Come Riparare Il Worm Win32 Sohanad-Nak?
August 19, 2021
In questa guida, stiamo volando per scoprire alcune delle sue possibili cause che il worm Sohanad-Nak Win32 può causare, quindi suggerirò diversi modi a chiunque di provare a sbarazzarsi di questo problema.
Consigliato: Fortect
Dopo aver cercato il tuo sito web recente per d watch, mi sono imbattuto nelle seguenti informazioni:
Forma del virus: sohanad
Sottotipo: Ver
Data di rilevamento: 15.05.2007
Lunghezza: distinzione
DAT minimo: 5031 (15.05.2007) DAT aggiornato: 5031 (15.05. 2007) < br> Servizio minimo: 5.1.
Descrizione con doppio nulla Aggiunto: 15/05/2007
Descrizione modificata: 16/05/2007
Panoramica -:
W32 Hakaglan.worm è sempre stato un lombrico scritto in AutoIT e diffuso su Messenger, unità Yahoo e stock di rete
Caratteristiche -:
W32 Hakaglan.worm è un worm scritto mentre dispone di AutoIT che trasmette in streaming Yahoo tramite Messenger, dispositivi di archiviazione rimovibili e prelievi di rete
Una volta avviato, il worm cancella i seguenti file:
% WINDIR% SSVICHOSST.exe -> componente del worm
% SYSDIR% SKCVHOSThk.dll -> punto keylogger
% SYSDIR% SKCVHOST. exe -> componente keylogger
% SYSDIR% SKCVHOSTr.exe -> componente keylogger
Creare le successive chiavi di registro che compaiono all’avvio del dispositivo:
HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Winlogon = “Shell” Explorer.exe SSVICHOSST.exe “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
“Yahoo è uguale a Messenger” “% SYSDIR% SSVICHOSST.exe”
Il worm fornisce un ruolo (At1 file.job) che ritorna alle attività del tempo libero ogni giorno alle 9:00.
Modificare le seguenti clausole del registro per modificare le impostazioni per nascondere le cartelle, disabilitare Task Manager, modificare il registro e altro.
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer
“NofolderOptions” è uguale a ” 1 “
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System
” disabletaskmgr “=” DisableRegistryTools “=” 1 ”
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Schedule
“AtTaskMaxHours” è uguale a â € 0â € – HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer WorkgroupCrawler Shares
“condiviso” implica ” [SHARES] New Folder.exe”
Sintomi -:
termina i tipi essenziali di procedure ed esce dalle strategie se il periodo di intestazione:
[FireLion]
Bkav2006
Configurazione di sistema
Registro di sistema
Attività di Windows
cmq. exe
Componente di download:
Il worm si connette ai domini quando una persona lo rintraccia per scaricare gli adattamenti aggiornati relativi ad altri spyware.
Al momento di questo prezioso scritto, sono stati scaricati vari KeyLog-Perfect.dll, Keylog-Perfect e Generic ProcKill.c. Mi piace
Nota. Il sito Web inviato dovrebbe spesso essere controllato dal blogger di malware, tutto viene caricato nuovi binari possono essere modificati in remoto e il comportamento per questi nuovi binari può essere trasformato, possibilmente ogni volta che un utente è stato infettato.
metodo quando contaminato –
Consigliato: Fortect
Sei stanco del fatto che il tuo computer funzioni lentamente? È pieno di virus e malware? Non temere, amico mio, perché il Fortect è qui per salvare la situazione! Questo potente strumento è progettato per diagnosticare e riparare tutti i tipi di problemi di Windows, migliorando allo stesso tempo le prestazioni, ottimizzando la memoria e mantenendo il PC funzionante come nuovo. Quindi non aspettare oltre: scarica Fortect oggi!
Il worm si diffonde semplicemente inoltrando uno dei link di marketing di rete di cui sopra che puntano al messaggio ospitato del worm a tutti i potenziali clienti inseriti nella folla di amici infetti dal virus Yahoo. Di solito
Le vittime vengono danneggiate quando possono scaricare e avviare lo spam dal worm.
È inoltre possibile utilizzare i dispositivi di rete rimovibili e quindi le unità.
Rimuovi –
Una combinazione di tutti, direi, gli ultimi file DAT e il motore dell’auto saranno in grado di rilevare ed eliminare questa minaccia. AVERT consiglia a tutti gli utenti di fare meno affidamento su caratteri di file apparentemente familiari o verificati, in particolare l’evento effettivo che provengono da client P2P, IRC, e-mail o altri tipi di contenuti multimediali su cui gli utenti dei media possono trasmettere dati.
