Решена Проявление вируса yourtds.biz сразу после запуска браузера

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Santes, 19 июн 2014.

Метки:
Статус темы:
Закрыта.
  1. Santes
    Оффлайн

    Santes Пользователь

    Сообщения:
    27
    Симпатии:
    2
    Доброго времени суток. Подскажите как удалить вирус yourtds.biz возникающий сразу после открытия браузера? После запуска браузера открывается ссылка yourtds.biz, а потом через секунду перебрасывает на страницу http://yourtds.biz/rpop.php?fl=yw3y7f, и далее на всякие рекламы по увеличению члена, возбудители, казино и прочее. Установлен браузер гугл хром. Поиск в интернете о проблеме связанной с именно этими адресами ничего не дал, все варианты написанные в разных темах не помогли. Предположение откуда зацепил этот вирус: при неверном входе на сайт сбербанка онлайн сестра понатыкала на разные окна, именно после этого началось.
    Помогите истребить эту вредоносную штуку!

    Автологером файл получил, прикрепил (один нюанс с датой сразу сообщу, у меня на компе давно невозможно изменить дату и время, не знаю с чем это связано, чтобы не менял он автоматом все равно устанавливает дату на 1 день вперед и по времени на 45 минут тоже вперед). Как пример, сделал лог 19.06.2014 где-то в 02:00 ночи, а на компе в тот момент стояла дата 20.06.2014 02:45 ночи и, соответственно, файл с названием даты 20.06.2014. Но думаю для лечения того вируса название файла не слишком принципиально. Буду благодарен если еще и подскажите как выставить эти часы в соответствии с реальным временем (в часовых поясах всё стоит как положено).

    Премногоблагодарен, Александр!
     

    Вложения:

  2. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Вашу тему потеряли.
    Подготовьте лог UVS
     
  3. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    У вас установлен довольно интересный софт, не забудьте создать точку восстановления перед запуском утилит.

    C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk - откройте при помощи блокнота, есть дописки?

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\WINDOWS\system32\rlls.dll','');
     QuarantineFile('C:\WINDOWS\system32\lockctrl.exe','');
     QuarantineFile('c:\progra~1\releva~1\rlvknlg32.exe','');
     QuarantineFile('c:\program files\relevantknowledge\rlvknlg.exe','');
     DeleteFile('c:\program files\relevantknowledge\rlvknlg.exe','32');
     DeleteFile('c:\progra~1\releva~1\rlvknlg32.exe','32');
     DeleteFile('C:\WINDOWS\system32\rlls.dll','32');
     RegKeyParamDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');
     RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');
     BC_ImportALL;
      ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы
    --- Объединённое сообщение, 19 июн 2014 ---
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
     
  4. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.475
    Симпатии:
    3.099
    Дописка есть здесь C:\Documents and Settings\Admin\Рабочий стол\Google Chrome.lnk
     
  5. Santes
    Оффлайн

    Santes Пользователь

    Сообщения:
    27
    Симпатии:
    2
    Как создать точку восстановления перед запуском утилит не знаю, так что бомблю всё вами нижеописанное.

    --- Объединённое сообщение, 20 июн 2014, Дата первоначального сообщения: 20 июн 2014 ---
    Этот шаг выполнить не могу, так как нет возможности открыть этот файл с помощью блокнота.

    C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk - откройте при помощи блокнота, есть дописки?
    --- Объединённое сообщение, 20 июн 2014 ---
    нет возможности открыть этот файл с помощью блокнота (нет пункта "открыть с помощью")

    --- Объединённое сообщение, 20 июн 2014 ---
    Отправил следующий файл-архив quarantine.zip после скрипта авз. В папке лог есть еще файл-архив virusinfo_autoquarantine.zip, но его не могу отправить так как название в поле заполнения формы не соответствует.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
    then
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\WINDOWS\system32\rlls.dll','');
    QuarantineFile('C:\WINDOWS\system32\lockctrl.exe','');
    QuarantineFile('c:\progra~1\releva~1\rlvknlg32.exe','');
    QuarantineFile('c:\program files\relevantknowledge\rlvknlg.exe','');
    DeleteFile('c:\program files\relevantknowledge\rlvknlg.exe','32');
    DeleteFile('c:\progra~1\releva~1\rlvknlg32.exe','32');
    DeleteFile('C:\WINDOWS\system32\rlls.dll','32');
    RegKeyParamDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');
    RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');
    BC_ImportALL;
      ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы
    --- Объединённое сообщение, 19 июн 2014 ---
    --- Объединённое сообщение, 20 июн 2014 ---
    Выполнил и отправляю последнее из ваших заданий в этом посте. Ошибок открылось куча. Ничего не исправлял, там была кнопка "copy to clickboard", нажал ее, открыл блокнот и вставил всё то, что видимо скопировал из результатов этой проги. Файл этот сохранить в ANSI не получилось, а только в Юникод (если честно не соображаю что это вообще такое, но главное что именно в Юникод как мне выдала система файл сохранится точно без потерь, в ANSI же написала, что присутствует формат Юникод и если сохранять не в нём, то он будет утерян. В общем всё без потерь сохранилось).

