July 13
Ylr.exe è un componente di diversi cavalli di Troia che visualizzano finestre di messaggio pop-up e modificare le impostazioni di sistema sui computer infetti che eseguono Windows 2000, Windows Server 2003, Windows Vista e Windows XP. Tra i Troiani che utilizzano questo particolare file DLL sono Frethog, Rolepi e Lineage APD. L'intero processo deve essere completato per rimuovere efficacemente il file DLL, o il Trojan verrà ricreare il file e riparare se stesso.
1 Eseguire il backup del Registro di sistema. Il registro di Windows contiene informazioni dettagliate su come il computer esegue. A causa la rimozione del virus richiede ampie modifiche al Registro di Windows tramite l'editor del registro, è importante eseguire il backup del registro prima di iniziare il processo di rimozione dei virus.
Per i computer infetti Windows Vista: Fare clic su \ "Start \." Type \ "systempropertiesprotection \" nella casella "Inizia ricerca \" \. Premete \ "Enter. \" Digitare la password, se richiesta e fare clic su \ "Consenti. \" Una volta che la più recente ripristinare la visualizzazione punti, andare alla \ "Proprietà del sistema \" finestra di dialogo della scheda \ "Protection System \" e fare clic su \ "Crea. \" Digitare il nome per il backup e fare clic \ "Create. \" Una volta che il backup è stato creato, fare clic su \ "OK \" due volte per uscire.
Per i computer infetti di Windows XP: Fare clic su \ "Start \" \ "Run, \" tipo \ "Windows \ system32 \ restore \ rstrui.exe \" e fare clic su \ "OK \". Selezionare un punto di ripristino nella pagina di benvenuto e clicca \ "Avanti \". Inserire il nome per il backup su Crea una pagina di ripristino punta e clicca \ "Create. \" una volta che il backup è stato creato, fare clic su \ "Chiudi. \"
Per infettati computer Windows 2000: Utilizzare l'utilità di backup per creare un disco di ripristino.
Per infettati computer Windows 95: Riavviare il computer in modalità provvisoria ed eseguire il login come amministratore. Premere il \ "F8 \" dopo il primo segnale acustico si verifica durante l'avvio, prima della visualizzazione del logo Microsoft Windows 95. Selezionare la prima opzione, per eseguire \ "Windows in modalità provvisoria \" dal menu di selezione. Fai clic su \ "Start \" \ "Run, \" tipo \ "cmd \" nella casella di testo e premere il tasto \ "Enter \". Al prompt dei comandi digitare le seguenti righe, premendo \ "ENTER \" dopo ogni riga:
cd windows
attrib -r -h -s system.dat
attrib -r -h -s user.dat
copia system.dat
.BU
copia user.dat .BU
Per i computer Windows 98 e Windows Me infetti: Fare clic su \ "Start \" \ "Run, \" tipo \ "scanregw \" e fare clic su \ "OK \". Fai clic su \ "Sì \" quando viene richiesto di eseguire il backup del Registro di sistema. Fai clic su \ "OK \" se viene confermato che il backup è completo.
Per i computer Windows NT infetti: Fare clic su \ "Start \" \ "Run, \" tipo \ "Ntbackup.exe \" e fare clic su \ "OK \" per utilizzare lo strumento di backup NT per eseguire il backup del Registro di sistema.
2 Disattivare Ripristino configurazione di sistema se il sistema operativo del computer infettato è o Windows Me o Windows XP.
Per disattivare Ripristino configurazione di sistema in Windows Me, fare clic \ "Start \" \ "Impostazioni \" \ "Pannello di controllo. \" Fare doppio clic sulla icona \ "Sistema \" e selezionare \ "File System \" dalla \ tab "Prestazioni \". Sinistro fare clic sulla scheda "Risoluzione dei problemi \" \ e controllare "Ripristino configurazione di sistema Disabilita \" la \ scatola. Fai clic su \ "OK \".
Per disattivare Ripristino configurazione di sistema in Windows XP, accedere come amministratore e cliccare su \ "Start. \" Tasto destro del mouse su \ "Risorse del computer \" e selezionare \ "Proprietà \" dal menu di scelta rapida. Controllare il \ "Disattiva Ripristino configurazione di sistema \" opzione per ogni unità sul \ "Ripristino configurazione di sistema \" scheda. Sinistro del mouse \ "si applicano \" e \ "sì \" per confermare quando richiesto. Fai clic su \ "OK \".
