Slik fjerner Ylr.Exe
Ylr.exe er en komponent av flere trojanske hester som viser pop-up melding bokser og endre systeminnstillinger på infiserte datamaskiner som kjører Windows 2000, Windows Server 2003, Windows Vista og Windows XP. Blant trojanere benytter denne DLL-filen er Frethog, Rolepi og Lineage APD. Hele prosessen må fullføres for å effektivt fjerne DLL-filen, eller den trojanske vil gjenskape filen og reparere seg selv.
Bruksanvisning
1 Sikkerhetskopiere registret. Windows-registeret inneholder omfattende informasjon om hvordan datamaskinen kjører. Fordi fjerning av viruset krever omfattende endringer i Windows-registeret via Registerredigering, er det viktig å sikkerhetskopiere registret før du begynner fjerningen viruset.
For infiserte datamaskiner med Windows Vista: Klikk på \ "Start \". Type \ "systempropertiesprotection \" i \ "Start søk \" boksen. Trykk på \ "Enter. \" Skriv inn passordet hvis du blir bedt om, og klikk \ "Tillat. \" Når de siste gjenopprettingspunkter display, gå til \ "System Properties \" dialogboksen på \ "System Protection \" og klikk \ "Opprett. \" Skriv navn for denne backup og klikk \ "Opprett. \" Når sikkerhetskopien er opprettet, klikker du \ "OK \" to ganger for å avslutte.
For infiserte Windows XP-datamaskiner: Klikk \ "Start \" \ "Run, \" type \ "Windows \ system32 \ restore \ rstrui.exe \" og klikk \ "OK \". Velg et gjenopprettingspunkt på velkomstsiden og klikk \ "Neste. \" Skriv inn navnet på sikkerhetskopien på Opprett et gjenopprettingspunkt og klikk \ "Opprett. \" Når sikkerhetskopien er opprettet, klikker du \ "Close. \"
For infiserte Windows 2000 maskiner: Bruke Sikkerhetskopi-verktøyet til å opprette en nødreparasjonsdiskett.
For infiserte datamaskiner med Windows 95: Start datamaskinen i sikkermodus og logg inn som administrator. Trykk på \ "F8 \" etter første pip oppstår under oppstart, før visningen av Microsoft Windows 95 logoen. Velg det første alternativet, å kjøre \ "Windows i sikkermodus \" fra valgmenyen. Klikk \ "Start \" \ "Run, \" type \ "cmd \" i tekstboksen og trykk \ "Enter \". Ved ledeteksten skriver du inn følgende linjer ved å trykke \ "Enter \" etter hver linje:
cd windows
attrib -r -h -s System.dat
attrib -r -h -s User.dat
kopi System.dat
.bu
kopi User.dat .bu
For infiserte Windows 98 og Windows Me datamaskiner: Klikk \ "Start \" \ "Run, \" type \ "scanregw \" og klikk \ "OK \". Klikk \ "Ja \" når du blir bedt om å sikkerhetskopiere registret. Klikk \ "OK \" når melding om at sikkerhetskopieringen er fullført.
For infiserte Windows NT-datamaskiner: Klikk \ "Start \" \ "Run, \" type \ "Ntbackup.exe \" og klikk \ "OK \" for å bruke NT Backup verktøy for å sikkerhetskopiere registret.
2 Slå av systemgjenoppretting hvis operativsystemet på den infiserte datamaskinen er enten Windows Me eller Windows XP.
For å slå av Systemgjenoppretting i Windows Me, klikker du på \ "Start \" \ "Settings \" \ "Control Panel. \" Dobbeltklikk på \ "System \" ikonet og velg \ "File System \" fra \ "Performance \" -kategorien. Venstre-klikk på \ tab "Feilsøking \" og sjekke \ "Deaktiver Systemgjenoppretting \" boksen. Klikk \ "OK. \"
For å slå av Systemgjenoppretting i Windows XP, må du logge på som administrator og klikk \ "Start. \" Høyreklikk på \ "Min datamaskin \" og velg \ "Properties \" fra hurtigmenyen. Sjekk \ "Slå av systemgjenoppretting \" alternativet for hver stasjon på \ "System Restore \" -fanen. Venstre-klikk \ "gjelder \" og \ "ja \" for å bekrefte når du blir bedt. Klikk \ "OK. \"
3 Start datamaskinen på nytt i sikkermodus og logg inn som administrator. Trykk på \ "F8 \" etter første pip oppstår under oppstart, før visningen av Microsoft Windows-logoen. Velg det første alternativet til å kjøre \ "Windows i sikkermodus \" fra valgmenyen.