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве[/QUOTE]
     

    Вложения:

    • mbam.txt
      Размер файла:
      109,6 КБ
      Просмотров:
      2
    Последнее редактирование: 20 июн 2014
  6. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Удалите все, что нашел MBAM
     
  7. Santes
    Оффлайн

    Santes Пользователь

    Сообщения:
    27
    Симпатии:
    2
    Сделано, что дальше?
     
  8. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Что с проблемами?
     
  9. Santes
    Оффлайн

    Santes Пользователь

    Сообщения:
    27
    Симпатии:
    2
    при открытии браузера всё как было, сразу же открывается вирусняк, ничего не изменилось
    --- Объединённое сообщение, 21 июн 2014 ---
    прошлый раз я к вам обращался, там другими прогами всё удаляли и успешно прошло
     
    Последнее редактирование: 21 июн 2014
  10. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.475
    Симпатии:
    3.099
    Откройте свойства ярлыка на Рабочем столе и удалите лишнее в поле Объект после имени исполняемого файла
     
  11. Santes
    Оффлайн

    Santes Пользователь

    Сообщения:
    27
    Симпатии:
    2
    дада, там прописан этот вирусняковый сайт в поле объект, удаляю нажимаю применить пишет "не удается сохранить изменения Google Chrome.lnk. Отказано в доступе." Как быть?
    --- Объединённое сообщение, 21 июн 2014 ---
    вот что прописано в поле объект ""C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" "http://yourtds.biz/rpop.php?fl=yw3y7f"
     
    Последнее редактирование модератором: 27 июн 2014
  12. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.475
    Симпатии:
    3.099
    Ну вот и удалите хвост в виде вредоносного сайта.

    Если не дает сохранять изменения, снимите метку Только чтение на вкладке Общие
     
    Santes нравится это.
  13. Santes
    Оффлайн

    Santes Пользователь

    Сообщения:
    27
    Симпатии:
    2
    Благодарю, всё получилось, только при снятии метки "только чтение" удалось этот хвост стереть.
    --- Объединённое сообщение, 21 июн 2014 ---
    Отлично ,вирус больше не появляется при открытии. А могли бы проконсультировать по той второй части моего поста, суть которой заключается в неверно установленном времени на компе (на сутки и 45 минут вперед реального времени). Вот дублирую из первого поста описание "Один нюанс с датой сразу сообщу, у меня на компе давно невозможно изменить дату и время, не знаю с чем это связано, чтобы не менял он автоматом все равно устанавливает дату на 1 день вперед и по времени на 45 минут тоже вперед). Как пример, сделал лог 19.06.2014 где-то в 02:00 ночи, а на компе в тот момент стояла дата 20.06.2014 02:45 ночи и, соответственно, файл с названием даты 20.06.2014. Но думаю для лечения того вируса название файла не слишком принципиально. Буду благодарен если еще и подскажите как выставить эти часы в соответствии с реальным временем (в часовых поясах всё стоит как положено)".

     
    Последнее редактирование: 21 июн 2014
  14. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.475
    Симпатии:
    3.099
    Если в BIOS выставить дату, она сбивается все равно?
    Возможно, что-то из установленных программ вносит подобные изменения
     
  15. Santes
    Оффлайн

    Santes Пользователь

    Сообщения:
    27
    Симпатии:
    2
    не знаю как в биосе ее выставлять, по программам сбивающим даже не знаю, вроде не должно быть таких, если это не критично то пусть так остается. Спасибо в любом случае за помощь.
     
  16. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
  17. Santes
    Оффлайн

    Santes Пользователь

    Сообщения:
    27
    Симпатии:
    2
Статус темы:
Закрыта.

Поделиться этой страницей