Jump to content

Rvhost.exe


Recommended Posts

Дустлар! Менда бир камчилик бор,менда эмас компьютерда.RVHOST.exe деган файлни юкотиб куйдим

Унга вирус тушибди .Олиб ташладим. Ана энди компьютерни ишга туширган вактимда уни топиб бергин деган сузлар ёзилади .Кимда шу нарса булса ёрдам килишингизни илтимос киламан

Link to comment
Share on other sites

Технические детали

 

Червь, создающий свои копии на локальных дисках и доступных для записи сьемных носителях. Является приложением Windows (PE EXE-файл). Упакован при помощи UPX. Размер зараженных файлов варьируется в пределах от 220 до 275 КБ.

 

Инсталляция

При запуске червь копирует свой исполняемый файл в системный и корневой каталоги Windows:

 

%WinDir%\RVHOST.exe

%System%\RVHOST.exe

Для автоматического запуска при каждом следующем старте системы червь добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра:

 

 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

"Yahoo Messengger" = "%System%\RVHOST.exe"

 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

Shell = "Explorer.exe RVHOST.exe"

 

Распространение

Червь копирует свой исполняемый файл в корень доступных для записи съемных дисков под следующим именем:

 

New Folder.exe

Также червь рекурсивно копирует свой исполняемый файл во все папки на съемных дисках. Файлы-копии червя имеют имена, соответствующие именам папок, в которых они находятся, и расширение «.exe».

 

Деструктивная активность

 

Червь создает следующие параметры в ключе реестра:

 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]

DisableRegistryTools = 1

DisableTaskMgr = 1

Таким образом он блокирует запуск редактора реестра и «Диспетчера задач».

 

Также червь завершает процессы некоторых антивирусных программ и сетевых экранов.

 

Рекомендации по удалению

 

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

 

Завершить процесс червя, выполнив в командной строке следующую команду:

taskkill /IM RVHOST.exe

Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

Выполнить следующие команды в командной строке для включения редактора реестра и «Диспетчера задач»:

reg delete

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr

reg delete

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools

На запрос о подтверждении удаления параметров ответить "Y" и нажать Enter.

 

Удалить значение ключа системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

"Yahoo Messengger" = "%System%\RVHOST.exe"

Восстановить измененное значение ключа реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

Shell = "Explorer.exe"

Удалить файлы:

%WinDir%\RVHOST.exe

%System%\RVHOST.exe

Удалить все копии червя со съемных дисков.

Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Link to comment
Share on other sites

вирус сизга флешка оркали келган булиши керак

 

флешкани компга улаганингизда экранда окно пайдо булади шу окнода ОК кнопкасини боссангиз вирус автоматик равишда компга утади ва уз вазифасини бажаради

 

юкоридаги курсатмалар жуда аниклик билан ёзилган

курсатмалар кетма кетлигига риоя килсангиз вирусни йукотасиз

 

менга ишим жараенида кунига 15 тача флешкада информация келтиришади шулардан 5 тасида юкорида курсатилган вирусларнинг клонлари келади. тозалаб юборганим билан улар бошка комплардан яна вирус олиб келади.

Link to comment
Share on other sites

вирус сизга флешка оркали келган булиши керак

 

флешкани компга улаганингизда экранда окно пайдо булади шу окнода ОК кнопкасини боссангиз вирус автоматик равишда компга утади ва уз вазифасини бажаради

 

юкоридаги курсатмалар жуда аниклик билан ёзилган

курсатмалар кетма кетлигига риоя килсангиз вирусни йукотасиз

 

менга ишим жараенида кунига 15 тача флешкада информация келтиришади шулардан 5 тасида юкорида курсатилган вирусларнинг клонлари келади. тозалаб юборганим билан улар бошка комплардан яна вирус олиб келади.

 

А чтобы этой проблемы небыло надо просто антивирус держать включеным., и надо сказать знакомым чтобы они очистили комп от вирусов
Link to comment
Share on other sites

А чтобы этой проблемы небыло надо просто антивирус держать включеным., и надо сказать знакомым чтобы они очистили комп от вирусов

антивирус включеный

 

купинча вируслар банк ва хокимият компларидан келади. уларда компларни назорат килувчи техниклар йуклиги сабабдир.

Link to comment
Share on other sites

  • 2 months later...

После удаление некоторых вирусов исчезнет "Свойства папки" на вкладке "Сервис" в "Мой компьютер". Как восстановить это?

Ещё при двойном клике на логических дисках появиться ошибка "не найден Copy.exe". Открыть можно через правую кнопку мышь и как эту исправить?

Link to comment
Share on other sites

Ещё при двойном клике на логических дисках появиться ошибка "не найден Copy.exe". Открыть можно через правую кнопку мышь и как эту исправить?

 

Установите FarManager или-же используйте какойнибудь Volcov Commander. Идёте в корень лиска c:\ и удаляете файл autorun.inf
Link to comment
Share on other sites

  • 3 months later...

После удаление некоторых вирусов исчезнет "Свойства папки" на вкладке "Сервис" в "Мой компьютер". Как восстановить это?

Ещё при двойном клике на логических дисках появиться ошибка "не найден Copy.exe". Открыть можно через правую кнопку мышь и как эту исправить?

 

pusk+vipolnit. keyin "gpedit.msc" buyrug'ini bering,keyin konfg.polzov+komponent wind.+provodnik+udalit komandu "Svoystva papki" iz menyu "Servis" ishga tushiriladi, keyin vklyuchen+primenit keyin otklyuchen primenit.

 

gpedit.msc bu sohada sistemani boshqa sohalarini ham o'zgartirish mumkin

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...

Important Information

Читаем Terms of Use