Comment faire pour supprimer Ylr.Exe

March 19

Ylr.exe est un composant de plusieurs chevaux de Troie qui affichent des boîtes de message pop-up et de modifier les paramètres du système sur les ordinateurs infectés exécutant Windows 2000, Windows Server 2003, Windows Vista et Windows XP. Parmi les chevaux de Troie utilisant ce fichier DLL particulier sont Frethog, Rolepi et Lineage APD. L'ensemble du processus doit être complété pour éliminer efficacement le fichier DLL, ou le cheval de Troie de recréer le fichier et de se réparer.

Instructions

1 Sauvegardez le Registre. Le Registre Windows contient des informations détaillées sur la façon dont votre ordinateur fonctionne. Parce que l'élimination du virus exige d'importantes modifications au Registre Windows via l'éditeur de registre, il est important de sauvegarder le registre avant de commencer le processus de suppression de virus.
Pour infectés ordinateurs Windows Vista: Cliquez sur \ "Démarrer \". Tapez \ "systempropertiesprotection \" dans la boîte "Rechercher \" \. Appuyez sur \ "Entrez. \" Tapez le mot de passe si vous y êtes invité et cliquez sur \ "Autoriser. \" Une fois que la plus récente des points de restauration affichage, allez dans le \ "Propriétés système \" boîte de dialogue sur l'onglet \ "System Protection \" et cliquez sur \ "Créer. \" Tapez le nom pour cette sauvegarde et cliquez sur \ "Créer. \" Une fois que la sauvegarde a été créé, cliquez sur \ "OK \" deux fois pour sortir.
Pour les ordinateurs Windows XP infectés: Cliquez sur \ "Démarrer \" \ "Run, \" de type \ "Windows \ system32 \ restore \ rstrui.exe \" et cliquez sur \ "OK \". Sélectionnez un point de restauration sur la page d'accueil et cliquez sur \ "Suivant. \" Entrez le nom de la sauvegarde sur la page Créer un point de restauration et cliquez sur \ "Créer. \" une fois que la sauvegarde a été créé, cliquez sur \ "Fermer. \"
Pour infectés ordinateurs Windows 2000: Utilisez l'utilitaire de sauvegarde pour créer une disquette de réparation d'urgence.
Pour infectés ordinateurs Windows 95: Redémarrez l'ordinateur en mode sans échec et connectez-vous en tant qu'administrateur. Appuyez sur \ "F8 \" après le premier bip se produit pendant le démarrage, avant l'affichage du logo Microsoft Windows 95. Sélectionnez la première option, pour exécuter \ "Windows en mode sans échec \" dans le menu de sélection. Cliquez sur \ "Démarrer \" \ "Run, \" de type \ "cmd \" dans la zone de texte et appuyez sur \ "Entrez \". À l'invite de commandes, tapez les lignes suivantes, en appuyant sur \ "Entrez \" après chaque ligne:
cd windows
attrib -r -h -s system.dat
attrib -r -h -s user.dat
copie system.dat

.bu
copie user.dat .bu
Pour les ordinateurs Windows 98 et Windows Me infectées: Cliquez sur \ "Démarrer \" \ "Run, \" de type \ "scanregw \" et cliquez sur \ "OK \". Cliquez sur \ "Oui \" lorsque vous êtes invité à sauvegarder le Registre. Cliquez sur \ "OK \" lorsqu'il est informé que la sauvegarde est terminée.
Pour les ordinateurs Windows NT infectés: Cliquez sur \ "Démarrer \" \ "Run, \" de type \ "Ntbackup.exe \" et cliquez sur \ "OK \" pour utiliser l'outil de sauvegarde NT pour sauvegarder le Registre.

2 Désactiver la restauration du système si le système d'exploitation de l'ordinateur infecté est soit Windows Me ou Windows XP.
Pour désactiver la restauration du système sous Windows Me, cliquez sur \ "Démarrer \" \ "Paramètres \" \ "Panneau de configuration. \" Double-cliquez sur l'icône \ "System \" et sélectionnez \ "Fichier System \" de la \ onglet "Performance \". Gauche-cliquez sur l'onglet "Dépannage \" \ et vérifiez le \ "système Désactiver la restauration \" boîte. Cliquez sur \ "OK. \"
Pour désactiver la restauration du système sous Windows XP, ouvrez une session en tant qu'administrateur et cliquez sur \ "Démarrer. \" Clic-droit sur \ "Poste de travail \" et sélectionnez \ "Propriétés \" dans le menu contextuel. Vérifiez le \ "Désactiver System \ Restore" option pour chaque lecteur sur le \ "Restauration du système \" onglet. Gauche-cliquez sur \ "appliquer \" et \ "oui \" pour confirmer lorsque vous êtes invité. Cliquez sur \ "OK. \"

3 Redémarrez l'ordinateur en mode sans échec et connectez-vous en tant qu'administrateur. Appuyez sur \ "F8 \" après le premier bip se produit pendant le démarrage, avant l'affichage du logo Microsoft Windows. Sélectionnez la première option pour exécuter \ "Windows en mode sans échec \" dans le menu de sélection.

