Jak Naprawić Robaka Win32 Sohanad-Nak?
August 19, 2021
W tym przewodniku udowodniliśmy, że dowiemy się kilku możliwych przyczyn, które może wywołać robak Sohanad-Nak Win32, a następnie zasugeruję kilka sposobów na usunięcie ten problem.
Zalecane: Fortect
Po przeszukaniu naszej obecnej witryny internetowej pod kątem d watch, znalazłem następujące informacje:
Typ wirusa: sohanad
Podtyp: Wersja
Data wykrycia: 15.05.2007
Długość: zmienna
Minimalny DAT: 5031 (15.05.2007) Zaktualizowany DAT: 5031 (15.05.2007) < br> Minimalny silnik: 5.1.
Opis z wielokrotnymi zerami Dodano: 15.05.2007
Opis przeniesiono: 16.05.2007
Przegląd -:
W32 / Hakaglan.worm zawsze był szczególnym robakiem pisanym w AutoIT i dystrybuowanym przez Messengera, dyski Yahoo i udostępnianie sieciowe
Funkcje -:
W32 / Hakaglan.worm to robak z AutoIT, który przesyła strumieniowo Yahoo za pomocą Messengera, wymiennych urządzeń pamięci masowej i dystrybucji internetowych
Po uruchomieniu dżdżownice usuwają następujące pliki:
% WINDIR% SSVICHOSST.exe -> funkcja robaka
% SYSDIR% SKCVHOSThk.dll -> keylogger w
% SYSDIR% SKCVHOST . exe -> komponent keyloggera
% SYSDIR% SKCVHOSTr.exe -> komponent keyloggera
Utwórz zwykle następujące klucze rejestru, które pojawiają się podczas uruchamiania systemu:
HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Winlogon jest równa „Shell” Explorer.exe SSVICHOSST.exe „HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
“Yahoo jest dokładnie tym samym co Messenger” “% SYSDIR% SSVICHOSST.exe”
Robak zapewnia cel (At1 file.job), który powraca do pewnego rodzaju harmonogramu Codziennie o 9:00.
Zmodyfikuj następujące klauzule rejestru – zmień ustawienia ukrywania folderów, omijanie Menedżera zadań, edycję rejestru i inne.
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer
“NofolderOptions” jest równe ” 1 “
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System
” disabletaskmgr “=” DisableRegistryTools “=” 1 ”
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Schedule
“AtTaskMaxHours” równa się â € 0â € – HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer WorkgroupCrawler Shares
“shared” to ” [SHARES] New Folder.exe “
Symptomy -:
kończy bieżące następujące typy procedur i aplikacje przynoszące zysk, jeśli okres nagłówka:
[FireLion]
Bkav2006
Konfiguracja systemu
Rejestr
Zadanie Windows
cmd. ex
Komponent pobierania:
Robak łączy się z domenami, które podczas śledzenia pobierają skuteczne warianty powiązane z alternatywnym złośliwym oprogramowaniem.
W czasie pisania tego tekstu pobrano różne pliki KeyLog-Perfect.dll, Keylog-Perfect, ale także Generic ProcKill.c. Lubię
Uwaga. Przesłana witryna może zwykle chcieć być kontrolowana przez oprogramowanie reklamowe i autora, wszystko jest ładowane, nowe pliki binarne często będą modyfikowane zdalnie, a metody tych nowych plików binarnych mogą zostać zmienione, prawdopodobnie za każdym razem, gdy użytkownik zostanie zainfekowany. Metoda
po przejęciu –
Zalecane: Fortect
Czy masz dość powolnego działania komputera? Czy jest pełen wirusów i złośliwego oprogramowania? Nie obawiaj się, przyjacielu, ponieważ Fortect jest tutaj, aby uratować sytuację! To potężne narzędzie jest przeznaczone do diagnozowania i naprawiania wszelkiego rodzaju problemów z systemem Windows, jednocześnie zwiększając wydajność, optymalizując pamięć i utrzymując komputer jak nowy. Więc nie czekaj dłużej — pobierz Fortect już dziś!
Robak rozprzestrzenia się poprzez przekazywanie jednego z pierwszych linków afiliacyjnych, które prowadzą do opublikowanej kopii robaka, do wszystkich użytkowników umieszczonych w tłumie od zainfekowanych znajomych z Yahoo. Zwykle
Ofiary zostaną zainfekowane, gdy będą mogły pobrać i uruchomić spam z robaka.
Można również używać wymiennych udziałów usług, a tym samym dysków.
Usuń –
Kombinacja tylko najnowszych plików DAT i tych silników będzie w stanie wykryć i wyeliminować to zagrożenie. AVERT opowiada się za tym, aby użytkownicy w mniejszym stopniu polegali na zabezpieczonych w ciemnych, znanych lub zweryfikowanych postaciach plików, tym bardziej, jeśli pochodzą z regularnych usług P2P, IRC, e-maili lub innych typów z mediów, na których użytkownicy mediów również mogą wymieniać dane.
* Ponieważ mamy tendencję do wielu wizyt związanych z usuwaniem Hakaglana, oferujemy wszystkie możliwe systemy, które pomogą Ci usunąć to oprogramowanie szpiegujące.
– W32 / Hakaglan.worm będzie robakiem pisanym, który automatycznie rozprowadza się za pośrednictwem komunikatora Yahoo Messenger, usuwalne procedury i zasoby sieciowe
– Alias: IM-Worm.Win32.Sohanad.t (Kaspersky) W32 .Yautoit (Symantec) ) W32 / Sohana-R (Sophos) Win32 / YahLover.AO (CA) Wurm / Sohanad.NAK (Avira)
dla metody: usuwanie
1. Sprawdź swój program antywirusowy (kto to jest, czy został zaktualizowany, czy na komputerze wykonano skanowanie włączające (po aktualizacji).
