Hoe De Win32 Sohanad-Nak-worm Op Te Lossen?

August 19, 2021 By Brock Radcliffe-Brown Off

 

In dit boek gaan we enkele van de mogelijke oorzaken vinden waarin de Sohanad-Nak Win32-worm terecht kan komen, en dan zal ik je een paar manieren voorstellen om te proberen om er vanaf te komen van dit probleem.

Aanbevolen: ASR Pro

  • 1. Download en installeer ASR Pro
  • 2. Open het programma en klik op "Scannen"
  • 3. Klik op "Repareren" om het reparatieproces te starten
  • Download deze software en repareer uw pc binnen enkele minuten.

     

     

    Na bestudering van uw huidige website voor defensiebewaking, vond ik de volgende rapporten:

    Virustype: sohanad
    Subtype: Ver
    Detectiedatum: 15.05.2007
    Lengte: variabel
    Minimum DAT: 5031 (15.05.2007) Bijgewerkt DAT: 5031 (15.05. 2007)

    br> Minimum motor: 5.1.
    Beschrijving met dubbele nul Toegevoegd: 15-05-2007
    Beschrijving gewijzigd: 16-05-2007

    Overzicht -:
    W32 / Hakaglan.worm is vaak een worm geschreven in AutoIT en verspreid via Messenger, Yahoo brengt en netwerkshares

    Kenmerken -:
    W32 / Hakaglan.worm is een soort worm geschreven met AutoIT die Yahoo kanaliseert via Messenger, verwijderbare opslagapparaten en netwerkdistributies

    Bij de onthulling wist de worm de volgende pc:
    % WINDIR% SSVICHOSST.exe -> regenwormencomponent
    % SYSDIR% SKCVHOSThk.dll -> keylogger-component
    % SYSDIR% SKCVHOST . exe -> keylogger-component
    % SYSDIR% SKCVHOSTr.exe -> keylogger-component

    Maak de volgende registersleutels aan die met name bij het opstarten van het systeem verschijnen:
    HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Winlogon = “Shell” Explorer.exe SSVICHOSST.exe “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
    “Yahoo moet gelijk zijn aan Messenger” “% SYSDIR% SSVICHOSST.exe”

    De worm draagt ​​een taak bij (At1 file.job) die terugbetaalt aan het schema. Elke dag beschikbaar om 9:00 uur.

    Wijzig de volgende pc-clausules om instellingen te wijzigen voor het afdekken van mappen, het uitschakelen van Taakbeheer, het bewerken van het hoofdregister en meer.
    HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer
    “NofolderOptions” = ” unique “
    HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System
    HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System
    ” disabletaskmgr “=” DisableRegistryTools “=” 1 ‘
    HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Schedule
    “AtTaskMaxHours” = â € 0â € ( spatie ) HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer WorkgroupCrawler Shares
    “shared” = ” [SHARES] New Folder.exe “

    Symptomen -:
    beëindigt de volgende soorten verzekeringspolissen en sluit toepassingen af ​​als de h2 tags periode:
    [FireLion]
    Bkav2006
    Systeemconfiguratie
    Register
    Windows-taak
    br> cmd. exe

    Downloadcomponent:
    De worm maakt verbinding en keert terug naar domeinen wanneer u hem volgt met download-geüpdatete varianten die nuttig zijn voor andere malware.

    Op het moment van schrijven zijn er vaak verschillende KeyLog-Perfect.dll, Keylog-Perfect en Generic ProcKill.c gedownload. Vind ik leuk

    Opmerking. De opgezette website moet meestal worden beheerd en ook de auteur van de malware, alles is echt geladen. Nieuwe binaire bestanden kunnen op afstand worden gewijzigd, gekoppeld aan het gedrag van deze nieuw gevonden binaire bestanden, mogelijk elke kans dat een gebruiker is geïnfecteerd.
    handelwijze bij besmetting –

    Aanbevolen: ASR Pro

    Bent u het beu dat uw computer traag werkt? Zit het vol met virussen en malware? Vrees niet, mijn vriend, want ASR Pro is hier om de dag te redden! Deze krachtige tool is ontworpen om allerlei Windows-problemen te diagnosticeren en te repareren, terwijl het ook de prestaties verbetert, het geheugen optimaliseert en uw pc als nieuw houdt. Wacht dus niet langer - download ASR Pro vandaag nog!

  • 1. Download en installeer ASR Pro
  • 2. Open het programma en klik op "Scannen"
  • 3. Klik op "Repareren" om het reparatieproces te starten

  • De worm verspreidt zich door een van de bovenstaande gelieerde links door te sturen die erop wijzen dat je de gehoste kopie van de regenworm hebt naar alle gebruikers die in die menigte van geïnfecteerde Yahoo-vrienden zijn geplaatst. Meestal

    Slachtoffers raken besmet wanneer ze mogelijk spam downloaden en lanceren van een soort worm.

    Je kunt ook kiezen voor verwisselbare netwerkshares en dus apparaten.
    Verwijderen –

    Een samenvoeging van alle laatste DAT-feiten en de engine zal in staat zijn om deze druk te detecteren en te elimineren. AVERT raadt gebruikers aan niet zozeer te vertrouwen op schijnbaar bekende of geverifieerde informatiekarakters, vooral als ze afkomstig zijn van P2P-clients, IRC, e-mail of andere soorten media waarop filmgebruikers gegevens kunnen uitwisselen.
    5 . Aangezien we veel dezelfde bezoeken hebben aan Hakaglan-verwijdering, bieden we alle mogelijke hulp om u te helpen deze malware te verwijderen.