3 Riavviare il computer in modalità provvisoria ed eseguire il login come amministratore. Premere il \ "F8 \" dopo il primo segnale acustico si verifica durante l'avvio, prima della visualizzazione del logo Microsoft Windows. Selezionare la prima opzione per eseguire \ "Windows in modalità provvisoria \" dal menu di selezione.
4 Rimuovere tutti i file di programma dal computer. Vai a \ "Start \" \ "Pannello di controllo, \" \ "Add / Remove Programs. \" Rimuovi tutti i programmi che fanno riferimento \ "ylr.exe \" o \ "amvo.exe. \" Se nessuno è presente nell'elenco, continuano al punto 5. il malware non contiene i file nascosti che non possono essere eliminati come parte del processo di rimozione del software. In questo caso, è probabile che il Trojan verrà nuovamente al riavvio. E 'importante seguire completamente il processo di rimozione delineato per evitare il ripetersi del Trojan.
5 Utilizzare lo strumento di ricerca di Windows per determinare se \ "ylr.exe \" esiste sul disco rigido. Vai a \ "Start \" \ "Ricerca, \" \ "Tutti i file e le cartelle. \" Type \ "ylr.exe \" nel "tutto o parte del nome del file \" sezione \. Selezionare \ "Tutto Unità disco rigido locali \" dal \ "Cerca in: \" elenco a discesa per i migliori risultati. Fai clic su \ "ricerca \". Ripetere questa procedura per i seguenti file:
amvo.exe
avpo.exe
amva.exe
autorun.inf
6 Utilizzare il Task Manager di Windows per terminare tutti i processi ylr.exe in esecuzione. Premere il \ "Ctrl, \" \ "Alt \" e \ "Elimina \" per aprire Task Manager. Selezionare il \ "Processi \" scheda, selezionare \ e \ "ylr.exe \" Ripetere questi passaggi per i seguenti processi "Termina processo. \":
amvo.exe
avpo.exe
amva.exe
7 Clicca su \ "Start \" \ "Run, \" tipo \ "msconfig \" e premere il tasto \ "Enter. \" Rimuovi i segni di spunta accanto a una \ "\" ylr.exe voci sul \ scheda "Avvio \". Queste voci possono includere riferimenti a autorun.inf, amva.exe, amvo.exe, e avpo.exe. Salva le modifiche e tornare al desktop.
8 Fai clic su \ "Start \" \ "Esegui. \" Tipo "notepad \" nel campo di testo e premere il tasto \ "Enter. \" \ Si aprirà un documento di testo vuoto. Fai clic su \ "File, \" poi \ "Apri. \" Modificare la posizione elencata alla custodia della cartella il file autorun.inf (di solito il principale dell'unità specificata). Selezionare autorun.inf e cliccare su \ "Apri. \" Prendere nota del nome del file del file exe, bat o .com il file che lancia all'avvio.
9 Clicca su \ "Start \" \ "Run, \" tipo \ "regedit \" e premere il tasto \ "Enter. \" Press \ "Ctrl \" e \ "F, \" tipo \ "YLR \" nella ricerca campo e cancellare tutte le voci correlate. Ripetere questo processo per il nome del file che è stato riferito a lanciare nel autorun.inf, così come i seguenti termini:
amvo
avpo
AMVA
Quindi eliminare le seguenti voci:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServicesOnce
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run AMVA
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows
(Nel riquadro di destra, valore denominato \ "Run \" & \ "Load \")
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run AMVA
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServicesOnce
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Userinit
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb NextInstance
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb \ 0000 classe
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb \ 0000 ClassGUID
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb \ 0000 ConfigFlags
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb \ 0000 DeviceDesc
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb \ 0000 legacy
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb \ 0000 il servizio
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_zdfrty
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_zdfrty NextInstance
HKEY_LOCAL_MACHINE SYSTEM \ \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000
HKEY_LOCAL_MACHINE SYSTEM \ \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 classe
HKEY_LOCAL_MACHINE SYSTEM \ \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 ClassGUID
HKEY_LOCAL_MACHINE SYSTEM \ \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 ConfigFlags
HKEY_LOCAL_MACHINE SYSTEM \ \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 DeviceDesc
HKEY_LOCAL_MACHINE SYSTEM \ \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 legacy
HKEY_LOCAL_MACHINE SYSTEM \ \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 il servizio
HKEY_LOCAL_MACHINE SYSTEM \ \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 \ controllo
HKEY_LOCAL_MACHINE SYSTEM \ \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 \ controllo
newlycreated
HKEY_LOCAL_MACHINE SYSTEM \ \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 \ activeservice controllo
Fare doppio clic su HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Avanzate \ Folder \ Hidden \ SHOWALL e modificare la CheckedValue 0-1.
