Wie Behebe Ich Diesen Speziellen Win32-Sohanad-Nak-Wurm?
August 19, 2021
In diesem Leitfaden werden viele von uns eine kleine Anzahl der möglichen Ursachen herausfinden, die die Art des Sohanad-Nak-Win32-Wurms verursachen kann, aber dann werde ich Ihnen verschiedene Methoden vorschlagen, die Sie versuchen können Beseitigen Sie dieses Problem.
Empfohlen: Fortect
Nachdem ich Ihre aktuelle Website für dworthy verstanden hatte, fand ich die folgenden Informationen:
Virustyp: sohanad
Subtyp: Ver
Nachweisdatum: 15.05.2007
Länge: variabel
Minimum DAT: 5031 (15.05.2007) Aktualisiertes DAT: 5031 (15.05. 2007) < br> Mindestmotor: 5.1.
Beschreibung zu Doppelnull hinzugefügt: 15.05.2007
Beschreibung geändert: 16.05.2007
Übersicht -:
W32 / Hakaglan.worm ist schon immer ein in AutoIT geschriebener Wurm, der zusätzlich über Messenger verbreitet wird, Yahoo treibt Netzwerkfreigaben
Funktionen -:
W32 / Hakaglan.worm ist ein mit AutoIT geschriebener Regenwurm, der Yahoo über Messenger streamt, Wechselspeichergeräte während Netzwerkverteilungen
Beim Start löscht der exakte Wurm die folgenden Dateien:
% WINDIR% SSVICHOSST.exe -> Wurm einen Teil
% SYSDIR% SKCVHOSThk.dll -> Keylogger-Komponente
% SYSDIR% SKCVHOST. exe -> Keylogger-Komponente
% SYSDIR% SKCVHOSTr.exe -> Keylogger-Komponente
Erstellen Sie die folgenden Registrierungsschlüssel, die beim Systemstart angezeigt werden:
HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Winlogon impliziert “Shell” Explorer.exe SSVICHOSST.exe “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Ausführen
“Yahoo wäre gleich Messenger” “% SYSDIR% SSVICHOSST.exe”
Der Wurm stellt die richtige Aufgabe (At1 file.job) bereit, die jeden Tag um 9:00 in den Zeitplan zurückkehrt.
Ändern Sie die folgenden Registrierungsbedingungen, um Einstellungen zum Ausblenden von Dateien, Deaktivieren des Task-Managers, Bearbeiten der PC-Registrierung und mehr zu ändern.
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer
“NofolderOptions” = ” 1 “
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System
” disabletaskmgr “=” DisableRegistryTools “=” 1 Zoll Breite
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Schedule
“AtTaskMaxHours” bedeutet â € 0â € – HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer WorkgroupCrawler Shares
“shared” entspricht ” [SHARES] New Folder.exe “
Symptome -:
beendet die folgenden Arten von Prozeduren, beendet aber auch Anwendungen, wenn der Header-Monat:
[FireLion]
Bkav2006
Systemkonfiguration
Registrierung
Windows-Aufgabe
cmd. exe
Download-Komponente:
Der Wurm verbindet sich mit Website-Namen, wenn Sie ihn verfolgen, um aktualisierte Varianten zu übertragen, die mit anderer Malware in Verbindung stehen.
Zur Zeit dieses Schreibens sind verschiedene KeyLog-Perfect.dll, Keylog-Perfect und Generic ProcKill.c eingegangen. Gefällt mir
Hinweis. Die übermittelte Internet-Site sollte normalerweise von meinem Malware-Autor kontrolliert werden, alles wird geladen, neue Binärdateien werden wahrscheinlich aus der Ferne geändert, und dieses Verhalten dieser neuen Binärdateien wird höchstwahrscheinlich geändert, möglicherweise jedes Mal, wenn jeder Benutzer infiziert wird.
