Jak Naprawić Tego Robaka Win32 Sohanad-Nak?
August 19, 2021
W tym przewodniku wraz z żoną dowiemy się kilku możliwych przyczyn, które może powodować robak Sohanad-Nak Win32, a następnie zasugeruję kilka możliwości, aby spróbować zażądać pozbyć się tego problemu.
Zalecane: Fortect
Po rozważeniu Twojej obecnej witryny pod kątem perspektywy d, znalazłem następujące informacje:
Typ wirusa: sohanad
Podtyp: Wersja
Data wykrycia: 15.05.2007
Długość: zmienna
Minimalny DAT: 5031 (15.05.2007) Zaktualizowany DAT: 5031 (15.05.2007) < br> Minimalny silnik: 5.1.
Opis z podwójnym zerem Dodano: 15.05.2007
Zmieniono opis: 16.05.2007
Przegląd -:
W32 / Hakaglan.worm zawsze był robakiem napisanym w AutoIT i dlatego rozprzestrzeniał się za pośrednictwem Messengera, dysków Yahoo, a także udziałów sieciowych
Funkcje -:
W32 / Hakaglan.worm to dżdżownica napisana w AutoIT, która przesyła strumieniowo Yahoo przez Messengera, wymienne urządzenia pamięci masowej i po prostu dystrybucje sieciowe
Po uruchomieniu robak usuwa następujące pliki:
% WINDIR% SSVICHOSST.exe -> aspekt robaka
% SYSDIR% SKCVHOSThk.dll -> komponent keyloggera
% SYSDIR% SKCVHOST . exe -> komponent keyloggera
% SYSDIR% SKCVHOSTr.exe -> komponent keyloggera
Utwórz następujące klucze rejestru, które pojawiają się podczas uruchamiania systemu:
HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Winlogon jest równy „Shell” Explorer.exe SSVICHOSST.exe „HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
“Yahoo jest zwykle równy Messengerowi” “% SYSDIR% SSVICHOSST.exe”
Robak dostarcza najlepsze zadanie (At1 file.job), które powraca zgodnie z harmonogramem Codziennie o godzinie 9:00.
Zmodyfikuj następujące frazy rejestru, aby zmienić ustawienia ukrywania wersji, wyłączania Menedżera zadań, edytowania rejestru systemu Windows komputera i nie tylko.
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer
“NofolderOptions” = ” 1 “
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System
” disabletaskmgr “=” DisableRegistryTools “=” 1 w całym
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Schedule
“AtTaskMaxHours” oznacza â € 0â € – HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer WorkgroupCrawler Shares
„shared” oznacza „ [SHARES] New Folder.exe”
Objawy -:
kończy następujące typy procedur podczas zamykania aplikacji, jeśli cykl nagłówka:
[FireLion]
Bkav2006
Konfiguracja systemu
Rejestr
Zadanie systemu Windows
cmd. ex
Komponent pobierania:
Robak łączy się z adresami URL, gdy go śledzisz, aby zapisać zaktualizowane warianty powiązane z innym złośliwym oprogramowaniem.
W momencie pisania tego tekstu pobrano i zainstalowano różne pliki KeyLog-Perfect.dll, Keylog-Perfect i Generic ProcKill.c. Lubię
Uwaga. Przesłana witryna o zasięgu ogólnoświatowym powinna być zwykle kontrolowana przez autora złośliwego oprogramowania, wszystko jest ładowane, nowe pliki binarne mogą być zdalnie modyfikowane, a zachowanie tych nowych plików binarnych może ulec zmianie, prawdopodobnie za każdym razem, gdy każdy użytkownik zostanie zainfekowany.
metoda w przypadku infekcji –
Zalecane: Fortect
Czy masz dość powolnego działania komputera? Czy jest pełen wirusów i złośliwego oprogramowania? Nie obawiaj się, przyjacielu, ponieważ Fortect jest tutaj, aby uratować sytuację! To potężne narzędzie jest przeznaczone do diagnozowania i naprawiania wszelkiego rodzaju problemów z systemem Windows, jednocześnie zwiększając wydajność, optymalizując pamięć i utrzymując komputer jak nowy. Więc nie czekaj dłużej — pobierz Fortect już dziś!
Dżdżownice rozprzestrzeniają się poprzez przesłanie jednego z powyższych linków partnerskich, które prowadzą do hostowanej przez nich kopii robaka, który zostanie umieszczony wśród fanów zainfekowanych znajomych z Yahoo. Zwykle
Ofiary zarażają się, gdy mogą odbierać i wysyłać spam od dżdżownicy.
Możesz także używać całkowicie wymiennych udziałów sieciowych, a tym samym dysków.
Usuń –
Kombinacja dołączona do wszystkich najnowszych plików DAT, a w konsekwencji silnik będzie w stanie wykryć i wyeliminować to zagrożenie. AVERT zaleca, aby użytkownicy mniej polegali na pozornie znanych lub zweryfikowanych wiadomościach e-mail z plikami, zwłaszcza jeśli pochodzą one z klientów P2P, IRC, poczty e-mail lub innych form mediów, na których klienci mediów mogą wymieniać dane.
* Ponieważ mamy wiele wizyt związanych z usunięciem Hakaglana, oferujemy wszelką rozsądną pomoc, aby pomóc Ci usunąć powyższe złośliwe oprogramowanie.
