Hur Fixar Jag Direkt Win32 Sohanad-Nak-masken?
August 19, 2021I en sådan guide kommer vi att ta fram några av de möjliga triggers som Sohanad-Nak Win32-masken mycket väl kan orsaka, och sedan kommer jag att uppmuntra flera sätt för dig att sträva efter att bli av med speciella problem.
Rekommenderas: Fortect
Efter att ha undersökt din nuvarande webbplats med d watch hittade jag informationen efteråt:
Virustyp: sohanad
Subtyp: Ver
Upptäcktsdatum: 15.05.2007
Längd: variabel
Minsta DAT: 5031 (15.05.2007) Uppdaterad DAT: 5031 (15.05.2007) < br> Minsta motor: 5.1.
Beskrivning med dubbel noll Tillagd: 15/5/2007
Beskrivning ändrad: 16/05/2007
Översikt -:
W32 / Hakaglan.worm ger alltid en mask skriven i AutoIT och sprids via Messenger, Yahoo -enheter och nätverksresurser
Funktioner -:
W32 / Hakaglan.worm är normalt en mask skriven med AutoIT som experter säger strömmar Yahoo via Messenger, flyttbara husenheter och nätverksdistributioner
När masken startas tar den bort filer:
% WINDIR% SSVICHOSST.exe -> maskkomponent
% SYSDIR% SKCVHOSThk.dll -> keylogger -komponent
% SYSDIR% SKCVHOST. exe -> keylogger item
% SYSDIR% SKCVHOSTr.exe -> keylogger additive
Skapa följande registertaktik som visas vid systemstart:
HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Winlogon = “Shell” Explorer.exe SSVICHOSST.exe “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Kör
“Yahoo är lika med Messenger” “% SYSDIR% SSVICHOSST.exe”
Daggmask ger en uppgift (At1 file.job) som återgår till schemat Varje visst datum klockan 9:00.
Ändra de användande registerklausulerna för att ändra inställningar för att dölja mappar, inaktivera Aktivitetshanteraren, sökfraser i registret och mer.
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer
“NofolderOptions” = “1 särskild”
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System
“disabletaskmgr” = “DisableRegistryTools” = “6”
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Schedule
“AtTaskMaxHours” = â € 0â € – HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer WorkgroupCrawler Shares
“shared” = ” [SHARES] New Folder.exe”
Symptom -:
avslutar följande typer som oftast är associerade med procedurer och avslutar applikationer om denna rubrikperiod:
[FireLion]
Bkav2006
Systemkonfiguration
Registry
Windows Task
cmd. exe
Ladda ner komponent:
Masken fäster på domäner när du spårar saker för att ladda ner uppdaterade varianter som har relaterats till annan skadlig kod.
Vid skrivandet har flera olika KeyLog-Perfect.dll, Keylog-Perfect och Generic ProcKill.c definitivt laddats ner. Som
Obs. Den inlämnade webbplatsen bör vanligtvis vara begränsad med ett koppel av malware -författaren, allt laddas definitivt nya binärer kan ändras plats och beteendet hos dessa nya binärer kan ändras, eventuellt varje gång en användare infekteras.
tekniker vid infektion –
Rekommenderas: Fortect
Är du trött på att din dator går långsamt? Är det full av virus och skadlig kod? Var inte rädd, min vän, för Fortect är här för att rädda dagen! Detta kraftfulla verktyg är utformat för att diagnostisera och reparera alla slags Windows-problem, samtidigt som det ökar prestanda, optimerar minnet och håller din dator igång som ny. Så vänta inte längre - ladda ner Fortect idag!
Masken sprider sig genom att vidarebefordra någon av ovanstående affiliatelänkar som leder till den värdade kopian av vår egen mask till alla användare som publiceras av en mängd infekterade Yahoo -grannar. Vanligtvis
Offer blir smittade när företaget kan ladda ner och starta skräppost i masken.
Du kan ibland använda flyttbara nätverksresurser och av den anledningen enheter.
Ta bort –
En kombination av alla de senaste DAT -filerna och motorn kommer alltid att kunna upptäcka och eliminera följande hot. AVERT rekommenderar att användare förlitar sig mindre på till synes bekanta eller hittade filtecken, särskilt om de erbjuds från P2P -klienter, IRC, e -post, till andra typer av media som tyvärr medianvändare kan utbyta data.
1. Eftersom vi har många sessioner relaterade till borttagning av Hakaglan, föreslår vi all möjlig hjälp för att hjälpa dina behov att ta bort denna skadliga program.
