October 16
Mgrs.exe è un componente del adware Trojan-Downloader.Win32.Alphabet, Trojan.Downloader.Contravirus, W32.Malware.gen e Vundo che risiede in genere nella cartella Windows o Windows \ System. E 'di solito si sviluppa durante la navigazione web, che colpisce i sistemi di esecuzione sotto Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT e Windows XP.
1 Il registro di Windows contiene informazioni dettagliate su come il computer esegue. A causa la rimozione del virus richiede ampie modifiche al Registro di sistema di Windows tramite il Registro di sistema, è importante eseguire il backup del Registro di sistema prima di rimuovere il virus. Per i computer infetti Windows Vista: Fare clic su \ "Start \." Type \ "systempropertiesprotection \" nella casella "Inizia ricerca \" \. Premete \ "Enter. \" Digitare la password, se richiesta e fare clic su \ "Consenti. \" Una volta che la più recente ripristinare la visualizzazione punti, andare alla sezione "Proprietà \ System" finestra di dialogo \ sul \ "Protection System \" e fare clic \ "Crea. \" Digitare il nome per il backup e fare clic \ "Create. \" Una volta che il backup è stato creato, fare clic su \ "OK \" due volte per uscire.
Per i computer infetti di Windows XP: Fare clic su \ "Start \", \ "Run \", tipo \ "Windows \ system32 \ restore \ rstrui.exe \", e cliccare su \ "OK \". Selezionare un punto di ripristino nella pagina di benvenuto e fare clic su \ "Avanti \". Inserire il nome per il backup su Crea una pagina di punto di ripristino e fare clic su \ "Crea \". Una volta che il backup è stato creato, fare clic su \ "Chiudi \".
Per infettati computer Windows 2000: Utilizzare l'utilità di backup per creare un disco di ripristino.
Per infettati computer Windows 95: Riavviare il computer in modalità provvisoria ed eseguire il login come amministratore. Premere il \ "F8 \" dopo il primo segnale acustico si verifica durante l'avvio, prima della visualizzazione del logo Microsoft Windows 95. Selezionare la prima opzione, per eseguire \ "Windows in modalità provvisoria \" dal menu di selezione. Fai clic su \ "Start \", \ "Run \", tipo \ "cmd \" nella casella di testo e premere il tasto \ "Enter \". Al prompt dei comandi digitare le seguenti righe, premendo INVIO dopo ogni riga:
cd windows
attrib -r -h -s system.dat
attrib -r -h -s user.dat
copia system.dat
.BU
copia user.dat .BU
Per i computer Windows 98 e Windows Me infetti: Fare clic su \ "Start \", \ "Run \", tipo \ "scanregw \", e cliccare su \ "OK \". Fai clic su \ "Sì \" quando viene richiesto di eseguire il backup del Registro di sistema. Fai clic su \ "OK \" se viene confermato che il backup è completo.
Per i computer Windows NT infetti: Fare clic su \ "Start \", \ "Run \", tipo \ "Ntbackup.exe \" e fare clic su \ "OK \" per utilizzare lo strumento di backup NT per eseguire il backup del Registro di sistema.
2 Se il sistema operativo del computer infetto è o Windows Me o Windows XP, disattivare Ripristino configurazione di sistema durante questa correzione è in corso di attuazione. Per disattivare Ripristino configurazione di sistema in Windows Me, fare clic \ "Start \" \ "Impostazioni \" e \ "Pannello di controllo. \" Fare doppio clic sul \ "System \" sull'icona e selezionare \ "File System \" dalla \ tab "Prestazioni \". Sinistro fare clic sulla scheda "Risoluzione dei problemi \" \ e controllare "Ripristino configurazione di sistema Disabilita \" la \ scatola. Fare clic su Ripristino \ System "OK. \" Per disattivare in Windows XP, accedere come amministratore e fare clic su \ "Start. \" Tasto destro del mouse su \ "Risorse del computer, \" e selezionare \ "Proprietà \" dal collegamento Menu. Controllare il \ "Disattiva Ripristino configurazione di sistema \" opzione per ogni unità sul \ "Ripristino configurazione di sistema \" scheda. Sinistro del mouse \ "si applicano \" e \ "sì \" per confermare quando richiesto. Fai clic su \ "OK \".