4 Fjern eventuelle programfilene fra datamaskinen. Gå til \ "Start \" \ "Control Panel \" \ "Legg til / fjern programmer. \" Fjern eventuelle programmer refererer \ "ylr.exe \" eller \ "amvo.exe. \" Hvis ingen er oppført, kan du fortsette til trinn 5. malware program inneholder skjulte filer som ikke kan slettes som en del av fjerningen av programvaren. I dette tilfellet, er det sannsynlig at den trojanske vil dukke opp igjen ved omstart. Det er viktig å følge den skisserte fjerningen helt å unngå gjentakelse av den trojanske.
5 Bruk Windows Search verktøyet for å finne ut om \ "ylr.exe \" finnes på harddisken. Gå til \ "Start \" \ "Search, \" \ "Alle filer og mapper. \" Type \ "ylr.exe \" i \ "hele eller deler av filnavnet \" -delen. Velg \ "alle lokale harddisker \" fra \ "Look in: \" drop-down listen for de beste resultatene. Klikk på \ "Søk \". Gjenta denne prosessen for følgende filer:
amvo.exe
avpo.exe
amva.exe
autorun.inf
6 Bruk Windows Oppgavebehandling for å avslutte eventuelle ylr.exe prosesser som kjører. Trykk på \ "Ctrl, \" \ "Alt \" og \ "Slett \" for å åpne Oppgavebehandling. Velg \ "Prosesser \" -kategorien, velger du \ "ylr.exe \" og \ Gjenta disse trinnene for følgende prosesser "Avslutt prosess. \":
amvo.exe
avpo.exe
amva.exe
7 Klikk på \ "Start \" \ "Run, \" type \ "msconfig \" og trykk \ "Enter. \" Fjern merkingen ved siden av noen \ "ylr.exe \" oppføringer på \ "Startup \" fanen. Disse oppføringene kan inneholde referanser til autorun.inf, amva.exe, amvo.exe og avpo.exe. Lagre endringer og utgang til skrivebordet.
8 Klikk \ "Start \" \ "Run. \" Type \ "notepad \" i tekstfeltet og trykk \ "Enter. \" Dette vil åpne et tomt tekstdokument. Klikk \ "Fil \" og deretter \ "Open. \" Endre oppført plasseringen til mappen bolig autorun.inf fil (vanligvis roten av den angitte stasjonen). Velg autorun.inf og klikk \ "Open. \" Noter filnavnet på .exe, .bat eller .com-fil som starter ved oppstart.
9 Klikk på \ "Start \" \ "Run, \" type \ "regedit \" og trykk \ "Enter. \" Trykk på \ "Ctrl \" og \ "F \" type \ "ylr \" i søke felt og slette alle relaterte oppføringer. Gjenta denne prosessen for filnavnet som ble referert til lansering i autorun.inf, samt følgende vilkår:
amvo
avpo
AMVA
Deretter sletter følgende oppføringer:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \ RunOnce
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \ RunServices
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \ RunServicesOnce
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \ Policies \ Explorer \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \ Run AMVA
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ Currentversion \ Windows
(I høyre ruten, verdi kalt \ "Run \" og \ "Load \")
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \ Run AMVA
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ Currentversion \ Run
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ Currentversion \ RunServices
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ Currentversion \ RunServicesOnce
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ Currentversion \ RunOnce
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ Currentversion \ RunOnceEx
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ Currentversion \ Policies \ Explorer \ Run
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ Currentversion \ Winlogon \ Userinit
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb nextinstance
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb \ 0000 klasse
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb \ 0000 classguid
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb \ 0000 configflags
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb \ 0000 DeviceDesc
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb \ 0000 arven
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb \ 0000 tjeneste
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_zdfrty
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_zdfrty nextinstance
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 klasse
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 classguid
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 configflags
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 DeviceDesc
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 arven
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 tjeneste
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 \ kontroll
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 \ kontroll
newlycreated
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 \ kontroll activeservice
Dobbeltklikk på HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Currentversion \ Explorer \ Advanced \ mappe \ Hidden \ showall og endre CheckedValue 0-1.
