишний риск незачем )
-
Нет, дело не в этом. Если заражённый exe-файл потом был переименован, но запускается - он всё равно будет заражать систему. Так что переименованные файлы тоже нужно проверить.
-
-
Junior Member
- Вес репутации
- 55
запустил снова лайв СД Dr. Web - все чисто. -_- может, просто ссылка на svchost.com в реестре осталась, а сам он почил в бозе?
флешку проверяю каждый раз при подключении к другому ПК лицензионным Касперским для рабочих станций.
-
Тогда опять выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS.0\svchost.com','');
DeleteFile('C:\WINDOWS.0\svchost.com');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1); {восстановление параметров запуска исполняемых файлов}
BC_Activate;
RebootWindows(true);
end.
После перезагрузки проверьте - проблема осталась?
-
-
Junior Member
- Вес репутации
- 55
все, проблема решилась-таки наконец-то. спасибо!
-
-