Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] И снова вирус Win.32 Neshta.a (http://forum.oszone.net/showthread.php?t=143334)

winbillgates 23-06-2009 18:51 1150077
И снова вирус Win.32 Neshta.a
 
у меня появился вирус Win.32 Neshta.a (я даже знаю откуда). Полазил по сайтам в т.ч. и по oszone, предлагают поменять значение чего-то там в реестре (точно не помню) и удалить %windir%/svchost.com , НО! у меня в директории системы (C:/windows/) нет файла svchost ни с каким расширением (даже в safe mode), есть тока в C:/windows/system32/ но сказали из "систем32" такой файл не удалять.
Поиск по всем дискам (и неиндексированых местах тоже) нашел 2 файла: 1 - в C:/windows/system32/, 2 - где-то глубоко в системе, но явно не в %windir%

Сразу скажу, историю вируса знаю, о послании в коде тоже, и как он работает тоже узнал

Так вот, что мне делать? Как удалить эту Нешту, и что будет с зараженными ехе-шниками?

iskander-k 23-06-2009 20:48 1150154
Выложите логи в соответствии с этими инструкциями.

winbillgates 24-06-2009 10:22 1150483
Вложений: 1
выкладываю логи

thyrex 24-06-2009 12:37 1150582
winbillgates, описание http://www.viruslist.com/viruses/enc...virusid=105045
Проверьте запись в реестре. При необходимости - поправьте.
Если ключ модифицирован придется бороться дальше. Вирус файловый, так что добивать надо все экземпляры

winbillgates 24-06-2009 18:58 1150885
запись в реестре правильная, но тока файла svchost.com в директории системы нет!!!
Я так понимаю, что надо удалить зараженные ехе-шники (антивирь ругается как минимум на весь автозапуск, проверку всего ПК не делал), и посмотреть не будут ли заражаться новые, так?

winbillgates 24-06-2009 19:40 1150913
я еще заметил, что при нажатии на зараженный ехе-шник правой кн. мыши проводник вырубается
и еще. а почему браузеры (IE и Firefox точно) не заражаются?

еще заметил: папку, в которой лежит iso-образ, в котором находится setup игры, из которого припер вирус нельзя удалить.
Ошибка (фото не прилагаю, причина в конце поста):
Операция не может быть завершена, поскольку эта папка открыта в другой программе.

Закройте эту папку и повторите попытку.

[имя папки]
Дата создания: [дата]
__________________________________________

Еще ворд при сохранении нового файла зависает (в заголовке написано "Не отвечает"),
также при сохранении нового снимка зависают "Ножницы" (кусок экрана сохраняют как фото, стандартная прога для висты), причем процесс из диспетчера задач не удаляется (как ворд, так и ножницы), проблема решается тока ребутом

thyrex 24-06-2009 21:56 1150992
Цитата:
Цитата winbillgates
запись в реестре правильная, но тока файла svchost.com в директории системы нет!!! »
Так это и хорошо. А разве Вам надо, чтобы запуском всех exe-файлов управлял svchost.com ?

Если Вы знаете, что у Вас в системе зараженные файлы, то почему не лечитесь?
Если антивирус удалит вирус из iso-образа, то как он потом его пересоберет? Потому и не лечит.

winbillgates 27-06-2009 11:20 1152938
касперский смог вылечить большинство файлов, новых заражений пока не видно


Время: 12:44.

Время: 12:44.
© OSzone.net 2001-