Интернет магазин китайских планшетных компьютеров

Компьютеры - Neshta - Технические подробности

При запуске зараженной программы на «чистой» машине вирус копирует своё тело в файл svchost.com в директории Windows. После этого регистрирует этот файл в системном реестре по адресу HKCR\exefile\shell\open\command, в результате чего запуск любого exe-файла на зараженной машине будет предваряться запуском файла вируса. Затем вирус сканирует доступные логические диски компьютера и заражает exe файлы, удовлетворяющее некоторым критериям. После заражения работа компьютера не нарушается.

Для восстановления работоспособности компьютера после удаления Neshta антивирусом может понадобиться изменить значение ключа в реестре по адресу HKCR\exefile\shell\open\command с «%Windows%\svchost.com „%1“ %*» на «„%1“ %*» — БЕЗ упоминаний о windows\svchost.com

Выявлен факт, что при невозможности скопировать свое тело в папку Windows вирус пытается копировать себя в профиль учетной записи administrator и прописывает свой запуск в реестр оттуда.