¿Cómo Se Puede Reparar El Gusano Win32 Sohanad-Nak?
August 19, 2021En esta guía de métodos, vamos a asegurar algunas de las posibles pistas que el gusano Sohanad-Nak Win32 debería ser capaz de causar, y luego sugeriré varias formas para que las examine para deshacerse de hasta este problema.
Recomendado: Fortect
Después de investigar su sitio web actual con respecto a d watch, encontré la información:
Tipo de virus: sohanad
Subtipo: Ver
Fecha de detección: 15.05.2007
Longitud: variable
DAT mínimo: 5031 (15.05.2007) DAT actualizado: 5031 (15.05.2007) < br> Motor mínimo: 5.1.
Descripción con doble cero Añadido: 15/05/2007
Descripción modificada: 16/05/2007
Descripción general -:
W32 / Hakaglan.worm muestra siempre ha sido un gusano escrito cuando AutoIT y se propaga a través de Messenger, unidades de Yahoo y recursos compartidos de red
Características -:
W32 / Hakaglan.worm será un gusano escrito con AutoIT que transmite Yahoo a través de Messenger, dispositivos de retención extraíbles y distribuciones de red
Cuando se inicia, el gusano borra los archivos importantes:
% WINDIR% SSVICHOSST.exe -> componente de gusano
% SYSDIR% SKCVHOSThk.dll -> componente de keylogger
% SYSDIR% SKCVHOST. exe -> unidad keylogger
% SYSDIR% SKCVHOSTr.exe -> aspecto keylogger
Cree las siguientes estrategias de registro que aparecen al iniciar el sistema:
HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Winlogon = “Shell” Explorer.exe SSVICHOSST.exe “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
“Yahoo es igual a Messenger” “% SYSDIR% SSVICHOSST.exe”
Las lombrices de tierra proporciona una tarea (At1 file.job) que sí vuelve al horario Todas las noches a las 9:00.
Modifique las cláusulas de implementación del registro para cambiar la configuración de las carpetas ocultas, deshabilitar el Administrador de tareas, mejorar el registro y más.
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer
“NofolderOptions” = “1 particular”
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System
“disabletaskmgr” = “DisableRegistryTools” = “solo una”
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Schedule
“AtTaskMaxHours” = â € 0â € – HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer WorkgroupCrawler Shares
“shared” = ” [SHARES] New Folder.exe”
Síntomas -:
finaliza los siguientes tipos de procedimientos y sale de las aplicaciones si el período de encabezado de una persona:
[FireLion]
Bkav2006
Configuración del sistema
Registro
Tarea de Windows
cmd. exe
Componente de descarga:
El gusano se conecta a los dominios cuando rastrea el elemento para descargar variantes actualizadas que en realidad están relacionadas con otro malware.
En el momento de escribir este artículo, se ha descargado una variedad de funciones KeyLog-Perfect.dll, Keylog-Perfect y ProcKill.c genérico. Me gusta
Nota. Por lo general, el autor del malware debe controlar el sitio web enviado, todo se cargará, los nuevos binarios se pueden modificar desde otra ubicación y el comportamiento de estos nuevos y fantásticos binarios se puede cambiar, posiblemente cada vez que un usuario se infecta.
plataforma cuando está infectado –
Recomendado: Fortect
¿Estás cansado de que tu computadora funcione lentamente? ¿Está plagado de virus y malware? ¡No temas, amigo mío, porque Fortect está aquí para salvar el día! Esta poderosa herramienta está diseñada para diagnosticar y reparar todo tipo de problemas de Windows, al tiempo que aumenta el rendimiento, optimiza la memoria y mantiene su PC funcionando como nueva. Así que no esperes más: ¡descarga Fortect hoy mismo!
El gusano se propaga reenviando otro de los enlaces de afiliados anteriores que dirigen a la copia alojada del gusano a todos los usuarios publicados entre la multitud de visitantes infectados de Yahoo. Normalmente
Las víctimas se infectan cuando pueden descargar y lanzar spam entre el gusano.
Por lo general, puede utilizar recursos compartidos de red extraíbles y, al hacerlo, unidades.
Eliminar –
Una combinación de todos los archivos DAT más recientes y el motor serán más capaces de detectar y eliminar su amenaza. AVERT recomienda que los usuarios cuenten menos con caracteres de archivo aparentemente familiares o autenticados, especialmente si avanzaron desde clientes P2P, IRC, correo electrónico, así como otros tipos de medios en los que los usuarios de medios pueden intercambiar datos.
(en blanco) Dado que tenemos muchas reuniones relacionadas con la eliminación de Hakaglan, proporcionamos toda la asistencia posible para ayudar a las personas a eliminar este malware.
