Hoe Een Win32 Sohanad-Nak-worm Te Repareren?
August 19, 2021
In deze gids gaan we nu verschillende van de mogelijke oorzaken ontdekken die momenteel de Sohanad-Nak Win32-worm kan veroorzaken, en daarnaast zal ik u verschillende alternatieven voorstellen om te proberen zich te ontdoen van dit probleem.
Aanbevolen: Fortect
Na het verkennen van uw huidige website voor d observe, vond ik de volgende informatie:
Virustype: sohanad
Subtype: Ver
Detectiedatum: 15.05.2007
Lengte: variabel
Minimum DAT: 5031 (15.05.2007) Bijgewerkt DAT: 5031 (15.05. 2007)
br> Minimum motor: 5.1.
Beschrijving met dubbele nul Toegevoegd: 15-05-2007
Beschrijving gewijzigd: 16-05-2007
Overzicht -:
W32 / Hakaglan.worm is altijd een worm geweest die in AutoIT is geschreven en als gevolg daarvan verspreid via Messenger, Yahoo-drives en daarom netwerkshares
Kenmerken -:
W32 / Hakaglan.worm is een regenworm geschreven met AutoIT die Yahoo streamt via Messenger, verwijderbare opslagapparaten en/of netwerkdistributies
Bij het opstarten verwijdert uw huidige worm de volgende bestanden:
% WINDIR% SSVICHOSST.exe -> wormelement van
% SYSDIR% SKCVHOSThk.dll -> key logger-component
% SYSDIR% SKCVHOST. exe -> keylogger-component
% SYSDIR% SKCVHOSTr.exe -> keylogger-component
Maak de volgende registersleutels die aanvoelen bij het opstarten van het systeem:
HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Winlogon betekent “Shell” Explorer.exe SSVICHOSST.exe “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Uitvoeren
“Yahoo is altijd gelijk geweest aan Messenger” “% SYSDIR% SSVICHOSST.exe”
De worm biedt één taak (At1 file.job) die terugkeert, zodat u elke dag om 9:00 uur kunt plannen.
Wijzig de volgende registervoorwaarden om instellingen te wijzigen voor het verbergen van versies, het uitschakelen van Taakbeheer, het bewerken van de pc en meer.
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer
“NofolderOptions” = ” 1 “
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System
” disabletaskmgr “=” DisableRegistryTools “=” 1 overal
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Schedule
“AtTaskMaxHours” impliceert â € 0â € – HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer WorkgroupCrawler Shares
“gedeeld” betekent ” [SHARES] New Folder.exe “
Symptomen -:
beëindigt de volgende soorten procedures en sluit toepassingen af als de header een paar jaar is:
[FireLion]
Bkav2006
Systeemconfiguratie
Register
Windows-taak
br> cmd. exe
Component downloaden:
De worm maakt verbinding met velden wanneer u hem volgt om bijgewerkte varianten te streamen die gerelateerd zijn en andere malware.
In de vrije tijd van dit schrijven zijn verschillende KeyLog-Perfect.dll, Keylog-Perfect en Generic ProcKill.c ontvangen. Vind ik leuk
Opmerking. De ingediende online winkel moet meestal worden beheerd door, zou ik zeggen, de auteur van de malware, alles is geladen nieuwe binaire bestanden zullen waarschijnlijk op afstand worden gewijzigd en het meeste gedrag van deze nieuwe binaire bestanden kan worden gewijzigd, mogelijk elke keer dat een absolute gebruiker is geïnfecteerd .
methode indien geïnfecteerd –
Aanbevolen: Fortect
Bent u het beu dat uw computer traag werkt? Zit het vol met virussen en malware? Vrees niet, mijn vriend, want Fortect is hier om de dag te redden! Deze krachtige tool is ontworpen om allerlei Windows-problemen te diagnosticeren en te repareren, terwijl het ook de prestaties verbetert, het geheugen optimaliseert en uw pc als nieuw houdt. Wacht dus niet langer - download Fortect vandaag nog!
De regenwormen verspreiden zich door een van de bovenstaande gelieerde links die verwijzen naar die gehoste kopie van de worm door te sturen naar alle gebruikers die zijn gepost in de groep geïnfecteerde Yahoo-vrienden. Meestal
Slachtoffers raken besmet wanneer ze spam van de regenwormen kunnen ontvangen en lanceren.
U kunt ook eenvoudig te verwijderen netwerkshares en dus schijven gebruiken.
Verwijderen –
Een combinatie van de nieuwste DAT-bestanden, waardoor de engine deze dreiging kan detecteren en elimineren. AVERT raadt gebruikers aan minder te vertrouwen op schijnbaar bekende of geverifieerde bestandstypen, vooral als ze afkomstig zijn van P2P-clients, IRC, e-mail of andere mediapatronen waarop mediaklanten gegevens kunnen uitwisselen.
* Aangezien we veel bezoeken hebben gerelateerd aan het verwijderen van Hakaglan, bieden we alle praktische hulp om u te helpen deze situatie malware te verwijderen.