3 Riavviare il computer in modalità provvisoria ed eseguire il login come amministratore. Premere il \ "F8 \" dopo il primo segnale acustico durante l'avvio, prima della visualizzazione del logo Microsoft Windows. Selezionare la prima opzione, per eseguire \ "Windows in modalità provvisoria \" dal menu di selezione.
4 Rimuovere tutti i file di programma dal computer. Vai a \ "Start \" \ "Pannello di controllo, \" \ "Add / Remove Programs. \" Rimuovi tutti i programmi riferimento \ "Mgrs.exe, \" \ "Trojan-Downloader.Alphabet.gen, \" \ " Trojan.Downloader.Contravirus \ "o \" adware Vundo \ ". Se non indicato, passare alla Fase 5.
5 Utilizzare lo strumento di ricerca di Windows per determinare se \ "Mgrs.exe \" esiste sul disco rigido. Vai a \ "Start \" \ "Ricerca, \" \ "Tutti i file e le cartelle. \" Type \ "Mgrs.exe \" nel "tutto o parte del nome del file \" sezione \. Selezionare \ "Tutto Unità disco rigido locali \" dal \ "Cerca in: \" elenco a discesa per i migliori risultati. Fare clic su \ "ricerca \". Ripetere questo processo per \ "Trojan.Downloader.Contravirus \", \ "Trojan-Downloader.Alphabet.gen \" e \ "Vundo \".
6 Utilizzare il Task Manager di Windows per terminare tutti i processi Mgrs.exe in esecuzione. Premere il \ "Ctrl + Alt + Canc \" per aprire Task Manager. Fai clic su \ "Mgrs.exe \" entro i \ "Processi \" scheda e fare clic su \ "Termina processo \". Individuare e rimuovere i seguenti processi aggiuntivi:
avp.exe
main_uninstaller.exe
rzfum.exe
mgrs.exe
dmrua.exe
qacodebv.exe
bjzkaa.exe
tconcbiA.exe
nkdsregj.exe
pwinnndt.exe
mmdsregr.exe
xpuupdate.exe
msdsregl.exe
7 Clicca su \ "Start \" \ "Run, \" tipo \ "msconfig \" e premere \ "Enter. \" Rimuovere i segni di spunta accanto ad ogni \ "Mgrs.exe \" o \ "voci avp.exe \" sulla scheda \ "avvio \". Salva le modifiche e tornare al desktop.