Methode zurück bei Infektion –
Empfohlen: Fortect
Sind Sie es leid, dass Ihr Computer langsam läuft? Ist es voller Viren und Malware? Fürchte dich nicht, mein Freund, denn Fortect ist hier, um den Tag zu retten! Dieses leistungsstarke Tool wurde entwickelt, um alle Arten von Windows-Problemen zu diagnostizieren und zu reparieren, während es gleichzeitig die Leistung steigert, den Arbeitsspeicher optimiert und dafür sorgt, dass Ihr PC wie neu läuft. Warten Sie also nicht länger - laden Sie Fortect noch heute herunter!
Der Regenwurm verbreitet sich, indem er einen der oben genannten Affiliate-Links, die auf alle gehosteten Kopien des Wurms verweisen, erfolgreich an alle Benutzer weiterleitet, die im Push von infizierten Yahoo-Freunden gepostet wurden. Normalerweise
Opfer werden infiziert, wenn sie Spam aus dem Regenwurm exportieren und starten können.
Sie können auch vollständig austauschbare Netzwerkfreigaben und damit Laufwerke verwenden.
Entfernen –
Eine Kombination mit den neuesten DAT-Dateien sowie eine Engine können Sie diese Bedrohung erkennen und beseitigen. AVERT empfiehlt, dass sich Benutzer weniger auf scheinbar vertraute oder verifizierte Dateihelden verlassen, insbesondere wenn sie von P2P-Clients, IRC, E-Mail oder anderen Arten von Medien kommen, über die Medien-Internet-Vermarkter Daten austauschen können.
* Da wir viele Besuche haben, um Sie bei der Entfernung von Hakaglan zu unterstützen, bieten wir jede mögliche Unterstützung, um Ihnen bei der Entfernung einer solchen Malware zu helfen.
– W32 / Hakaglan.worm ist ein geschriebener Wurm, bei dem normalerweise Autoit über Yahoo Messenger, externe Laufwerke und Netzwerkressourcen verteilt wird
– Alias: IM-Worm.Win32.Sohanad.t (Kaspersky) W32 .Yautoit (Symantec ) W32 / Sohana-R (Sophos) Win32 – YahLover.AO (CA) Wurm / Sohanad.NAK (Avira)
– Methode: Entfernen von
einzeln. Überprüfen Sie Ihr Antivirenprogramm (wer es zweifellos ist, ob es aktualisiert wurde, ob auf dem PC im Allgemeinen eine vollständige Überprüfung durchgeführt wurde (nach dem Update).
paar. Wenn Sie die Regenwürmer mit dieser Methode nicht bereinigen können, installieren Sie das Antivirenprogramm erneut, laden Sie einen von ihnen herunter und installieren Sie ihn von der AV-Site: McAfee zusammen mit Kaspersky (hier bei SCForum.info gewähren wir Ihnen einen Download-Link, testen Sie die richtigen Abschnitt) und gehen Sie ernsthaft von Schritt 1 aus weiter.
einige. Vergessen Sie nicht, die Systemwiederherstellung auf Ihrem Computer zu deaktivieren.
denken Sie darüber nach. Auch hier ist die Lösung im Hinblick darauf, diese Malware-Bereinigung “praktisch” zu machen:
Diese Malware stört den Registrierungseditor. Um das Systemtool insgesamt wiederherzustellen, folgen Sie den richtigen Hinweisen:
Öffnen Sie Notepad, klicken Sie auf Start> Ausführen, geben Sie Notepad ein und drücken Sie die Eingabetaste.
Kopieren Sie Folgendes und fügen Sie es ein:
Im Falle des kommenden Failover-Fehlers
Installieren Sie shl = CreateObject (“WScript.Shell”)
Installieren Sie fso = CreateObject (“scripting.FileSystemObject”)
shl .RegDelete “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System DisableRegistryTools”
shl.RegDelete “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion System DisableTaskMgr “
Speichern Sie die Datei im Ordner C: RESTORE.VBS.
Klicken Sie auf Start> Ausführen, geben Sie C: RESTORE.VBS ein und drücken Sie die Eingabetaste.
