Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Virus.Win32.Neshta.a - Infekcja plików wykonywalnych

pabl00

Przez pabl00
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

pabl00

pabl00

Opublikowano
Opublikowano

Proszę o pomoc w usunięciu Virus.Win32.Neshta.a

Komputer chodzi dobrze i stabilnie, ale od paru dni nie działa mi GG.

 

Oto logi:

 

malwarebytes: http://wklej.org/id/1342263/txt/

AdwCleaner: http://wklej.org/id/1342264/txt/

 

OTL: http://wklej.org/id/1342266/txt/

Extras: http://wklej.org/id/1342269/txt/

 

FRST: http://wklej.org/id/1342271/txt/

Addition: http://wklej.org/id/1342274/txt/

 

FSS: http://wklej.org/id/1342276/txt/

 

GMER: http://wklej.org/id/1342277/txt/

Tutaj wyskakiwały błędy: System Windows - Brak dysku

 

DrWeb CureIt - raport: http://wklej.org/id/1345581/txt/

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Logi FRST, OTL i GMER zostały zrobione nieomal tydzień temu (24-04-2014), nie są więc w ogóle adekwatne. Wystarczy minuta / godzina i wszystko może się zmienić. Logi do powtórki. Przy okazji: proszę tu o trzy logi FRST, Shortcut również.

 

Ogólnie też jeśli chodzi o infekcję w plikach wykonywalnych, może się nie obyć bez formatu wszystkich dysków. Natura infekcji jest tak agresywna, a leczenie tak niepewne, że zwykle nawet po leczeniu zaleceniem jest format.

 

 

 

.

Odnośnik do komentarza
pabl00

pabl00

Opublikowano
  • Autor
Opublikowano

Logi wstawie później.

Mam takie pytanie czy jeśli na czystym komputerze, który jest chroniny przez Avasta przyłączy pendrive z wirusem Win32.Neshta.a to czy avast ochroni go przed tym zagrożeniem?

Jeszcze gdy sprowadzę z internetu wirusa to do czasu jego uruchomienia jest niegroźny i nie może nic zrobić z komputerem?

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Czekam więc na raporty. Wstępnie podejmiemy próbę usunięcia wirusa, ale nie jest pewnym czy się to uda.

 

 

Mam takie pytanie czy jeśli na czystym komputerze, który jest chroniny przez Avasta przyłączy pendrive z wirusem Win32.Neshta.a to czy avast ochroni go przed tym zagrożeniem?

Jako że jest tu infekcja w wykonywalnych, każdy plik wykonywalny na pendrive może być groźny i trudno ocenić jak zareaguje antywirus i czy będzie zdolny zablokować wirusa przed jego uruchomieniem a nie już "po".

 

 

Jeszcze gdy sprowadzę z internetu wirusa to do czasu jego uruchomienia jest niegroźny i nie może nic zrobić z komputerem?

Czy pod pojęciem "sprowadzę z internetu" masz na myśli coś konkretnego, jakieś linki pobierania? Jeśli plik zostanie tylko pobrany i nie uruchomiony (ani ręcznie, ani automatycznie przez "coś"), to nie powinno się nic stać.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Nie prosiłam o logi z FSS (usuwam) i AdwCleaner, one są nieistotne w kontekście problemu. Zabrakło świeżego odczytu z GMER.

 

FRST nie mogłem przeskanować, wyskoczyło miło okno

To jest bug w nowej aktualizacji, ja również mam ten sam błąd na XP. Skanowania nie da się więc na razie przeprowadzić, ale usuwanie za pomocą narzędzia wydaje się możliwe (u mnie nie było błędów). EDIT: Błąd już naprawiony.

 

 

Akcja:

 

1. Usuń obecną kopię FRST z dysku, może być zawirusowana. Pobierz ponownie świeżą kopię FRST i jeszcze nie uruchamiaj. Upewnij się, że w Opcjach folderów > Widok > opcja "Ukrywaj rozszerzenia znanych typów plików" jest odznaczona. Następnie ręcznie zmień nazwę z FRST.exe na FRST.com.