8 Clicca su \ "Start \" \ "Run, \" tipo \ "regedit \" e premere il tasto \ "Enter. \" Press \ "Ctrl + F, \" tipo \ "Mgrs.exe \" nel campo di ricerca e eliminare tutte le voci correlate. Ripetere la ricerca di \ "avp.exe \" e rimuovere tutte le voci correlate. Quindi eliminare le seguenti voci:
HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMainActiveState
HKEY_LOCAL_MACHINESOFTWAREClassesATLEvents.ATLEvents.1
HKEY_LOCAL_MACHINESOFTWAREClassesATLEvents.ATLEvents
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
[nome del file]
HKEY_CURRENT_USER SoftwareMicrosoftInternet ExplorerMainActive StateHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce WinLogon
HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows CurrentVersionExplorerBrowser Helper Object {} 8109AF33-6949-4833-8881-43DCC232B7B2
HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows CurrentVersionExplorerBrowser Helper Object {2316230A-C89C-4BCC-95C2-66659AC7A775}
HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows CurrentVersionExplorerBrowser Helper Object {02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
HKEY_LOCAL_MACHINE SOFTWAREClassesCLSID {02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
HKEY_LOCAL_MACHINE SOFTWAREClassesATLEvents.ATLEvents.1
SOFTWAREClassesATLEvents.ATLEvents HKEY_LOCAL_MACHINE
HKEY_CLASSES_ROOTCLSID {} 8109AF33-6949-4833-8881-43DCC232B7B2
HKEY_CLASSES_ROOTCLSID {2316230A-C89C-4BCC-95C2-66659AC7A775}
HKEY_LOCAL_MACHINE SoftwareMicrosoftWindows CurrentVersionRunOnce [nome del file]
HKEY_CURRENT_USER SoftwareMicrosoftWindows CurrentVersionRunOnce WinLogon
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ cbxvssp
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFY \ ljjgdab
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ xxyayya
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFY \ mljhecd
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ hdjjvzjr
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ uwvgphkfjfvy
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ efcbyab
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ xxyyy
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ xxwxxur
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ jkkijii
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ khfgebc
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ efcywxu
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ wvuroll
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFY \ ssqpomm
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ yayyaxu
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ tuvtrol
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ khhef
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ ljjgfgh
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFY \ iagjosnjltoh
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ xromsipfofty
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ iifdddb
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFY \ efcaayy
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ hggdayy
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ khfefdb
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ yayxyyx
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ znryvmcf
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ cbxusrr
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ byxyvtq
Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\3578CC4F-0E1F-445E-8072-E78435C71001
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ cbxxwur
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ jkhfc
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ mojhmhbfvstg
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ icrakkkgpmts
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ rqrssst
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ rqrpopq
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ khfcdee
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ khfedcb
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ sstqo
Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ qomnkif
SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ nnnnmmj
SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ khhgd
SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ sstqn
SOFTWARE Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFY \ rqronol \
SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ byxvvsq
SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ svssmvc
SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ byxvssq
SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ NOTIFICA \ winndy32
9 Clicca su \ "Start \" \ "Run, \" tipo \ "cmd \" e premere il tasto \ "Enter \" per accedere al prompt dei comandi e annullare la registrazione tutti i file DLL correlati. Digitare \ "cd, \" premere la barra spaziatrice e il tipo di \ "\ Windows \ System \" per accedere alla directory in cui i file DLL virus risiedono. Tipo \ "regsvr32 / u Trojan.Downloader.Contravirus.dll \" e premere \ "Enter \" per annullare la registrazione del file DLL virus. Ripetere questa procedura per i seguenti file DLL correlati:
SetupRam.dll
PrxSys.dll
PrxWin.dll
ServiceDrv.dll
vzbb.dll
cbxvssp.dll
advrepkon.dll
ljjgdab.dll
xxyayya.dll
ntspknlg.dll
mljhecd.dll
hookdllX.dll
efcbyab.dll
xxyyy.dll
l3acdb.dll
jkkijii.dll
khfgebc.dll
wvuroll.dll
ssqpomm.dll
qomjhef.dll
byxusss.dll
yayyaxu.dll
tuvtrol.dll
khhef.dll
ljjgfgh.dll
reginix86d.dll
tmp52.tmp.dll
khfefdb.dll
yayxyyx.dll
nsc133.dll
cbxusrr.dll
byxyvtq.dll
cbxxwur.dll
jkhfc.dll
j9251434.dll
qomnkif.dll
khfcdee.dll
winndy32.dll
khhgd.dll
svssmvc.dll
ljjkhge.dll
secieaddin.dll
efcywxu.dll
gbiehabn.dll
xpupdate.dll
10 Utilizzare lo strumento di ricerca di Windows per individuare e rimuovere tutti i file temporanei associati con il worm. Vai a \ "Start \" \ "Ricerca, \" \ "Tutti i file e le cartelle. \" Type \ "*. Tmp \" nel \ "tutto o parte del nome del file \" sezione. Selezionare \ "Tutto Unità disco rigido locali \" dal \ "Cerca in: \" elenco a discesa per i migliori risultati. Fai clic su \ "Ricerca. \" Fare clic destro su ogni occorrenza del file e selezionare \ "Elimina \" dal menu di scelta rapida. Ripetere il processo di rimozione per i seguenti eventuali componenti aggiuntivi:
SetupRam.dll
PrxSys.dll
PrxWin.dll
16sv.exe
ServiceDrv.dll
lsass.exe
lsass.exe
win22B.tmp.exe
avp.exe
vzbb.dll
main_uninstaller.exe
rzfum.exe
mgrs.exe
dmrua.exe
qacodebv.exe
bjzkaa.exe
tconcbiA.exe
nkdsregj.exe
pwinnndt.exe
mmdsregr.exe
xpuupdate.exe
msdsregl.exe
cbxvssp.dll
advrepkon.dll
ljjgdab.dll
xxyayya.dll
ntspknlg.dll
mljhecd.dll
main_uninstaller.exe
hookdllX.dll
efcbyab.dll
xxyyy.dll
l3acdb.dll
jkkijii.dll
khfgebc.dll
kihmacmA
dbdagzcA
wvuroll.dll
ssqpomm.dll
SystemOptimizer
qomjhef.dll
byxusss.dll
rzfum.exe
rzfu
yayyaxu.dll
tuvtrol.dll
khhef.dll
ljjgfgh.dll
smgr
mgrs.exe
reginix86d.dll
tmp52.tmp.dll
khfefdb.dll
yayxyyx.dll
dmrua.exe
qacodebv.exe
nsc133.dll
cbxusrr.dll
byxyvtq.dll
DDC
bjzkaa.exe
cbxxwur.dll
jkhfc.dll
tconcbiA.exe
tconcbiA
j9251434.dll
j9251434
qomnkif.dll
khfcdee.dll
nkdsregj.exe
pwinnndt.exe
mmdsregr.exe
icq.com
SecurityUpdate
GPLv3
xpuupdate.exe
winndy32.dll
khhgd.dll
svssmvc.dll
ljjkhge.dll
secieaddin.dll
efcywxu.dll
gbiehabn.dll
msdsregl.exe
xpupdate.dll
17-77-74-45-ZN
SoundService
FC-CE-EA-A0-ZN
Windows Update Svc
j5221234
ApachInc
j1251831 Rundll32
genuino
Di Windows Updater Servc
11 Riavviare il PC normalmente.
12 Se Mgrs.exe risiede ancora sul computer, ripetere i passaggi precedenti o provare a utilizzare un programma di rimozione automatica libera da Trend Micro o AVG elencati nella sezione di riferimento di seguito. Se i file sono stati rimossi con successo, Ripristino configurazione di sistema può essere riattivato. Per attivare Ripristino configurazione di sistema in Windows Me, fare clic \ "Start \" \ "Impostazioni \" e \ "Pannello di controllo. \" Fare doppio clic sul \ "System \" sull'icona e selezionare \ "File System \" dalla \ tab "Prestazioni \". Sinistro del mouse sulla scheda "Risoluzione dei problemi \" \ e rimuovere il segno di spunta dalla \ "Disattiva Ripristino configurazione di sistema \" scatola. Fai clic su \ "OK \". Per attivare Ripristino configurazione di sistema in Windows XP, accedere come amministratore e fare clic su \ "Start. \" Tasto destro del mouse su \ "Risorse del computer \" e selezionare \ "Proprietà \" dal menu di scelta rapida. Controllare il \ "Attiva Ripristino configurazione di sistema \" opzione per ogni unità sul "Ripristino configurazione di sistema \" \ tab. Sinistro del mouse \ "Applica \" e \ "Sì \" per confermare quando richiesto. Fai clic su \ "OK \".