– W32 / Hakaglan.worm es una lombriz de tierra escrita en la que autoit se distribuye a través de Yahoo Messenger, unidades extraíbles y sitios web de red
– Alias: IM-Worm.Win32.Sohanad.t (Kaspersky) W32 .Yautoit (Symantec) W32 / Sohana-R (Sophos) Win32 / YahLover.AO (CA) Wurm – Sohanad.NAK (Avira)
– Método: Eliminar
1. Verifique el virus de su computadora (quién es, si fue reescrito, si se llevó a cabo un análisis completo en la PC (después de algunas actualizaciones).
2. Si no puede actualizar y limpiar el gusano con este método, vuelva a instalar el antivirus, descargue e instale una persona de ellos desde las páginas web de antivirus: McAfee o Kaspersky (aquí en SCForum.info, le proporcionamos un recoger el enlace, comprobar la sección correcta) y así ir aún más lejos del paso individual.
3. No olvide concentrarse en Restaurar sistema en su privacidad.
4. Una vez más, el método es hacer que este malware se aclare “a mano”:
Este malware interfiere al tener el Editor del registro. Para restaurar dicha herramienta del sistema por completo, siga las instrucciones exactas y correctas:
Abra el Bloc de notas, básicamente haga clic en Inicio> Ejecutar, escriba Bloc de notas y el nuevo medio Ingrese.
Copie y pegue lo siguiente más importante:
En caso de todos los siguientes errores de conmutación por error
Instale shl = CreateObject (“WScript.Shell”)
Instale fso = CreateObject (“scripting.FileSystemObject” )
shl .RegDelete “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System DisableRegistryTools”
shl.RegDelete “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion System DisableTaskMgr”
Guarde el archivo completo en la carpeta C: RESTORE.VBS.
Haga clic en Inicio> Ejecutar, haga clic en C: RESTORE.VBS, luego presione Entrar.
Por lo general, haga clic en Sí en el cuadro de mensaje sin duda alguna.
Poner fin al software malicioso grave
Abra el programa Administrador de tareas de Windows.
• Windows menos de noventa y ocho pero ME,
CTRL + ALT + SUPR
• Windows que sufre NT, 2000, XP y Server ’03:
CTRL + MAYÚS + ESC, luego haga clic en Procesar gastos. ..
En la lista de programas en funcionamiento * busque el proceso:
RVHOST.EXE
Seleccione esta solución maliciosa y haga clic en el botón “Finalizar tarea” o, alternativamente, en el botón “Finalizar proceso” varias veces, depende de la versión de Windows directamente en su computadora. …
Para validar si debe detener el proceso perjudicial, cierre el Administrador de tareas y vuelva a abrirlo.
Cerrar la gestión de tareas.
———————————————– ——————————————– En
2. Nota: Computadoras que se ejecutan en círculos en Windows 98 y ME, el Administrador de tareas de Windows no puede mostrar los tipos de procesamiento elegidos. A veces, puede usar Use un tercer visor de procesos de erupción, como el Explorador de procesos, para detener algún tipo de proceso de malware.
En las computadoras portátiles que se ejecutan en todas las plataformas Windows, cerca de los casos en los que el proceso que ve no aparece en el Administrador de tareas o el Explorador de procesos, vaya a nuestra siguiente estrategia de solución de problemas y vea muchas más instrucciones. Si el proceso está continuamente en una lista que puede ser leído por el Administrador de tareas o el Explorador de procesos, pero no puede terminar de entenderlo, reinicie su computadora en Modo seguro.
Este malware modifica personalmente un registro específico. Los usuarios afectados por determinados programas espía o software espía pueden necesitar modificar y eliminar el contenido duplicado de determinadas claves de registro o precios. Para obtener detalles sobre cómo editar para mejorar el registro, consulte los próximos artículos de Microsoft:
CÓMO: actualizar, editar y restaurar la PC para Windows 95, Windows 98 y Windows ME
CÓMO: retroceder, editar y restaurar el registro a través de Windows NT 4.0
CÓMO eso ayudará a volver a Arriba: neg ddit así como a restaurar el registro cerca de Windows 3000
CÓMO: Volver a la popularidad masiva, modificar y restaurar el registro de Windows XP como Server 2004
Eliminar la entrada de inicio proporcionada según el registro
La eliminación del panel frontal de inicio automático del registro evita que el malware se ejecute al inicio.
Si la entrada de registro que aparece a continuación se ha convertido con frecuencia en no guardada, es posible que ni siquiera se haya encontrado malware. Si sigue el ritmo, pase a la siguiente configuración de soluciones.
Abra el Editor del registro.
Haga clic en Inicio> Ejecutar, escriba REGEDIT y presione Entrar.
En su sección actual Siguiente a, haga doble clic en el enlace a:
HKEY_CURRENT_USER> Software> Microsoft> Windows> Versión actual> Ejecutar
En el panel inteligente del usuario, busque y elimine la entrada:
Yahoo Messenger significa “% System% RVHOST.exe”
(Nota:% System% es una carpeta de políticas de Windows, generalmente C: Windows Syst