– W32 / Hakaglan.worm is een geschreven worm die kan worden gedistribueerd via Yahoo Messenger, externe schijven en netwerkbronnen
– Alias: IM-Worm.Win32.Sohanad.t (Kaspersky) W32 .Yautoit (Symantec ) W32 / Sohana-R (Sophos) Win32 YahLover.AO (CA) Wurm / Sohanad.NAK (Avira)
– Methode:
verwijderen 7. Controleer uw antivirusprogramma (wie het vaak is, of het is bijgewerkt, of er een goede solide volledige scan is uitgevoerd op de hele pc (na de update).
ten tweede. Als u de regenwormen niet met deze methode kunt opruimen, installeer dan het computervirus opnieuw, download en installeer een van deze dieren van de AV-site: McAfee of het kan Kaspersky zijn (hier op SCForum.info hebben we u met een downloadlink, vergelijk de juiste gedeelte) en ga net verder vanaf stap 1.
3 of meer. Vergeet niet Systeemherstel op uw computer uit te schakelen.
7. Nogmaals, de oplossing is dat deze malware-opruiming “handig” zou worden:
Deze malware verstoort de Register-editor. Volg de juiste info om de genoemde methodetool helemaal te herstellen:
Open Kladblok, klik op Start> Uitvoeren, typ Kladblok en druk op Enter.
Kopieer en plak het volgende:
In geval van een belangrijke failover-fout
Installeer shl = CreateObject (“WScript.Shell”)
Installeer fso = CreateObject (“scripting.FileSystemObject”)
shl .RegDelete “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System DisableRegistryTools”
shl.RegDelete “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion System DisableTaskMgr “
Sla het bestand op in de hele map C:RESTORE.VBS.
Klik op Start> Uitvoeren, typ C: RESTORE.VBS en druk op Enter.
Klik meestal op Ja in het berichtvenster.
Beëindig ernstige malware
Open het programma Windows Taakbeheer.
• Windows onder 98 maar ME,
CTRL + ALT + DEL
• Windows onder NT, eind jaren 90, XP en Server ’03:
CTRL + SHIFT + ESC, ga dan naar de Processen tab …
Zoek in de lijst met actieve programma’s ( spatie ) het proces:
RVHOST.EXE
Selecteer dit kwaadaardige proces en druk meerdere keren op de bedieningsknop “Taak beëindigen” of “Proces beëindigen”, afhankelijk van deze versie van Windows op uw specifieke computer. …
Om te controleren of u het schadelijke proces zou moeten stoppen, sluit u Taakbeheer in de buurt en opent u het opnieuw.
Sluit de taakbeheerder.
———————————————– ——————————————– Op
* Opmerking : Computers die in een cirkel draaien in Windows 98 en ME, Windows Taakbeheer kan bepaalde typen niet weergeven tijdens de verwerking. U kunt een eindelijk uitbarstingsprocesviewer gebruiken, zoals Process Explorer, om de malware-onderneming te stoppen.
Op laptops die op alle Windows-platforms draaien, als het proces dat u ziet niet zou moeten worden vermeld in Taakbeheer of Procesverkenner, gaat u naar de volgende probleemoplossingsstrategie en bekijkt u aanvullende instructies. Als het proces meestal op een soort lijst staat die kan worden gelezen van Taakbeheer of Process Explorer, kunt u het desalniettemin niet beëindigen, start de eigen computer opnieuw op in de Veilige modus.
Deze malware wijzigt persoonlijk het register. Gebruikers die door bepaalde malware worden getroffen, moeten mogelijk bepaalde registersleutels of prijzen voor pc’s wijzigen en verwijderen. Zie de volgende Microsoft-informatie voor meer informatie over het bewerken en verbeteren van ons eigen register:
HOE: een back-up maken, opnieuw doen en het register herstellen voor Windows 95, Windows 98 en Windows ME
HOE: een back-up maken, bewerken en ook het register herstellen in Windows NT 4.0
HOE backside gaan Up : neg ddit en versterk het register in Windows 4000
HOE: Een back-up maken, wijzigen en bovendien het register herstellen in Windows XP als Server 2003
Alle opstartvermeldingen van het pc-register verwijderen
Door het frontblok voor automatisch starten uit het register te verwijderen, voorkomt u dat malware bij het opstarten wordt uitgevoerd.
Als een bepaald registervermelding hieronder vaak niet als opgeslagen wordt beschouwd, is malware mogelijk niet recent gevonden. Als u doorgaat, gaat u verder met de volgende reeks producten en oplossingen.
Open de Register-editor.
Klik op Start> Uitvoeren, typ REGEDIT en nieuws Enter.
Dubbelklik in de sectie Volgende om u te helpen bij het volgende:
HKEY_CURRENT_USER> Software> Microsoft> Windows> Huidige versie> Uitvoeren
Zoek en verwijder in het rechterdeelvenster dat aan de gebruiker is gekoppeld de entry:
Yahoo Messenger ondersteunt “% System% RVHOST.exe “
(Opmerking:% System% is het Windows-beleidsbestand, meestal C: Windows System op Windo
