TROJ_DLOADR.YYH

Tipo de compactação: 75,776 bytes

Tipo de arquivo: EXE

Residente na memória: Sim

Data de recebimento das amostras iniciais: 29 janeiro 2013

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

%User Profile%\Application Data\csrss.exe
%User Profile%\System32\rundll32.exe
%User Profile%\Application Data\svchost.exe

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

%User Profile%\Application Data\System32

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Client Server Runtime Process = "%User Profile%\Application Data\csrss.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Client Server Runtime Process = "%User Profile%\Application Data\csrss.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Host-process Windows (Rundll32.exe) = "%User Profile%\System32\rundll32.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Host-process Windows (Rundll32.exe) = "%User Profile%\System32\rundll32.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Service Host Process for Windows = "%User Profile%\Application Data\svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Service Host Process for Windows = "%User Profile%\Application Data\svchost.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Host-process Windows (Rundll32.exe) = "%User Profile%\application data\csrss.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Host-process Windows (Rundll32.exe) = "%User Profile%\application data\csrss.exe"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\SOFTWARE\BC Clients

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
Client Server Runtime Process = "%User Profile%\Application Data\csrss.exe"

HKEY_CURRENT_USER\Software\BC Clients
0 = ".{RM#'$H/::l -R+=8(.^]O-!( ^5(8. U,1%%3=D. iH &(1=;?2,U$"

HKEY_CURRENT_USER\Software\BC Clients
f = ""

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
Host-process Windows (Rundll32.exe) = "%User Profile%\System32\rundll32.exe"

HKEY_CURRENT_USER\Software\BC Clients
1 = ".{RM#'$H/::l -R+=8(.^]O-!( ^5(8. U,1%%3=D. iH &(1R7:8$?z]%%s`,4$"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
Service Host Process for Windows = "%User Profile%\Application Data\svchost.exe"

HKEY_CURRENT_USER\Software\BC Clients
2 = ".{RM#'$H/::l -R+=8(.^]O-!( ^5(8. U,1%%3=D. iH &(128*$.!=$6,"

HKEY_CURRENT_USER\Software\BC Clients
d = "N{R//vc,Ix,qr`} /--0xp+z-$a{I$*(.j*#wV{uj{Lp/}} jz'-,yt1(#*{)$4},"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
Host-process Windows (Rundll32.exe) = "%User Profile%\application data\csrss.exe"

HKEY_CURRENT_USER\Software\BC Clients
f = ""

HKEY_CURRENT_USER\Software\BC Clients
s = "r`xuqxx`x~ui.L-''-5=_o-&!"

Mecanismo de varredura mínima: 9.300

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Im abgesicherten Modus neu starten

[ Saber mais ]

Step 3

Diesen Registrierungsschlüssel löschen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

In HKEY_CURRENT_USER\SOFTWARE
- BC Clients

Step 4

Diesen Registrierungswert löschen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Client Server Runtime Process = "%User Profile%\Application Data\csrss.exe"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Client Server Runtime Process = "%User Profile%\Application Data\csrss.exe"

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Host-process Windows (Rundll32.exe) = "%User Profile%\System32\rundll32.exe"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Host-process Windows (Rundll32.exe) = "%User Profile%\System32\rundll32.exe"

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Service Host Process for Windows = "%User Profile%\Application Data\svchost.exe"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Service Host Process for Windows = "%User Profile%\Application Data\svchost.exe"

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Host-process Windows (Rundll32.exe) = "%User Profile%\application data\csrss.exe"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Host-process Windows (Rundll32.exe) = "%User Profile%\application data\csrss.exe"

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- Client Server Runtime Process = "%User Profile%\Application Data\csrss.exe"

In HKEY_CURRENT_USER\Software\BC Clients
- 0 = ".{RM#'$H/::l -R+=8(.^]O-!( ^5(8. U,1%%3=D. iH &(1=;?2,U$"

In HKEY_CURRENT_USER\Software\BC Clients
- f = ""

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- Host-process Windows (Rundll32.exe) = "%User Profile%\System32\rundll32.exe"

In HKEY_CURRENT_USER\Software\BC Clients
- 1 = ".{RM#'$H/::l -R+=8(.^]O-!( ^5(8. U,1%%3=D. iH &(1R7:8$?z]%%s`,4$"

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- Service Host Process for Windows = "%User Profile%\Application Data\svchost.exe"

In HKEY_CURRENT_USER\Software\BC Clients
- 2 = ".{RM#'$H/::l -R+=8(.^]O-!( ^5(8. U,1%%3=D. iH &(128*$.!=$6,"

In HKEY_CURRENT_USER\Software\BC Clients
- d = "N{R//vc,Ix,qr`} /--0xp+z-$a{I$*(.j*#wV{uj{Lp/}} jz'-,yt1(#*{)$4},"

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- Host-process Windows (Rundll32.exe) = "%User Profile%\application data\csrss.exe"

In HKEY_CURRENT_USER\Software\BC Clients
- f = ""

In HKEY_CURRENT_USER\Software\BC Clients
- s = "r`xuqxx`x~ui.L-''-5=_o-&!"

Den Registrierungswert löschen, den diese Malware/Grayware/Spyware erstellt hat:

Öffnen Sie den Registrierungs-Editor. Klicken Sie auf Start > Ausführen, geben Sie REGEDIT ein, und drücken Sie dann die Eingabetaste.
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Client Server Runtime Process = "%User Profile%\Application Data\csrss.exe"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Client Server Runtime Process = "%User Profile%\Application Data\csrss.exe"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Host-process Windows (Rundll32.exe) = "%User Profile%\System32\rundll32.exe"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Host-process Windows (Rundll32.exe) = "%User Profile%\System32\rundll32.exe"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Service Host Process for Windows = "%User Profile%\Application Data\svchost.exe"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Service Host Process for Windows = "%User Profile%\Application Data\svchost.exe"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Host-process Windows (Rundll32.exe) = "%User Profile%\application data\csrss.exe"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Host-process Windows (Rundll32.exe) = "%User Profile%\application data\csrss.exe"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SYSTEM>ControlSet001>Services>SharedAccess>Parameters>FirewallPolicy>StandardProfile>AuthorizedApplications>List
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Client Server Runtime Process = "%User Profile%\Application Data\csrss.exe"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER>Software>BC Clients
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
0 = ".{RM#'$H/::l -R+
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
f = ""
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Host-process Windows (Rundll32.exe) = "%User Profile%\System32\rundll32.exe"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
1 = ".{RM#'$H/::l -R+
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Service Host Process for Windows = "%User Profile%\Application Data\svchost.exe"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
2 = ".{RM#'$H/::l -R+
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
d = "N{R//vc,Ix,qr`} /--0xp+z-$a{I$*(.j*#wV{uj{Lp/}} jz'-,yt1(#*{)$4},"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Host-process Windows (Rundll32.exe) = "%User Profile%\application data\csrss.exe"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
f = ""
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
s = "r`xuqxx`x~ui.L-''-5
Schließen Sie den Registrierungs-Editor.

Step 5

Diesen Ordner suchen und löschen

[ Saber mais ]

Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu berücksichtigen.

%User Profile%\Application Data\System32

Step 6

Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als TROJ_DLOADR.YYH entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Participe da nossa pesquisa!

Visão geral

Detalhes técnicos

Solução

Recursos

Suporte

Sobre a Trend

Country Headquarters

TROJ_DLOADR.YYH

Visão geral

Detalhes técnicos

Solução

Recursos

Suporte

Sobre a Trend

Country Headquarters

Américas

Oriente Médio & África

Europa

Ásia&Pacífico