Klicken Sie normalerweise im Nachrichteneingang auf Ja.
Schwerwiegende Malware beenden
Öffnen Sie das Windows Task-Manager-Programm.
• Windows unter 98 aber ME,
STRG + ALT + ENTF
• Windows unter NT, 2100, XP und Server ’03:
STRG + UMSCHALT + ESC, dann die Registerkarte Prozesse berühren ..
In der Liste der laufenden Programme 2 . Finden Sie den Prozess:
RVHOST.EXE
Wählen Sie diesen bösartigen Prozess aus und aktivieren Sie mehrmals die Option “Aufgabe beenden” oder “Prozess beenden”, abhängig von der wichtigsten Windows-Version auf Ihrem Netbook. …
Um zu überprüfen, ob Ihre ganze Familie den bösartigen Prozess stoppen sollte, versiegelten Sie den Task-Manager und öffnen Sie ihn erneut.
Schließen Sie den Task-Manager.
———————————————————————— ——————————————————– Auf
* Hinweis : Computer, die in einem Kreis laufen und unter Windows 98 und ME arbeiten, kann der Windows Task-Manager bestimmte Typen im Zusammenhang mit der Verarbeitung nicht anzeigen. Sie können verwendenVerwenden Sie eine Prozessanzeige für den nächsten Ausbruch, z.B. den Prozess-Explorer, um den Malware-Vorgang zu stoppen.
Wenn auf Laptops, die auf allen Windows-Plattformen ausgeführt werden, der beste Ort für den angezeigten Prozess definitiv nicht im Task-Manager oder Prozess-Explorer aufgeführt ist, gehen Sie zur nächsten Fehlerbehebungsstrategie und lesen Sie zusätzliche Anweisungen. Wenn sich der Prozess normalerweise auf einer Liste befindet, die nur vom Task-Manager oder dem Prozess-Explorer gelesen werden kann, obwohl Sie ihn nicht beenden können, starten Sie Ihren aktuellen Computer im abgesicherten Modus neu.
Diese Malware modifiziert persönlich die Registrierung. Benutzer, die von bestimmter Malware betroffen sind, möchten möglicherweise bestimmte Computerregistrierungsschlüssel oder Preise ändern und löschen. Ausführliche Informationen zum Bearbeiten und Verbessern einiger Registrierungen finden Sie auf den folgenden Microsoft-Inhaltsseiten:
WIE: Sichern, Aktualisieren und Wiederherstellen der Registrierung unter Windows 95, Windows 98 und Windows ME
WIE: Sichern, Bearbeiten darüber hinaus Wiederherstellen der Registrierung in Windows NT 4.0
So geht’s vorher Up: neg ddit und die Registry in Windows 3300 warten
WIE: Sichern, zusätzlich ändern, die Registry in Windows XP als Server 2003 wiederherstellen
irgendeine Art von Starteintrag entfernen, der von der PC-Registry bereitgestellt wird
Das Entfernen des Autostart-Frontdisplays aus der Registrierung verhindert, dass Malware beim Start ausgeführt wird.
Wenn der unten aufgeführte Registrierungseintrag häufig nicht gespeichert werden sollte, wurde möglicherweise keine Malware gefunden. Wenn Sie fortfahren, fahren Sie mit den nächsten Antworten fort.
Öffnen Sie den Registrierungseditor.
Klicken Sie auf Start> Ausführen, geben Sie REGEDIT ein und geben Sie die Zeitungen ein.
Doppelklicken Sie im Abschnitt Next in the market to auf Folgendes:
HKEY_CURRENT_USER> Software> Microsoft> Windows> Aktuelle Version> Ausführen
Suchen und löschen Sie im rechten Bereich zusammen mit dem Benutzer, wie die Eintrag:
Yahoo Messenger steht für “% System% RVHOST.exe”
(Hinweis: % System% ist das Windows-Richtlinienverzeichnis, usu