– W32 / Hakaglan.worm är en skriven daggmask där autoit distribueras via Yahoo Messenger, flyttbara enheter och nätverkspengar
– Alias: IM -Worm.Win32.Sohanad.t (Kaspersky) W32 .Yautoit (Symantec) W32 / Sohana-R (Sophos) Win32 / YahLover.AO (CA) Wurm eller Sohanad.NAK (Avira)
– Metod: Ta bort
1. Kontrollera ditt datavirus (vem det är, om det var det senaste, om en fullständig genomsökning lyckades göras på datorn (efter hur uppdateringen).
2. Om du inte helt kan masken med den här metoden, installera om antivirusprogrammet, ladda ner och installera olika av dem från AV-webbplatsen: McAfee eller Kaspersky (här på SCForum.info, vi ger dig en hämta länk, kontrollera rätt sektion) och följaktligen gå ännu längre från stegvis.
3. Glöm inte att stänga av Systemåterställning på ditt datorsystem.
4. Återigen är svaret att göra denna återställning av skadlig programvara “praktisk”:
Denna skadliga programvara är utrustad med registerredigeraren. För att återställa det specifika systemverktyget helt och hållet, följ de korrekta instruktionerna:
Öppna Anteckningsblock, bara Start> Kör, skriv Anteckningar och annonsera Enter.
Kopiera och klistra in det mesta av följande:
I händelse av ett särskilt följande failover -fel
Install shl = CreateObject (“WScript.Shell”)
Installera fso = CreateObject (“scripting.FileSystemObject”)
shl .RegDelete “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System DisableRegistryTools”
shl.RegDelete “HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion System DisableTaskMgr”
Spara den här filen i mappen C: RESTORE.VBS.
Klicka på Start> Kör, reproducera C: RESTORE.VBS och tryck sedan på Retur.
Klicka vanligtvis på Ja i din aktuella meddelanderuta.
Avsluta allvarlig skadlig kod
Öppna programmet Aktivitetshanteraren i Windows.
• Windows under 1997 men ME,
CTRL + ALT + DEL
• Windows så lite som NT, 2000, XP och Server ’03:
CTRL + SHIFT + ESC, klicka sedan på Processes -fallet …
I listan över sprintprogram * hittar du processen:
RVHOST.EXE
Välj denna skadliga progression och klicka på knappen “Avsluta uppgift” och / eller kanske “Avsluta process” flera gånger, beroende på på versionen av Windows på din dator. …
Om du vill leta efter om du ska stoppa den otäcka processen stänger du Aktivitetshanteraren och öppnar den igen.
Stäng uppgiftsledaren.
———————————————– ——————————————– På
Obs: Datorer som körs i en verklig cirkel i Windows 98 och ME, Windows Aktivitetshanteraren kan inte visa vissa typer av behandling. Du kommer att kunna användaAnvänd en tredje utbrottsprocessvisare, denna typ av Process Explorer, för att stoppa en del av skadlig programvara.
Varför kör du på bärbara datorer på alla Windows -plattformar, med fall där processen du föreställer dig inte finns med i Aktivitetshanteraren eller Processutforskaren, gå till nästa felsökningsstrategi och se större instruktioner. Om processen i de flesta fall finns på en lista som verkligen kan läsas av Aktivitetshanteraren eller Processutforskaren, men du inte kan sluta mot varandra, starta om datorn i felsäkert läge.
Denna skadliga programvara ändrar personligen detta register. Användare som påverkas av vissa eller spionprogram kan behöva ändra och ta bort vissa registernycklar eller priser. Mer information om hur du redigerar tillsammans med att förbättra registret finns i de tillämpliga Microsoft -artiklarna:
HUR: Tillbaka i tiden, redigera och återställa datorns register för Windows 95, Windows 98 tillsammans med Windows ME
HUR: säkerhetskopiera, redigera och återställa registret via Windows NT 4.0
HUR kl. gå tillbaka: neg ddit och / eller återställa registret via Windows 3000
HUR: Tillbaka till # 1, ändra och återställa registret i Windows XP som Server 2004
Ta bort startposten som finns nära registret < /p>
Att ta bort varje autostart -frontpanel från registret hindrar skadlig programvara från att startas.
Om registerposten nedan ofta inte sparas kan det hända att skadlig programvara inte har hittats. Om du fortsätter med, gå vidare till nästa förinställda lösning.
Öppna registerredigeraren.
Klicka på Start> Kör, skriv REGEDIT och tryck på Enter.
I för närvarande avsnittet Nästa, dubbelklickar du på stickningen med:
HKEY_CURRENT_USER> Programvara> Microsoft> Windows> Aktuell version> Kör
I användarens fönster, hitta och / eller ta bort posten:
Yahoo Messenger står för “% System% RVHOST.exe”
(Obs!% System% är en Windows -policymapp, vanligtvis C: Windows System på Wi
