Заражение Oursurfing'ом

[Денис Царёв]

При открытии Хрома появляется стартовая вкладка и вкладка с подобной ссылкой:

http://www.oursurfing.com/?type=hp&ts=1443339145&z=6f550c01c5b639511c1b7e5g2z4zdc0cbc0t4g6z6o&from=eit&uid=ST500DM002-1BD142_Z3T7JFNXXXXXZ3T7JFNX

На разных сайтах появилось много баннеров + иногда переадресация ссылок.
Проблема появилась после скачивания левака с сайта.

CollectionLog-2015.09.27-13.21.zip

[thyrex]

Просьба

Перестаньте, пожалуйста, уведомлять меня о каждом своем шаге на форуме

 

 

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Денис\AppData\Local\cobunce\config.json','');
QuarantineFile('C:\Users\Денис\AppData\Local\cobunce\stub.exe','');
DeleteFile('C:\Users\Денис\AppData\Local\cobunce\stub.exe','32');
DeleteFile('C:\Users\Денис\AppData\Local\cobunce\config.json','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cobunce','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[Денис Царёв]

[KLAN-3173287783]

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. 

quarantine.zip

This file is corrupted.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


 

 

CollectionLog-2015.09.27-14.17.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Денис Царёв]

Просканировал 

Addition.txt

FRST.txt

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
FF Extension: Quick Searcher - C:\Users\Денис\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2015-09-27]
FF Extension: No Name - C:\Users\Денис\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\yasearch@yandex.ru [not found]
FF Extension: No Name - C:\Users\Денис\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\vb@yandex.ru [not found]
CHR StartupUrls: Default -> "chrome://newtab/","hxxp://www.oursurfing.com/?type=hp&ts=1443339145&z=6f550c01c5b639511c1b7e5g2z4zdc0cbc0t4g6z6o&from=eit&uid=ST500DM002-1BD142_Z3T7JFNXXXXXZ3T7JFNX"
CHR Extension: (Quick Searcher) - C:\Users\Денис\AppData\Local\Google\Chrome\User Data\Default\Extensions\adokjfanaflbkibffcbhihgihpgijcei [2015-09-27]
OPR Extension: (Quick Searcher) - C:\Users\Денис\AppData\Roaming\Opera Software\Opera Stable\Extensions\adokjfanaflbkibffcbhihgihpgijcei [2015-09-27]
OPR Extension: (cobunce) - C:\Users\Денис\AppData\Roaming\Opera Software\Opera Stable\Extensions\fnnaopkniokpgnkkebgdplnfbnkkodfe [2015-09-27]
2015-09-27 10:32 - 2015-09-27 10:53 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\application extension
2015-09-27 10:32 - 2015-09-27 10:33 - 00000000 ____D C:\Users\Все пользователи\6WdsManPro6
2015-09-27 10:32 - 2015-09-27 10:33 - 00000000 ____D C:\ProgramData\6WdsManPro6
2015-09-27 10:31 - 2015-09-27 10:31 - 00000000 ____D C:\Users\Денис\AppData\Roaming\WindowsUpdater
C:\Users\Денис\AppData\Local\Temp\8650.tmp.exe
C:\Users\Денис\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Денис\AppData\Local\Temp\kometa_vd.exe
C:\Users\Денис\AppData\Local\Temp\mailruhomesearchvbm.exe
C:\Users\Денис\AppData\Local\Temp\new-super-ext.exe
C:\Users\Денис\AppData\Local\Temp\stub.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание, что будет выполнена перезагрузка компьютера.

   

   

[Денис Царёв]

Исчезли баннеры и вкладка при старте

Fixlog.txt

[thyrex]

Лечение закончено

[Денис Царёв]

Лечение закончено

Большое Вам спасибо! 

[Денис Царёв]

Тоже самое произошло, открылась ссылка, закрылся гугл, на рабочем столе пропал доступ ко всем ярлыкам..
Пробовал запустить последний скрипт - не помогло

CollectionLog-2015.09.27-22.26.zip

Изменено 27 сентября, 2015 пользователем Денис Царёв

[Sandor]

Расширение Хрома

Quick Searcher

удалите.

 

Повторите логи FRST.

[Денис Царёв]

Ничего не изменилось после удаления

Addition.txt

FRST.txt

[Sandor]

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

start

CreateRestorePoint:

HKU\S-1-5-21-4036889086-3670402464-1074004571-1000\...\RunOnce: [ClearTemp] => del C:\Users\17D3~1\AppData\Local\Temp\yupdate.exe-{524ED9E1-E6B8-4BA5-81F8-F6EA24FEBE83} <===== ATTENTION

FF NewTab: yafd:tabs

CHR StartupUrls: Default -> "chrome://newtab/","hxxp://www.oursurfing.com/?type=hp&ts=1443339145&z=6f550c01c5b639511c1b7e5g2z4zdc0cbc0t4g6z6o&from=eit&uid=ST500DM002-1BD142_Z3T7JFNXXXXXZ3T7JFNX"

C:\Users\Денис\AppData\Local\Temp\{050CDE1B-13CA-447F-AC1C-F4ACD98AA03D}.exe

C:\Users\Денис\AppData\Local\Temp\{1CBB5529-FCBA-4B45-B805-9EB3C25BA598}.exe

Reboot:

end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 28 сентября, 2015 пользователем Sandor

[Денис Царёв]

 

 А нет, не хочет уходить, ещё раз перезагрузил комп, опять появилась =(((

Fixlog.txt

Изменено 28 сентября, 2015 пользователем Денис Царёв

[Sandor]

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.