 

2. Otwórz Notatnik i wklej w nim:

 

Reg: reg add HKLM\SOFTWARE\Classes\exefile\shell\open\command /ve /t REG_SZ /d "\"%1\" %*" /f
C:\WINDOWS\svchost.com
C:\WINDOWS\directx.sys
C:\Program Files\GUM23.tmp
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
SearchScopes: HKLM - DefaultScope value is missing.
FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.22.5\npGoogleUpdate3.dll No File
FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.22.5\npGoogleUpdate3.dll No File
S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST.com i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Uruchom narzędzie AVG specjalizowane w tym wirusie: rmneshta.exe.

 

4. Pobierz z przyklejonego tematu świeżą kopię OTL.com (a nie EXE). Zrób nowe logi FRST i OTL. Dołącz plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza
pabl00

pabl00

Opublikowano
  • Autor
Opublikowano

No jest problem,

1 i 2 akcje zrobiłem: http://wklej.org/id/1348558/

 

Ale działające narzędzie rmneshta.exe anulowałem jak najszybciej bo zauważyłem że nie mogę wejść w pliki .exe (Wyskakuje okno czym otworzyć), a pod drugie wymazało mi ustawienia firefoxa. Chodzi mi tutaj o zapisane bardzo ważne strony.

Co zrobić z tym żeby odwrócić działanie programu?

Odnośnik do komentarza
Expert3222

Expert3222

Opublikowano
Opublikowano

No jest problem,

1 i 2 akcje zrobiłem: http://wklej.org/id/1348558/

 

Ale działające narzędzie rmneshta.exe anulowałem jak najszybciej bo zauważyłem że nie mogę wejść w pliki .exe (Wyskakuje okno czym otworzyć), a pod drugie wymazało mi ustawienia firefoxa. Chodzi mi tutaj o zapisane bardzo ważne strony.

Co zrobić z tym żeby odwrócić działanie programu?

Pliki exe możesz łatwo przywrócić, wystarczy dodać odpowiedni plik do rejestru.

Default_EXE.reg.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Expert3222

 

Podałeś mu zły plik rejestru - pod platformy Vista i nowsze a nie XP! Wpisy HasLUAShield (ikona UAC), runasuser (menu kontekstowe "Uruchom jako Administrator") i kilka innych wpisów też się nie zgadza. Ponadto, miałeś w raportach dokładny podklucz exefile, który jest modyfikowany przez infekcję (jeden konkretny), więc skąd taki hurtowy import.

 

 

pabl00

 

Nie podałeś nowego raportu z FRST. Wczoraj zedytowałam mój post wstawiając informację, iż błąd podczas skanu jest już naprawiony w nowej wersji narzędzia.

 

Ale działające narzędzie rmneshta.exe anulowałem jak najszybciej bo zauważyłem że nie mogę wejść w pliki .exe (Wyskakuje okno czym otworzyć), a pod drugie wymazało mi ustawienia firefoxa. Chodzi mi tutaj o zapisane bardzo ważne strony.

 

Co zrobić z tym żeby odwrócić działanie programu?

Pytaniem podstawowym jest: czy skan narzędziem rmneshta.exe został w ogóle ukończony? To był bardzo istotny krok, by zatrzymać infekowanie EXE. Należało ukończyć skan narzędziem i po to było uruchamianie skanerów w wersjach COM, gdyby coś się stało w trakcie leczenia z otwieraniem EXE.

 

1. W związku z tym, że został zrobiony błędny import rejestru, trzeba cofnąć złe dane i zaimportować dane zgodne z XP. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\.exe]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile]
@="Aplikacja"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\DefaultIcon]
@="%1"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open]
"EditFlags"=hex:00,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
@="\"%1\" %*"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runas]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runas\command]
@="\"%1\" %*"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\PropertySheetHandlers]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Nadal na dysku widać plik infekcji, który był usuwany (czyli się zregenerował). Otwórz Notatnik i wklej w nim:

 

C:\WINDOWS\directx.sys

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt.

 

 

i tak załapie tego wirusa spowrotem jak przyłącze pendrive do kumpla laptopa

Czy to oznacza, że wirus jest na laptopie kolegi?