10 Klikk på \ "Start \" \ "Run, \" type \ "cmd \" og trykk \ "Enter \" for å få tilgang til ledeteksten og oppheve alle filer som må slettes. Type \ "cd \" trykk på mellomromstasten og skriv \ "\ windows \ system \" for å få tilgang til katalogen der viruset DLL-filer bor. Fra ledeteksten skriver \ "attrib -a -s -h -r ylr.exe. \"
Gjenta denne prosessen for hver av følgende:
\ "Attrib -a -s -h -r 2kc.dll \"
\ "Attrib -a -s -h -r 3wcxx91.cmd \"
\ "Attrib -a -s -h -r amvo.exe \"
\ "Attrib -a -s -h -r avpo.exe \"
\ "Attrib -a -s -h -r amva.exe \"
\ "Attrib -a -s -h -r amvo0.dll \"
\ "Attrib -a -s -h -r amvo1.dll \"
\ "Attrib -a -s -h -r avpo.exe2kc.dll \"
\ "Attrib -a -s -h -r avpo0.dll \"
\ "Attrib -a -s -h -r dosocom.com \"
\ "Attrib -a -s -h -r help.exe.tmp \"
\ "Attrib -a -s -h -r nknem5p8.dll \"
\ "Attrib -a -s -h -r old10.tmp \"
\ "Attrib -a -s -h -r q8k4m7wy.dll \"
\ "Attrib -a -s -h -r tru32b.tmp \"
\ "Attrib -a -s -h -r v.com \"
\ "Attrib -a -s -h -r Vga.sys \"
\ "Attrib -a -s -h -r z2muafn9.dll \"
\ "Attrib -a -s -h -r C: \ autorun.inf \"
11 Type \ "regsvr32 / u 2kc.dll \" og trykk \ "Enter \" for å avregistrere viruset DLL-filen. Gjenta denne prosessen for følgende tilknyttede DLL-filer:
2kc.dll
amvo0.dll
amvo1.dll
avpo.exe2kc.dll
avpo0.dll
nknem5p8.dll
q8k4m7wy.dll
z2muafn9.dll
12 Bruk Windows Search verktøyet for å finne og fjerne alle midlertidige filer knyttet til viruset. Gå til \ "Start \" \ "Search, \" \ "Alle filer og mapper. \" Type \ "*. Tmp \" i \ "hele eller deler av filnavnet \" -delen. Velg \ "alle lokale harddisker \" fra \ "Look in: \" drop-down listen for de beste resultatene. Klikk på \ "Search. \" Høyreklikk på hver forekomst av filen og velg \ "Slett \" fra hurtigmenyen. Gjenta fjerningen for hver av de følgende relaterte filer.
ylr.exe
2kc.dll
3wcxx91.cmd
amvo.exe
avpo.exe
amva.exe
amvo0.dll
amvo1.dll
avpo.exe2kc.dll
avpo0.dll
dosocom.com
help.exe.tmp
nknem5p8.dll
old10.tmp
q8k4m7wy.dll
tru32b.tmp
v.com
Vga.sys
z2muafn9.dll
autorun.inf
1. 3 Start PC som normalt.
14 Hvis ylr.exe fortsatt ligger på datamaskinen, gjenta trinnene ovenfor eller prøv å bruke et gratis automatisk fjerning program fra Trend Micro eller AVG (se Ressurser). Hvis filene har blitt fjernet, Systemgjenoppretting kan reaktiveres. Slik slår du på Systemgjenoppretting i Windows Me, klikker du på \ "Start \" \ "Settings \" og \ "Control Panel. \" Dobbeltklikk på \ "System \" ikonet og velg \ "File System \" fra \ "Performance \" -kategorien. Venstre-klikk på \ tab "Feilsøking \" og fjerne merket fra \ "Deaktiver Systemgjenoppretting \" boksen. Klikk \ "OK \". Slik slår du på Systemgjenoppretting i Windows XP, må du logge på som administrator og klikk \ "Start. \" Høyreklikk på \ "Min datamaskin \" og velg \ "Properties \" fra hurtigmenyen. Sjekk \ "Slå på System Restore \" alternativet for hver stasjon på \ "System Restore \" -fanen. Venstre-klikk \ "Apply \" og \ "Ja \" for å bekrefte når du blir bedt. Klikk \ "OK. \"
Hint
- Manuell fjerning av ylr.exe kan være vanskelig som fjerningen krever kunnskap om operativsystemet ledeteksten og Registerredigering. I tillegg forskjellige versjoner av denne malware endre navn på og flytte ulike fil komponenter. Hvis ikke utføres riktig, kan datasystemet oppleve permanent skade. Det finnes også lignende navn programmer som legitimt kan bruke lignende navn programfiler. Derfor kan manuell fjerning være best for erfarne brukere. Mindre erfarne brukere vil kanskje vurdere å bruke en automatisk spyware fjerning program, for eksempel det som tilbys av Trend Micro eller AVG.