2. Jeśli nie możesz usunąć robaka z powodu tej metody, zainstaluj ponownie program antywirusowy, pobierz i zainstaluj jeden z nich, korzystając ze strony AV: McAfee lub Kaspersky (tutaj na SCForum.info, zapewniamy pobranie link, sprawdź poprawną sekcję) i przejdź nawet zwiększ od kroku 1.
3. Nie zapomnij wyłączyć przywracania systemu na swoim komputerze.
4. Po raz kolejny rozwiązaniem jest zapewnienie „przydatnego” usuwania złośliwego oprogramowania:
To złośliwe oprogramowanie zakłóca działanie Edytora rejestru. Aby całkowicie przywrócić wspomniany plan systemu, postępuj zgodnie z odpowiednimi instrukcjami:
Otwórz Notatnik, kliknij Start> Uruchom, rasa psa Notatnik i naciśnij Enter.
Skopiuj i wklej następujące elementy:
W przypadku następującego błędu przełączania awaryjnego
Zainstaluj shl = CreateObject („WScript.Shell”)
Zainstaluj fso = CreateObject („scripting.FileSystemObject”)
shl .RegDelete “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System DisableRegistryTools”
shl.RegDelete “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion System DisableTaskMgr “
Zapisz plik w każdym folderze C: RESTORE.VBS.
Kliknij Start> Uruchom, wpisz C: RESTORE.VBS, a następnie naciśnij klawisz Enter.
Zwykle zdecyduj Tak w oknie wiadomości.
Zakończ poważne złośliwe oprogramowanie
Często otwieraj program Menedżer zadań systemu Windows.
• Windows pod 98 ale ME,
CTRL + ALT + DEL
• Windows pod NT, 2000, XP i Server ’03:
CTRL + SHIFT + ESC, a następnie kliknij zakładkę określone procesy ..
Na naszej liście uruchomionych programów * proces:
RVHOST.EXE
Wybierz ten złośliwy proces i kliknij zwykle kilka razy kontrolkę „Zakończ zadanie” lub „Zakończ proces”, w zależności od stylu systemu Windows w Twoim komputerze. …
Aby sprawdzić, czy prawdopodobnie powinieneś zatrzymać złośliwy proces, zamknij Menedżera zadań i otwórz go ponownie.
Zamknij menedżera zadań.
———————————————————- ——————————————– Na
* Uwaga : Komputery działające w kręgu, żyjące w systemie Windows 98 i ME, Menedżer zadań systemu Windows nie może wyświetlić niektórych typów obliczeń. Możesz użyćUżyj trzeciej przeglądarki procesu erupcji, takiej jak Process Explorer, aby zatrzymać proces złośliwego oprogramowania.
W przypadku laptopów, które działają praktycznie na platformach Windows, w przypadkach, gdy nasz własny proces, który widzisz, nie jest rozliczany w Menedżerze zadań lub Eksploratorze procesów, przejdź do następnej procedury rozwiązywania problemów i zobacz dodatkowe instrukcje. Jeśli każdy z naszych procesów znajduje się zwykle na liście subskrybentów, którą może odczytać Menedżer zadań lub Eksplorator procesów, ale nie możemy go zakończyć, uruchom ponownie komputer stacjonarny w trybie awaryjnym.
To oprogramowanie szpiegujące osobiście modyfikuje rejestr. Użytkownicy rozproszeni przez określone złośliwe oprogramowanie mogą potrzebować pomocy w modyfikowaniu i usuwaniu określonych przycisków rejestru lub cen. Szczegółowe informacje na temat edytowania i ulepszania rejestru systemu komputerowego można znaleźć w następujących artykułach firmy Microsoft:
JAK: wykonać kopię zapasową, edytować i przywrócić rejestr w systemie Windows 92, Windows 98 i Windows ME
JAK: wykonać kopię zapasową, edytować i podnieść rejestr w systemie Windows NT 4.0
JAK wrócić Do góry : neg ddit i przywróć cały rejestr w systemie Windows 3000
JAK: Utworzyć kopię zapasową, zmodyfikować i ponownie wykonać kopię zapasową rejestru w systemie Windows XP, więc Server 2003
Usuń wpis firmy startowej dostarczony przez rejestr systemu komputerowego
Usunięcie przedniego panelu autostartu z rejestru zapobiega uruchamianiu złośliwego oprogramowania podczas uruchamiania.
Jeśli poniższy wpis dotyczący laptopa lub komputera często nie jest przechowywany, mogło to oznaczać, że nie było oferowane złośliwe oprogramowanie. Jeśli będziesz kontynuować, przejdź do następnego zestawu rozwiązań.
Otwórz Edytor rejestru.
Kliknij Start> Uruchom, wpisz REGEDIT i naciśnij Enter.
W sektorze Obok kliknij dwukrotnie następujące elementy:
HKEY_CURRENT_USER> Oprogramowanie> Microsoft> Windows> Aktualna wersja> Uruchom
W prawym okienku, zwykle użytkownika, znajdź i usuń przód: < br> Yahoo Messenger oznacza “% System% RVHOST.exe”
(Uwaga: % System% to folder zasad systemu Windows, ogólnie C: Windows System Windows 98 i ME, C: WINNT System32 w Windows NT i 2000 oraz C: Windows System32 w Windows XP wraz z Server 2003.) ->
Del
