Постоянно запускается процесс Iobitdownloader в диспетчере задач + рекламные сайты на старте IE

[Edvin231]

Здравствуйте. Ситуация у меня следующая: по наивности скачал и открыл файл с типа игрового сайта. В ту же секунду систему заполонили установщики программ типа Advanced Windows Care 8, IobitDownloader, TorrentSearch, причем ни в одном инсталлере отказаться от установки было нельзя. В диспетчере задач повисли множественные процессы расширения tmp с абсолютной кашей из английских символов. В браузерах на стартовой странице открывалась реклама или нечто поядренее для 18+.Посредством CureIt dr Web я кое-как подчистил часть этого безобразия, удалил фальшивые ярлыки запуска брузеров Firefox и Chrome, с IE так не получилось, увы.

Суть: после загрузки рабочего стола при каждом запуске компьютера в папке C:\Users\...\AppData\Local\Temp создается папка из четырех или пяти случайных цифр, в ней создается файл iobitdownloader_installcube, который и повисает в диспетчере задач. Если пытаться его убить, иногда он убивается, иногда запускает установки вышеназванных хламопрограмм. Файл даже можно удалить, но он объявится после перезагрузки, да и вирусятинка продолжает создавать пустые папки с цифрами в C:\Users\...\AppData\Local\Temp, а также файлы вроде is-9IJ7M.tmp и dat72CF.tmp, независмо от того, убит процесс iobitdownloader_installcube или нет. Что делать? Надеюсь на вашу помощь.

[Info_bot]

Уважаемый(ая) Edvin231, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\PUMA\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 DeleteFile('C:\Users\PUMA\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Flash Player SU','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Users\PUMA\AppData\Local\IObit installer\iobitdownloader_installcube.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Uninstaller_SkipUac_PUMA','64');
 DeleteFile('C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи по правилам

Сделайте лог Check Browsers' LNK

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Edvin231]

Все логи сделал. Мелькает в них уже знакомое Iobit. Карантин не отправил, потому что в папке avz\quarantine после выполнения скрипта не появилось ни одного файла. Также могу сказать, что iobitdownloader сейчас не появляется в процессах, хоть и что-то продолжает создавать в Local\Temp пустые папки с цифрами. Но это пустяки, наверное.

[thyrex]

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  HKLM-x32\...\Run: [gmsd_ru_164] => [X]
  GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
  HKU\S-1-5-21-202816457-2766328812-1665883590-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://2knl.org/?src=hp4&subid1=feb
  HKU\S-1-5-21-202816457-2766328812-1665883590-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp
  BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll No File
  BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} ->  No File
  BHO-x32: No Name -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} ->  No File
  BHO-x32: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} ->  No File
  BHO-x32: No Name -> {9961627E-4059-41B4-8E0E-A7D6B3854ADF} ->  No File
  BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} ->  No File
  Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
  Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
  CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - https://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - https://clients2.google.com/service/update2/crx
  2015-03-12 01:40 - 2015-03-12 01:40 - 00613255 _____ (CMI Limited) C:\Users\PUMA\AppData\Local\nsmE5A2.tmp
  2015-03-12 01:40 - 2015-03-12 01:40 - 00000000 __SHD () C:\Users\PUMA\AppData\Roaming\AnyProtectEx
  2015-03-12 01:40 - 2015-03-12 01:40 - 00000000 ____D () C:\Program Files (x86)\AnyProtectEx
  2015-03-12 01:28 - 2015-03-12 01:28 - 00000626 __RSH () C:\Users\Все пользователи\ntuser.pol
  2015-03-12 01:28 - 2015-03-12 01:28 - 00000626 __RSH () C:\ProgramData\ntuser.pol
  Task: {01D49B21-7901-4546-99F9-0AD03F89C3B5} - \Soft installer No Task File <==== ATTENTION
  Task: {802209ED-8E5F-423D-A5B4-7DC859C0E790} - System32\Tasks\Steam-S-1-8-22-9865GUI => C:\Users\PUMA\AppData\Roaming\Steam\Reversed\steam.exe <==== ATTENTION
  C:\Users\PUMA\AppData\Roaming\Steam\Reversed\steam.exe
  C:\Users\PUMA\AppData\Roaming\Steam\Reversed
  AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:CB0AACC9
  Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Edvin231]

Сделал.

[thyrex]

На этом, пожалуй, закончим

[Edvin231]

Спасибо большое! Избавился от всех проблем. У меня только последний вопрос: среди установленных в момент атаки программ осталась одна производства зловещей корпорации Iobit, удалить ее вручную или есть риск, что эта "деинсталляция" опять мне каких-нибудь гадостей по системе накидает?

[thyrex]

Удаляйте