4 Supprimez tous les fichiers de programme de l'ordinateur. Aller à \ "Démarrer \" \ "Panneau de configuration \" \ "Ajout / Suppression de programmes. \" Supprimez tous les programmes de référencement \ "ylr.exe \" ou \ "amvo.exe. \" Si aucune est répertorié, continuent à l'étape 5. le programme malveillant ne contient les fichiers cachés qui ne peuvent pas être supprimés dans le cadre du processus de suppression du logiciel. Dans ce cas, il est probable que le cheval de Troie réapparaîtra lors du redémarrage. Il est important de suivre le processus de suppression décrit complètement pour éviter la récurrence du cheval de Troie.

5 Utilisez l'outil de recherche de Windows pour déterminer si \ "ylr.exe \" existe sur le disque dur. Aller à \ "Démarrer \" \ "Recherche \" \ Tapez "Tous les fichiers et dossiers. \" \ "Ylr.exe \" dans la section "Tout ou partie du nom de fichier \" \. Sélectionnez \ "Tous Disques durs locaux \" du \ "Rechercher dans: \" liste déroulante pour les meilleurs résultats. Cliquez sur \ "Recherche \". Répétez cette procédure pour les fichiers suivants:
amvo.exe
avpo.exe
amva.exe
autorun.inf

6 Utilisez le Gestionnaire des tâches de Windows pour mettre fin à tous les processus de ylr.exe qui exécutent. Appuyez sur \ "Ctrl, \" \ "Alt \" et \ "Supprimer \" pour ouvrir le Gestionnaire des tâches. Sélectionnez le \ "Processus \", sélectionnez \ "ylr.exe \" et \ Répétez ces étapes pour les processus suivants "Terminer le processus. \":
amvo.exe
avpo.exe
amva.exe

7 Cliquez sur \ "Démarrer \" \ "Run, \" de type \ "msconfig \" et appuyez sur \ "Entrez. \" Supprimer coches onglet à côté de tout \ "\" ylr.exe entrées sur le \ "Startup \". Ces entrées peuvent inclure des références à autorun.inf, amva.exe, amvo.exe et avpo.exe. Enregistrer les modifications et quitter sur le bureau.

8 Cliquez sur \ "Démarrer \" \ "Exécuter. \" Type \ "notepad \" dans le champ de texte et appuyez sur \ "Entrez. \" Cela va ouvrir un document texte vide. Cliquez sur \ "Fichier \" puis \ "Ouvrir. \" Changer l'emplacement indiqué sur le boîtier du dossier le fichier autorun.inf (habituellement la racine du lecteur spécifié). Sélectionnez autorun.inf et cliquez sur \ "Ouvrir. \" Faire une note du nom de fichier du fichier .exe, .bat ou .com fichier qui lance au démarrage.

9 Cliquez sur \ "Démarrer \" \ "Run, \" de type \ "regedit \" et appuyez sur \ "Entrez. \" Appuyez sur \ "Ctrl \" et \ "F, \" de type \ "YLR \" dans la recherche champ et supprimer toutes les entrées associées. Répétez ce processus pour le nom du fichier qui a été référencé pour lancer dans autorun.inf, ainsi que les termes suivants:
amvo
AVPO
AMVA
Ensuite, supprimez les entrées suivantes:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServicesOnce
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run
HKEY_CURRENT_USER \ software \ Microsoft \ Windows \ CurrentVersion \ Run AMVA
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows
(Dans volet droit, valeur nommée \ "Run \" & \ "Load \")
HKEY_CURRENT_USER \ software \ Microsoft \ Windows \ CurrentVersion \ Run AMVA
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServicesOnce
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Userinit
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb
HKEY_LOCAL_MACHINE \ system \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb nextinstance
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb \ 0000 classe
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb \ 0000 ClassGUID
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ Root \ legacy_poikjnvb \ 0000 ConfigFlags
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb \ 0000 DeviceDesc
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb \ 0000 héritage
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_poikjnvb \ 0000 Service
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ root \ legacy_zdfrty
HKEY_LOCAL_MACHINE \ system \ CurrentControlSet \ Enum \ root \ legacy_zdfrty nextinstance
HKEY_LOCAL_MACHINE system \ \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000
HKEY_LOCAL_MACHINE system \ \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 classe
HKEY_LOCAL_MACHINE system \ \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 ClassGUID
HKEY_LOCAL_MACHINE system \ \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 ConfigFlags
HKEY_LOCAL_MACHINE system \ \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 DeviceDesc
HKEY_LOCAL_MACHINE system \ \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 héritage
HKEY_LOCAL_MACHINE system \ \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 Service
HKEY_LOCAL_MACHINE system \ \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 \ control
HKEY_LOCAL_MACHINE system \ \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 \ control

newlycreated
HKEY_LOCAL_MACHINE system \ \ CurrentControlSet \ Enum \ root \ legacy_zdfrty \ 0000 \ control ActiveService
Double-cliquez sur HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ caché \ SHOWALL et changer le CheckedValue 0-1.