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Ponawiam pytanie: czy skan narzędziem rmneshta.exe został w ogóle ukończony? Jeśli nie, narzędzie uruchomić ponownie i nie zważać na ewentualne uszkodzenie otwierania EXE (w moim poście wyżej i tak jest poprawny import skojarzenia). A jeśli chodzi o ogólne skany, to będą tu jeszcze prowadzone.

 

Po skanie dodaj świeży raport FRST.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Kolejna porcja czynności:

 

1. Usunięcie m.in. odpadkowego Dziennika zdarzeń Dr. Web. Będą aż dwa skrypty do FRST, gdyż to wymaga tymczasowego wyłączenia usługi Dziennik zdarzeń:

 

- Otwórz Notatnik i wklej w nim:

 

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
Unlock: C:\Qoobox
CMD: rd /s /q C:\Qoobox
CMD: rd /s /q C:\AdwCleaner
CMD: del /q C:\rmneshta.log
CMD: del /q "C:\Documents and Settings\Administrator\Pulpit\Default_EXE.reg"
CMD: rd /s /q "C:\Documents and Settings\Pawel\Doctor Web"
CMD: del /q "C:\Documents and Settings\Pawel\Pulpit\cureit.log"
CMD: del /q "C:\Documents and Settings\Pawel\Pulpit\Default_EXE.reg"
CMD: del /q "C:\Documents and Settings\Pawel\Pulpit\FIX.REG"
CMD: del /q "C:\Documents and Settings\Pawel\Ustawienia lokalne\Temp*.html"
CMD: sc config Eventlog start= disabled
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Zachowaj wynikowy fixlog.txt.

 

- Otwórz Notatnik i wklej w nim:

 

C:\WINDOWS\system32\config\Doctor Web.evt



CMD: sc config Eventlog start= auto



Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Powstanie kolejny fixlog.txt. Przedstaw oba pliki fixlog.txt. Po ich potwierdzeniu:

 

2. Uruchom TFC - Temp Cleaner.

 

3. Odinstaluj HiJackThis i USBFix. Przez SHIFT+DEL skasuj używane narzędzia z folderu C:\Documents and Settings\Pawel\Pulpit\LOG. Popraw narzędziem DelFix.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Zrób pełny skan za pomocą Kaspersky Virus Removal Tool. Domyślnie narzędzie wykonuje skan ekspresowy, należy wejść do opcji i po kolei zaznaczać pełny skan dysków. Są tu aż trzy dyski, każdy z nich musi być przeskanowany, na każdym z nich może być zalążek wirusa:

 

==================== Drives ================================
 

Drive c: () (Fixed) (Total:39.06 GB) (Free:5.26 GB) NTFS ==>[Drive with boot components (Windows XP)]

Drive d: (Różne) (Fixed) (Total:94.73 GB) (Free:52.37 GB) NTFS

Drive e: (Gry) (Fixed) (Total:96.68 GB) (Free:7.02 GB) NTFS

 

Skan potrwa długo. Gdy go ukończysz, przedstaw wyniki.

 

6. Co dalej po skanie:

- Na PW jeszcze pisałeś o instalacji pełnego antywirusa. To na końcu. I należy się pozbyć przestarzałego PC Tools Firewall Plus 7.0.

- Wszystkie programy, które odmówią uruchomienia, są uszkodzone przez wirusa i należy je przeinstalować.

 

 

ale od paru dni nie działa mi GG

Dodam, iż masz zainstalowane następujące wersje:

 

==================== Installed Programs ======================
 

Gadu-Gadu 10 (HKLM\...\Gadu-Gadu 10) (Version: - GG Network S.A.)

GG (HKCU\...\GG) (Version: 11 - GG Network S.A.)

 

Pozbyć się Gadu-Gadu 10, a zainstalowane GG11 zaktualizować do najnowszej wersji GG12. Gadu-Gadu 10 to stara wersja, przytłoczona reklamami, ciężka i zasobożerna, na dodatek wiele funkcji nie działa (zlikwidowano określone serwisy). Tu jest zainstalowana na dodatek wersja z bugiem produkującym śmieci (czyszczę w powyższym skrypcie) tego rodzaju:

 

2014-04-29 20:29 - 2014-04-29 20:36 - 00002089 _____ () C:\Documents and Settings\Pawel\Ustawienia lokalne\TempPXy632.html

2014-04-29 19:48 - 2014-04-29 19:53 - 00002432 _____ () C:\Documents and Settings\Pawel\Ustawienia lokalne\Tempgb2200.html

2014-04-29 19:48 - 2014-04-29 19:53 - 00002089 _____ () C:\Documents and Settings\Pawel\Ustawienia lokalne\Tempab2200.html

 

 

Kolega na laptopie ma pełno Virus.Win32.Neshta.a. Jak wezmę od niego jakiś plik to mogę znów go załapać.

