Постоянно запускается процесс Iobitdownloader в диспетчере задач + рекламные сайты на старте IE
Здравствуйте. Ситуация у меня следующая: по наивности скачал и открыл файл с типа игрового сайта. В ту же секунду систему заполонили установщики программ типа Advanced Windows Care 8, IobitDownloader, TorrentSearch, причем ни в одном инсталлере отказаться от установки было нельзя. В диспетчере задач повисли множественные процессы расширения tmp с абсолютной кашей из английских символов. В браузерах на стартовой странице открывалась реклама или нечто поядренее для 18+.Посредством CureIt dr Web я кое-как подчистил часть этого безобразия, удалил фальшивые ярлыки запуска брузеров Firefox и Chrome, с IE так не получилось, увы.
Суть: после загрузки рабочего стола при каждом запуске компьютера в папке C:\Users\...\AppData\Local\Temp создается папка из четырех или пяти случайных цифр, в ней создается файл iobitdownloader_installcube, который и повисает в диспетчере задач. Если пытаться его убить, иногда он убивается, иногда запускает установки вышеназванных хламопрограмм. Файл даже можно удалить, но он объявится после перезагрузки, да и вирусятинка продолжает создавать пустые папки с цифрами в C:\Users\...\AppData\Local\Temp, а также файлы вроде is-9IJ7M.tmp и dat72CF.tmp, независмо от того, убит процесс iobitdownloader_installcube или нет. Что делать? Надеюсь на вашу помощь.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Edvin231, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\PUMA\AppData\Roaming\Browsers\exe.erolpxei.bat','');
DeleteFile('C:\Users\PUMA\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Flash Player SU','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command');
DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
DeleteFile('C:\Users\PUMA\AppData\Local\IObit installer\iobitdownloader_installcube.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Uninstaller_SkipUac_PUMA','64');
DeleteFile('C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Все логи сделал. Мелькает в них уже знакомое Iobit. Карантин не отправил, потому что в папке avz\quarantine после выполнения скрипта не появилось ни одного файла. Также могу сказать, что iobitdownloader сейчас не появляется в процессах, хоть и что-то продолжает создавать в Local\Temp пустые папки с цифрами. Но это пустяки, наверное.
Спасибо большое! Избавился от всех проблем. У меня только последний вопрос: среди установленных в момент атаки программ осталась одна производства зловещей корпорации Iobit, удалить ее вручную или есть риск, что эта "деинсталляция" опять мне каких-нибудь гадостей по системе накидает?