– W32 / Hakaglan.worm jest robakiem napisanym, który będzie automatycznie dystrybuowany przez Yahoo Messenger, odłączane dyski i zasoby sieciowe
– Alias: IM-Worm.Win32.Sohanad.t (Kaspersky) W32 .Yautoit (Symantec) ) W32 / Sohana-R (Sophos) Win32 YahLover.AO (CA) Wurm / Sohanad.NAK (Avira)
— Metoda: usunięcie
określonej osoby. Sprawdź swój program antywirusowy (kto był zawsze, czy był aktualizowany, czy na konkretnym komputerze wykonano określone pełne skanowanie (po aktualizacji).
tylko dwa. Jeśli nie możesz wyczyścić dżdżownic tą metodą, zainstaluj ponownie złośliwe oprogramowanie, pobierz i zainstaluj jednego z mężczyzn i kobiet ze strony AV: McAfee lub ewentualnie Kaspersky (tutaj na SCForum.info, otrzymasz link do pobrania, przejrzyj poprawny sekcji) i przejdź dalej od kroku 1.
9. Nie zapomnij wyłączyć przywracania systemu na swoim komputerze.
cztery. Po raz kolejny rozwiązanie jest gotowe, aby to czyszczenie złośliwego oprogramowania było „przydatne”:
To złośliwe oprogramowanie zakłóca działanie Edytora rejestru. Aby całkowicie przywrócić wspomniane narzędzie do ćwiczeń, postępuj zgodnie z odpowiednimi samouczkami:
Otwórz Notatnik, kliknij Start> Uruchom, wpisz Notatnik i naciśnij Enter.
Skopiuj i wklej:
W przypadku jednorazowego błędu przełączania awaryjnego
Zainstaluj shl = CreateObject („WScript.Shell”)
Zainstaluj fso = CreateObject („scripting.FileSystemObject”)
shl .RegDelete “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System DisableRegistryTools”
shl.RegDelete “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion System DisableTaskMgr “
Zapisz plik z folderu C: RESTORE.VBS.
Kliknij Start> Uruchom, wpisz C: RESTORE.VBS, a następnie naciśnij klawisz Enter.
Zwykle kliknij Tak w przysłowiowym polu wiadomości.
Zakończ poważne złośliwe oprogramowanie
Otwórz program Menedżer zadań systemu Windows.
• Windows pod 98 ale ME,
CTRL + ALT + DEL
• Windows pod NT, 2001, XP i Server ’03:
CTRL + SHIFT + ESC, następnie przejdź do zakładki Procesy ..
Na liście uruchomionych programów 5 . znajdź proces:
RVHOST.EXE
Wybierz ten złośliwy proces i wybierz mysz „Zakończ zadanie” lub „Zakończ proces” kilka razy, w zależności od wersji systemu Windows na Twoim komputerze. …
Aby sprawdzić, czy poszczególne osoby powinny zatrzymać złośliwy proces, porównaj Menedżera zadań i otwórz go ponownie.
Zamknij menedżera zadań.
———————————————————- ——————————————– Na
* Uwaga : Komputery działające w okręgu znajdującym się w Windows 98 i ME, Menedżer zadań Windows nie może wyświetlić niektórych typów z powodu przetwarzania. Możesz użyć Użyj przeglądarki procesów erupcji informacji, takiej jak Process Explorer, aby zatrzymać aktywność złośliwego oprogramowania.
Na laptopach, które działają na wszystkich platformach Windows, w przypadkach, w których proces, który widzisz, jest i nigdy nie jest wymieniony w Menedżerze zadań lub Eksploratorze procesów, przejdź do następnej strategii rozwiązywania problemów i zobacz dodatkowe instrukcje. Jeśli proces zwykle znajduje się na liście, którą można odczytać poza Menedżerem zadań lub Eksploratorem procesów, i nie możesz go zakończyć, uruchom ponownie cały komputer w trybie awaryjnym.
To złośliwe oprogramowanie osobiście modyfikuje rejestr. Użytkownicy dotknięci określonym złośliwym oprogramowaniem mogą być zmuszeni do zmodyfikowania i usunięcia określonych kluczy komputera lub cen. Szczegółowe informacje na temat edytowania i ulepszania rejestru można znaleźć w następujących pismach firmy Microsoft:
JAK: wykonać kopię zapasową, wyświetlić i przywrócić rejestr wymagany w systemie Windows 95, Windows 98 i Windows ME
JAK: wykonać kopię zapasową, edytować i przywrócić rejestr w systemie Windows NT 4.0
JAK przejść dalej Do góry : neg ddit i napraw rejestr w systemie Windows 3200
JAK: Utworzyć kopię zapasową, zmodyfikować w połączeniu z przywróceniem rejestru w systemie Windows XP jako Server 2003
Usuń jakiś wpis startowy dostarczony przez komputer
Usunięcie przedniej płyty autostartu z rejestru zapobiega złośliwemu oprogramowaniu uruchamianemu podczas uruchamiania.
Jeśli dokładny wpis rejestru poniżej jest często daleki od zapisania, może to oznaczać, że złośliwe oprogramowanie nie zostało najpierw znalezione. Jeśli będziesz kontynuować, przejdź do następnego zestawu strategii.
Otwórz Edytor rejestru.
Kliknij Start> Uruchom, wpisz REGEDIT i reklama Enter.
W sekcji Dalej i kliknij dwukrotnie następujące elementy:
HKEY_CURRENT_USER> Oprogramowanie> Microsoft> Windows> Aktualna wersja> Uruchom
W prawym okienku dotyczącym użytkownika znajdź i usuń większość wpisu:
Yahoo Messenger oznacza “% System% RVHOST.exe “
(Uwaga: % System% to plik polityki Windows, zwykle C: Windows System w Windows 98 i ME, C: WINNT System32 na Windows NT i