    – W32 Hakaglan.worm is een geschreven worm van waaruit autoit wordt verspreid via Yahoo Messenger, verwisselbare schijven en netwerkgeld
    – Alias: IM-Worm.Win32.Sohanad.t (Kaspersky) W32 .Yautoit (Symantec) W32 / Sohana-R (Sophos) Win32 / YahLover.AO (CA) Wurm / Sohanad.NAK (Avira)

    – Methode:
    verwijderen 1. Controleer uw antivirusprogramma (wie dit item is, of het is bijgewerkt, of er een volledige scan is uitgevoerd op de pc (na de update).

    2. Als u de worm niet zonder twijfel met deze methode kunt opschonen, installeert u de antivirussoftware opnieuw, downloadt en installeert u een antivirusprogramma van de AV-site: McAfee of Kaspersky (hier op SCForum.info bieden we u allebei een bijbehorende download link, controleer de juiste sectie) en ga nog verder van stap 1.

    3. Vergeet niet om Systeemherstel op uw computer uit te schakelen.

    4. Nogmaals, de oplossing is om deze malware “handig” te maken:

    Deze malware verstoort de Register-editor. Volg de verbeterinstructies om de aangekondigde systeemtool volledig te herstellen:

    Open Kladblok, klik op Start> Uitvoeren, typ Kladblok en druk op Enter.
    Kopieer en plak het belangrijkste:
    In het geval van de failover-fout bij gebruik
    Install shl staat gelijk aan CreateObject (“WScript.Shell”)
    Install fso staat gelijk aan CreateObject (“scripting.FileSystemObject”)
    br> shl .RegDelete “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System DisableRegistryTools”
    shl.RegDelete “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion System DisableTaskMgr “

    Sla het record op in het bestand C:RESTORE.VBS.
    Klik op Start> Uitvoeren, typ C: RESTORE.VBS en druk op Enter.
    Klik meestal op Ja in het infovenster.
    Beëindig ernstige malware

    Open het Windows Taakbeheer-pakket.
    • Windows onder 98 ondanks het feit dat ME,
    CTRL + ALT + DEL
    • Windows onder NT, 2000, XP en Server ’03:
    CTRL + SHIFT + ESC, klik daarna op Processen tab …
    Zoek in de lijst met hardlooptrainingen * het proces:
    RVHOST.EXE
    Selecteer dit kwaadaardige proces klik meerdere keren op de knop “Taak beëindigen” en “Proces beëindigen”, afhankelijk van de versie van Windows op uw gezinscomputer. …
    Om te controleren of u de kwaadaardige cursus moet stoppen, sluit u Taakbeheer en opent u het volgende opnieuw.
    Sluit de taakbeheerder.

    ———————————————– ——————————————– Op
    * Opmerking : Computers die in een team draaien in Windows 98 en ME, Windows Taakbeheer kan bepaalde soorten verwerking niet weergeven. U kunt een betrouwbare derde uitbarstingsprocesviewer gebruiken, zoals Process Explorer, om het trojans-proces te stoppen.
    Op laptops die eigendom waren van alle Windows-platforms, in hoezen waar het proces dat u ziet mogelijk niet wordt vermeld in Taakbeheer of zelfs een Process Explorer, gaat u naar de volgende probleemoplossingsstrategie en raadpleegt u het aanvullende handboek. Als het proces meestal betrekking heeft op een lijst die kan worden bekeken door Taakbeheer of Process Explorer, maar u kunt het niet beëindigen, start u uw computer opnieuw op in de veilige modus.

    Deze malware wijzigt persoonlijk de personal computer. Gebruikers die door bepaalde malware worden getroffen, moeten gebonden registersleutels of prijzen wijzigen en verwijderen. Zie de volgende Microsoft-artikelen voor materiaal over het bewerken en escaleren van het register:

    HOE: herstel, bewerk en herstel het register om Windows 95, Windows 98 en Windows ME te maken
    HOE: maak een back-up, herformuleer en herstel het register terwijl Windows NT 4.0
    HOE terug te werken Omhoog: neg ddit om het register te herstellen in Windows 4000
    HOE: Maak een back-up, pas het register aan en herstel het bij Windows XP als Server 2003
    Verwijder de opstartvermelding die door het specifieke register wordt geleverd

    Door het autostart-zijpaneel uit het register te verwijderen, wordt voorkomen dat adware wordt uitgevoerd bij het opstarten.

    Als de onderstaande registervermelding vaak niet wordt opgeslagen, is er mogelijk geen malware gevonden. Als u doorgaat, besluit u naar de volgende set die aan oplossingen is gekoppeld.

    Open de Register-editor.
    Klik op Start> Uitvoeren, typ REGEDIT en druk dus op Enter.
    Dubbelklik in het gedeelte Volgende naar op het volgende:
    HKEY_CURRENT_USER> Software> Microsoft> Windows> Huidige versie> Uitvoeren
    Zoek in het rechtervenster van de gebruiker het item en verwijder het:
    Yahoo Messenger is een acroniem voor “% System% RVHOST.exe “
    (Opmerking:% System% is de map van het Windows-verzekeringsplan, meestal C: Windows System op Windows 98 en ME, C: WINNT System32 bovenop Windows NT en 2000, en C: Wi