10 Clicca su \ "Start \" \ "Run, \" tipo \ "cmd \" e premere il tasto \ "Enter \" per accedere al prompt dei comandi e sproteggere i file che devono essere eliminati. Digitare \ "cd, \" premere il tasto "\ windows \ system \" barra spaziatrice e il tipo \ per accedere alla directory in cui i file DLL virus risiedono. Dal prompt dei comandi, digitare \ "attrib -a -s -h -r ylr.exe. \"
Ripetere questa procedura per ciascuna delle seguenti:
\ "Attrib -a -s -h -r 2kc.dll \"
\ "Attrib -a -s -h -r 3wcxx91.cmd \"
\ "Attrib -a -s -h -r amvo.exe \"
\ "Attrib -a -s -h -r avpo.exe \"
\ "Attrib -a -s -h -r amva.exe \"
\ "Attrib -a -s -h -r amvo0.dll \"
\ "Attrib -a -s -h -r amvo1.dll \"
\ "Attrib -a -s -h -r avpo.exe2kc.dll \"
\ "Attrib -a -s -h -r avpo0.dll \"
\ "Attrib -a -s -h -r dosocom.com \"
\ "Attrib -a -s -h -r help.exe.tmp \"
\ "Attrib -a -s -h -r nknem5p8.dll \"
\ "Attrib -a -s -h -r old10.tmp \"
\ "Attrib -a -s -h -r q8k4m7wy.dll \"
\ "Attrib -a -s -h -r tru32b.tmp \"
\ "Attrib -a -s -h -r v.com \"
\ "Attrib -a -s -h -r Vga.sys \"
\ "Attrib -a -s -h -r z2muafn9.dll \"
\ "Attrib -a -s -h -r C: \ autorun.inf \"
11 Tipo \ "regsvr32 / u 2kc.dll \" e premere \ "Enter \" per annullare la registrazione del file DLL virus. Ripetere questa procedura per i seguenti file DLL correlati:
2kc.dll
amvo0.dll
amvo1.dll
avpo.exe2kc.dll
avpo0.dll
nknem5p8.dll
q8k4m7wy.dll
z2muafn9.dll
12 Utilizzare lo strumento di ricerca di Windows per individuare e rimuovere tutti i file temporanei associati con il virus. Vai a \ "Start \" \ "Ricerca, \" \ "Tutti i file e le cartelle. \" Type \ "*. Tmp \" nel \ "tutto o parte del nome del file \" sezione. Selezionare \ "Tutto Unità disco rigido locali \" dal \ "Cerca in: \" elenco a discesa per i migliori risultati. Fai clic su \ "Ricerca. \" Fare clic destro su ogni occorrenza del file e selezionare \ "Elimina \" dal menu di scelta rapida. Ripetere il processo di rimozione per ciascuno dei seguenti file correlati.
ylr.exe
2kc.dll
3wcxx91.cmd
amvo.exe
avpo.exe
amva.exe
amvo0.dll
amvo1.dll
avpo.exe2kc.dll
avpo0.dll
dosocom.com
help.exe.tmp
nknem5p8.dll
old10.tmp
q8k4m7wy.dll
tru32b.tmp
v.com
Vga.sys
z2muafn9.dll
autorun.inf
13 Riavviare il PC normalmente.
14 Se ylr.exe risiede ancora sul computer, ripetere i passaggi precedenti o provare a utilizzare un programma di rimozione automatica libera da Trend Micro o AVG (vedi Risorse). Se i file sono stati rimossi con successo, Ripristino configurazione di sistema può essere riattivato. Per attivare Ripristino configurazione di sistema in Windows Me, fare clic \ "Start \" \ "Impostazioni \" e \ "Pannello di controllo. \" Fare doppio clic sul \ "System \" sull'icona e selezionare \ "File System \" dalla \ tab "Prestazioni \". Sinistro del mouse sulla scheda "Risoluzione dei problemi \" \ e rimuovere il segno di spunta dalla \ "Disattiva Ripristino configurazione di sistema \" scatola. Fai clic su \ "OK \". Per attivare Ripristino configurazione di sistema in Windows XP, accedere come amministratore e fare clic su \ "Start. \" Tasto destro del mouse su \ "Risorse del computer \" e selezionare \ "Proprietà \" dal menu di scelta rapida. Controllare il \ "Attiva Ripristino configurazione di sistema \" opzione per ogni unità sul "Ripristino configurazione di sistema \" \ tab. Sinistro del mouse \ "Applica \" e \ "Sì \" per confermare quando richiesto. Fai clic su \ "OK \".