+

 

Ok ale same przyłączenie pendrive do zarażonego komputera, a potem do mojego nie spowoduje u mnie infekcji?

Ale po co w ogóle podłączać pendrive do komputera, który jest zainfekowany wirusem w wykonywalnych?! Jakiekolwiek podpinanie urządzeń pod jego zawirusowany system mija się z celem, gdyż:

- Nie wolno od niego skopiować żadnych plików wykonywalnych, w przeciwnym wypadku reinfekcja Twojego systemu.

- A kumpel, zamiast od Ciebie kopiować pliki, musi się zająć czyszczeniem systemu z wirusa, gdyż w pewnym momencie system może odmówić posłuszeństwa i się już nie uruchomi.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Fixlogi które miałem przestawić usunęły się z narzędziem Delfix.

Przecież mówiłam wyraźnie:

 

Przedstaw oba pliki fixlog.txt. Po ich potwierdzeniu:

Miałeś przedstawić te pliki do oceny i dopiero wtedy mogłeś przejść do wykonywania kolejnych akcji. Teraz jest już oczywiście za późno ze względu na DelFix.

 

 

Sugerujesz żebym pomyślał o innym nowszym czy sam antywirus bez zapory wystarczy?

Sugeruję pomyśleć o jakieś nowoczesnej zaporze, bo tu widziana jest stara (datowanie komponentów w raporcie z 2010/2011) i już nierozwijana. Z darmowych rozwijane produkty to przykładowo: COMODO Firewall, Online Armor Free, PrivateFirewall.

 

 

 

.

Odnośnik do komentarza
pabl00

pabl00

Opublikowano
  • Autor
Opublikowano

Tak

 

Mogę przyłączyć telefon i pendrive do komputera czy jeszcze się wstrzymać?

 

Mam pytanie czy mogę wybrać inny skaner bo ten trwa długo, ale to nie przeszkoda tylko muszę cały czas przy nim być bo wyskakują jakieś komunikaty i skanowanie się wstrzymuje i czeka na moją reakcje. Muszę siedzieć 3/4 godziny na jednym dysku. Wczoraj zostawiłem go na 4 godziny, później patrze czy się skończyło a tutaj 32% i nie skanuje.

Prosiłbym o inny skaner. .

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Mogę przyłączyć telefon i pendrive do komputera czy jeszcze się wstrzymać?

Jeszcze się wstrzymaj. Ponadto przed ich podpięciem zabezpiecz system chociaż przed wykonaniem infekcji autorun.inf. W Panda USB Vaccine zastosuj opcję Computer Vaccination i zresetuj system.

 

 

Mam pytanie czy mogę wybrać inny skaner bo ten trwa długo, ale to nie przeszkoda tylko muszę cały czas przy nim być bo wyskakują jakieś komunikaty i skanowanie się wstrzymuje i czeka na moją reakcje. Muszę siedzieć 3/4 godziny na jednym dysku. Wczoraj zostawiłem go na 4 godziny, później patrze czy się skończyło a tutaj 32% i nie skanuje.

 

Prosiłbym o inny skaner. .

Ten skaner został dobrany celowo. Skoro jest problem z ukończeniem / zacięciem skanu, to jak mówiłam: skanuj każdy dysk z osobna. Przerwij obecny skan i w konfiguracji ustaw tylko jeden dysk. Będzie więc kilka przebiegów. Pełny skan wszystkich dysków musi zostać wykonany, gdyż wirus wykonywalnych nie zna barier partycji i atakuje wszystkie pliki tego rodzaju na każdym dostępnym dysku. Skan wszystkich dysków jest oczywiście bardzo czasochłonny, nie da się go przyśpieszyć. Poprzednio były używane rozwiązania bardziej ekspresowe.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...