dix Cliquez sur \ "Démarrer \" \ "Run, \" de type \ "cmd \" et appuyez sur \ "Entrez \" pour accéder à l'invite de commande et déprotéger tous les fichiers qui doivent être supprimés. Tapez \ "cd \", appuyez sur la barre d'espace et tapez \ "\ windows \ system \" pour accéder au répertoire dans lequel les fichiers DLL de virus résident. À l'invite de commande, tapez \ "attrib -a shr ylr.exe. \"
Répétez cette procédure pour chacun des éléments suivants:
\ "Attrib -a shr 2kc.dll \"
\ "Attrib -a shr 3wcxx91.cmd \"
\ "Attrib -a shr amvo.exe \"
\ "Attrib -a shr avpo.exe \"
\ "Attrib -a shr amva.exe \"
\ "Attrib -a shr amvo0.dll \"
\ "Attrib -a shr amvo1.dll \"
\ "Attrib -a shr avpo.exe2kc.dll \"
\ "Attrib -a shr avpo0.dll \"
\ "Attrib -a shr dosocom.com \"
\ "Attrib -a shr help.exe.tmp \"
\ "Attrib -a shr nknem5p8.dll \"
\ "Attrib -a shr old10.tmp \"
\ "Attrib -a shr q8k4m7wy.dll \"
\ "Attrib -a shr tru32b.tmp \"
\ "Attrib -a shr v.com \"
\ "Attrib -a shr vga.sys \"
\ "Attrib -a shr z2muafn9.dll \"
\ "Attrib -a shr C: \ autorun.inf \"

11 Tapez \ "regsvr32 / u 2kc.dll \" et appuyez sur \ "Entrez \" pour supprimer le fichier DLL de virus. Répétez ce processus pour les fichiers DLL connexes suivants:
2kc.dll
amvo0.dll
amvo1.dll
avpo.exe2kc.dll
avpo0.dll
nknem5p8.dll
q8k4m7wy.dll
z2muafn9.dll

12 Utilisez l'outil de recherche de Windows pour localiser et supprimer tous les fichiers temporaires associés au virus. Aller à \ "Démarrer \" \ "Recherche \" \ Tapez "Tous les fichiers et dossiers. \" \ "*. Tmp \" dans le \ "Tout ou partie du nom de fichier \" section. Sélectionnez \ "Tous Disques durs locaux \" du \ "Rechercher dans: \" liste déroulante pour les meilleurs résultats. Cliquez sur \ "Recherche \". Faites un clic droit sur chaque occurrence du fichier et sélectionnez \ "Supprimer \" dans le menu contextuel. Répétez le processus de retrait pour chacun des fichiers associés suivants.
ylr.exe
2kc.dll
3wcxx91.cmd
amvo.exe
avpo.exe
amva.exe
amvo0.dll
amvo1.dll
avpo.exe2kc.dll
avpo0.dll
dosocom.com
help.exe.tmp
nknem5p8.dll
old10.tmp
q8k4m7wy.dll
tru32b.tmp
v.com
vga.sys
z2muafn9.dll
autorun.inf

13 Redémarrez le PC normalement.

14 Si ylr.exe réside toujours sur l'ordinateur, répétez les étapes ci-dessus ou essayez d'utiliser un programme gratuit de suppression automatique de Trend Micro ou AVG (voir Ressources). Si les fichiers ont été supprimés avec succès, la restauration du système peut être réactivé. Pour activer la restauration du système sous Windows Me, cliquez sur \ "Démarrer \" \ "Settings \" et \ "Panneau de configuration. \" Double-cliquez sur le \ "System \" icône et sélectionnez \ "File System \" de la \ onglet "Performance \". Gauche-cliquez sur l'onglet "Dépannage \" \ et enlever la coche de la \ "Désactiver la Restauration du système \" boîte. Cliquez sur \ "OK \". Pour activer la restauration du système sous Windows XP, ouvrez une session en tant qu'administrateur et cliquez sur \ "Démarrer \". Faites un clic droit sur \ "Poste de travail \" et sélectionnez \ "Propriétés \" dans le menu contextuel. Vérifiez le \ "Allumez System \ Restore" option pour chaque lecteur sur le \ "Restauration du système \" onglet. Gauche-cliquez sur \ "Appliquer \" et \ "Oui \" pour confirmer lorsque vous êtes invité. Cliquez sur \ "OK. \"

Conseils et avertissements

  • La suppression manuelle de ylr.exe peut être difficile, car le processus de suppression nécessite la connaissance de la commande du système d'exploitation rapide et éditeur de registre. En outre, les différentes versions de ce malware renommer et déplacer divers composants de fichiers. Si pas effectué correctement, votre système informatique pourrait subir des dommages permanents. Il existe également des programmes de même nom qui peuvent légitimement utiliser des fichiers de programme portant le même nom. Par conséquent, le retrait manuel pourrait être préférable pour les utilisateurs expérimentés. Les utilisateurs moins expérimentés pourraient vouloir envisager d'utiliser une application automatique de suppression des logiciels espions tels que celui offert par Trend Micro ou AVG.

          

Post a comment: