ITNet форум

Прочие разделы => Технические вопросы => Тема начата: Aleks735 от 14-10-2012, 21:41:43

Название: Нужна помощь! (нужна консультация по устранения вируса Neshta)
Отправлено: Aleks735 от 14-10-2012, 21:41:43

В общем, нужна консультация по устранения вируса Neshta. С помощью своего антивируса(Avira) я лечить зараженные файлы не могу, предлагается только удаление. Скачиваю другой, установка не запускается. Ксть ли какие-нибудь варианты, что устранить проблему с вирусом, кроме переустановки Windows?

Название: Re: Нужна помощь!
Отправлено: tetro от 14-10-2012, 21:45:48

иии?

Название: Re: Нужна помощь!
Отправлено: Te@meR от 20-10-2012, 23:47:58

ну насколько я помню, полсе поселения на компе он заражает все экзешники, которые во время его "работы" запускаются. встраивается в код чтоли, подменяет информацию и тд и тп, поэтому зараженные файлы только удаляются. буянил он году в седьмом наверное. впринципе, я его вручную выводил, но зараженные файлы только удалять.

Название: Re: Нужна помощь!
Отправлено: egene1 от 21-10-2012, 10:14:41

из под лайв сд загрузить мини хп, и в ней уже лечить файлы куреитом.

Название: Re: Нужна помощь!
Отправлено: Te@meR от 22-10-2012, 00:00:22

мне не куреит не помог...

Название: Re: Нужна помощь!
Отправлено: S_Woker от 25-10-2012, 00:36:31

По классификации не попсовых антивирей W32.HLLW.Oror@mm (http://www.symantec.com/security_response/writeup.jsp?docid=2002-082807-4353-99&tabid=2)
Что можно сделать? На сайте итнета есть Хп сборка AlKid. Качаем, заливаем на флешку. Загрузка через порт USB.
В Пуск \ Администрирование \ Regedit.exe ( всё на флешке ) подлючаемся к профилю ( своему, с которого логинелся )
Ищешь ветку:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
удалить все ( возможно потом не будет в трее клавы, часов, другой мелочи, но можно потом найти поправить ), но главное:
строку:

Цитировать

LoadCurrentProfile   Rundll16.exe powprof.dll,LoadCurrentUserProfile

удалить.
Также открыть блокнотом c:\windows\win.ini. Если там есть

C:\%windir%\Winfile.dll
C:\~msdos.---
C:\%windir%\def12x.dll
C:\%windir%\rn3a.vxd

удалить.

Удалить весь профиль, т.е. если Хп - DocumentSettings\Это мой профиль, Семерка - C:\Users\Это мой профиль, т.к. чистеть его - больше возни.
Если нет "Хп сборка AlKid", то попробуй загрузку в защищенном режиме ( F8 => последняя удачная загрузка или защищенный режим ). Если не побит Regedit.exe, хотя наврядли, можно сделать тоже самое здесь.
В Сейф-Моде сложнее редактировать win.ini, но попытаться можно. Это если ещё не форматнул С:\. Но не исключено придется форматировать весь винт.

Удачи!

Название: Re: Нужна помощь!
Отправлено: Ron от 25-10-2012, 14:58:52

Вот это в реестр еще:

REGEDIT4
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
@="\"%1\" %*"

Название: Re: Нужна помощь! (нужна консультация по устранения вируса Neshta)
Отправлено: S_Woker от 27-10-2012, 07:46:01

Интересно, куда делся Алекс?
может ещё какую мальварь нашел...
Наверное, стоит сделать .рег - файл, который снимает блокировку с редактора реестра - диспетчера задач.
Если так, то можно выложить. Обычно это второй шаг на восстановлении, т.к. без снятия блокировки сложно.