Türkiye'nin en güncel forumlardan olan forumdas.com.tr'de forumda aktif ve katkısı olabilecek kişilerden gönüllü katkıda sağlayabilecek kişiler aranmaktadır.
'RVHOSTexe'windows tarafından bulunamıyorismi doğru yazdığınızdan emin olup yeniden arayınaramak icin başlat duğmesini tıklayıp Ara'yı tıklatın her bılgısayarı acınca bu cıkıyor ne yapmalıyım
Bu solucan, yerel diskler ve yazılabilir, ulaşılabilir cıkarılabilen diskler uzerine kendini kopyalayarak oluşur Windows PE formatındaki exe uzantılı bir dosyadır ve upx ile pack edilmiştir Virusun enfekte ettiği dosya 220 KB den 275 KB arasında değişiyor
Kurulum:
Sisteme yerleştiği zaman, Windows sistem klasorunde ve acılış klasorunde aşağıdaki dosyaları oluşturur
%WinDir%\RVHOSTexe
%System%\RVHOSTexe
Sistem başlatıldığında otomatik olarak başlamak icin, solucan kayıt defterinde calıştırılabilir bir dosyaya aşağıdaki linki ekler
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Yahoo Messengger %System%\RVHOSTexe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
“Shell Explorerexe RVHOSTexe
Yayılma:
Worm, tum cıkarılabilir disklerin acılışlarında calıştırılmak uzere aşağıda belirtilen dosyayı kopyalar
New Folderexe
Ve birde cıkarılabilir disklere calıştırılabilir bir dosyayı tum klasorlere tekrarlayarak kopyalar Wormun bu kopyalaması klasorlerle aynı adı taşıyan exe uzantılı bir dosya iledir
Zarar:
Worm, kayıt defterinde aşağıdaki anahtar parametrelerini oluşturur
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools 1
DisableTaskMgr 1
Bu kayıttan sonra registry araclarının calışmasını ve gorev yoneticisinin calışmasını engelleyecektir
Temizleme:
Sisteminizdeki antivirus yazılımı varsa update yapın yada KAV antivirusu sisteminize kurun Eğer herhangi bir yazılım yuklu değil ise manual olarak temizlemek icin aşağıdaki işlemleri yapın
1 Başlat Calıştır cmd yazın ve komut satırına aşağıda belirtilen komutu yazın ve arka planda calışan dosyanın calışmasını durdurun
taskkill IM RVHOSTexe
2 Orijinal worm dosyasını silin
3 Ve gene komut satırına aşağıdaki registry kayıtları ile ilgili komutları girin ve kayıt defterinden calışması engellenen gorev yoneticisi ve calıştırılmayan registry araclarının tekrar calıştırılmasını sağlayın
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Systemv DisableTaskMgr
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System v
DisableRegistryTools
4 Gelen uyarıya ‘Y ’ tuşu ile onay verin
5 Aşağıdaki registry kaydını silin
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Yahoo Messengger %System%\RVHOSTexe
6 Aşağıdaki değişitirilmiş registry anahtarını aşağıdaki şekilde olan eski haline getirin
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell Explorerexe
7 Aşağıdaki dosyaları silin
%WinDir%\RVHOSTexe
%System%\RVHOSTexe
8 Cıkarılabilir disklerdeki worm tarafından oluşturulan tum dosyaları silin
9 Antivirus yazılımınızı update yapın ve sistemi tekrar taratın
Msconfig e girerek başlangıc sekmesinden rvhostexe yi kaldırın
Bu solucan, yerel diskler ve yazılabilir, ulaşılabilir cıkarılabilen diskler uzerine kendini kopyalayarak oluşur Windows PE formatındaki exe uzantılı bir dosyadır ve upx ile pack edilmiştir Virusun enfekte ettiği dosya 220 KB den 275 KB arasında değişiyor
Kurulum:
Sisteme yerleştiği zaman, Windows sistem klasorunde ve acılış klasorunde aşağıdaki dosyaları oluşturur
%WinDir%\RVHOSTexe
%System%\RVHOSTexe
Sistem başlatıldığında otomatik olarak başlamak icin, solucan kayıt defterinde calıştırılabilir bir dosyaya aşağıdaki linki ekler
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Yahoo Messengger %System%\RVHOSTexe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
“Shell Explorerexe RVHOSTexe
Yayılma:
Worm, tum cıkarılabilir disklerin acılışlarında calıştırılmak uzere aşağıda belirtilen dosyayı kopyalar
New Folderexe
Ve birde cıkarılabilir disklere calıştırılabilir bir dosyayı tum klasorlere tekrarlayarak kopyalar Wormun bu kopyalaması klasorlerle aynı adı taşıyan exe uzantılı bir dosya iledir
Zarar:
Worm, kayıt defterinde aşağıdaki anahtar parametrelerini oluşturur
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools 1
DisableTaskMgr 1
Bu kayıttan sonra registry araclarının calışmasını ve gorev yoneticisinin calışmasını engelleyecektir
Temizleme:
Sisteminizdeki antivirus yazılımı varsa update yapın yada KAV antivirusu sisteminize kurun Eğer herhangi bir yazılım yuklu değil ise manual olarak temizlemek icin aşağıdaki işlemleri yapın
1 Başlat Calıştır cmd yazın ve komut satırına aşağıda belirtilen komutu yazın ve arka planda calışan dosyanın calışmasını durdurun
taskkill IM RVHOSTexe
2 Orijinal worm dosyasını silin
3 Ve gene komut satırına aşağıdaki registry kayıtları ile ilgili komutları girin ve kayıt defterinden calışması engellenen gorev yoneticisi ve calıştırılmayan registry araclarının tekrar calıştırılmasını sağlayın
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Systemv DisableTaskMgr
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System v
DisableRegistryTools
4 Gelen uyarıya ‘Y ’ tuşu ile onay verin
5 Aşağıdaki registry kaydını silin
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Yahoo Messengger %System%\RVHOSTexe
6 Aşağıdaki değişitirilmiş registry anahtarını aşağıdaki şekilde olan eski haline getirin
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell Explorerexe
7 Aşağıdaki dosyaları silin
%WinDir%\RVHOSTexe
%System%\RVHOSTexe
8 Cıkarılabilir disklerdeki worm tarafından oluşturulan tum dosyaları silin
9 Antivirus yazılımınızı update yapın ve sistemi tekrar taratın
Msconfig e girerek başlangıc sekmesinden rvhostexe yi kaldırın