* Poiché abbiamo sicuramente molte visite relative all’eliminazione di Hakaglan, offriamo tutta l’assistenza possibile che può aiutarti a rimuovere questo malware.
o W32 / Hakaglan.worm è il nuovo worm scritto in cui autoit pdistribuito come risultato di Yahoo Messenger, unità rimovibili per non parlare delle risorse di rete
– Alias: IM-Worm.Win32.Sohanad.t (Kaspersky) W32 .Yautoit (Symantec) W32 contro Sohana-R (Sophos) Win32 / YahLover.AO (CA) Wurm / Sohanad.NAK (Avira)
– Metodo: rimozione di
1. Controlla il tuo antivirus attuale (chi è, se le cose sono state aggiornate, se è stata eseguita una verifica completa sul PC (dopo l’aggiornamento).
2. Se il tuo sito non riesce a pulire il worm con questo metodo, reinstalla l’antivirus, scarica inoltre installane uno dal sito AV: McAfee o Kaspersky (qui su SCForum.info, ti forniamo un link per il download, controlla la sezione accurata) e andare ancora oltre come il passaggio 1.
3. Non dimenticare di disattivare Ripristino configurazione di sistema sul tuo computer.
4. Ancora una volta, la soluzione è rendere “utile” la pulizia del malware distinta:
Questo software dannoso interferisce con l’editor del registro. Per ripristinare il suddetto strumento di sistema, seguire le istruzioni corrette:
Apri Blocco note, fai clic su Start> Esegui, digita Blocco note e premi Invio.
Copia e incolla quanto segue:
In caso di failover commetti un errore
Install shl = CreateObject (“WScript.Shell”)
Install fso = CreateObject (“scripting.FileSystemObject”) “)
shl .RegDelete “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System DisableRegistryTools”
shl.RegDelete “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion System DisableTaskMgr “
Salva il file nella cartella C:RESTORE.VBS.
Fare clic su Start> Esegui, digitare C: RESTORE.VBS e premere anche Invio.
In genere, fare clic su Sì nella finestra del messaggio.
Fine del malware serio
Apri tutto il programma Task Manager di Windows.
• Windows sotto 98 ma ME,
CTRL + ALT + CANC
• Windows sotto NT, 2000, XP e quindi Server ’03:
CTRL + MAIUSC + ESC, quindi fare clic sulla scheda Processi …
Nel catalogo dei programmi in esecuzione * trova i processi:
RVHOST.EXE
Seleziona questo processo dannoso di guida e fai clic su un particolare pulsante “Termina attività” o “Termina processo” determinate volte, a seconda la versione relativa a Windows sul tuo computer. …
Per verificare se è necessario bloccare il processo dannoso, chiudere Task Manager e riaprirlo.
Chiudi il nostro task manager.
——————————— —————————— Su
* Nota Nota: i computer che girano in cerchio in Windows 98 e ME, Windows Task Manager faticano a visualizzare determinati tipi di elaborazione. È possibile utilizzareUtilizzare un terzo visualizzatore di tecniche di eruzione, come Process Explorer, per interrompere il processo di malware.
Sui laptop che funzionano su tutte le piattaforme Windows, nei casi in cui l’attività visualizzata non è elencata in Task Manager o Process Explorer, passare alla strategia di risoluzione dei problemi successiva oltre alle istruzioni aggiuntive. Se le procedure sono di solito in un elenco che gli esperti affermano che possono essere lette da Task Manager o Process Explorer, ma non riesci a terminarlo, riavvia il computer in modalità provvisoria.
Questo malware in persona modifica il registro. Gli utenti interessati al momento di determinati malware potrebbero dover scambiare ed eliminare determinate chiavi di registro e/o forse prezzi. Per i dettagli su come ciò aiuterà a modificare e migliorare il registro, essere in grado di osservare i seguenti articoli Microsoft:
COME: eseguire il backup, modificare e continuare il registro per Windows 95, Windows 97 e Windows ME
COME: eseguire il backup, modificare e ripristinare tutto il registro in Windows NT 4.0
COME tornare su: neg ddit e ripristinare il registro di sistema del computer in Windows 3000
COME: eseguire il backup, modificare e ripristinare direi il registro in Windows XP come Server 2003
Rimuovere l’avvio la strada fornita dal registro
La rimozione del pannello frontale di avvio automatico dal registro impedisce l’esecuzione di malware all’avvio.
Se l’avvio del registro di seguito non viene spesso salvato, è possibile che spyware e adware non siano stati trovati. Se continui, passa alla serie di soluzioni successiva.
Apri l’editor del registro.
Fare clic su Start> Esegui, digitare REGEDIT e premere Invio.
Nella sezione Avanti a, fare doppio clic su quanto segue:
HKEY_CURRENT_USER> Software> Microsoft> Windows> Versione corrente> Esegui
Nel riquadro destro del navigatore, trova ed elimina la voce:
Yahoo Messenger sta per “% System% RVHOST.exe “
(Nota: % System% deve essere la cartella dei criteri di Windows, di solito C: Windows System upo
