Реклама в браузере, компьютер виснет [not-a-virus:RiskTool.Win32.MoBlazer.a ]

**alexhak** · 30.06.2016, 19:11

Здравствуйте!
У меня такая проблема: во всех браузерах очень много реклама. Откуда она только не лезет, а также открываются постоянно рекламные сайты при нажатии на различные места любой веб-страницы. В последнее время компьютер вообще стал очень быстро нагреваться и виснет уже через 30 минут работы.
Помогите, пожалуйста, с решением проблемы. Все необходимые файлы прикрепил к записи.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 30.06.2016, 19:12

Уважаемый(ая) alexhak, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 30.06.2016, 20:13

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DelBHO('{5802D092-1784-4908-8CDB-99B6842D353D}');
 DelBHO('{11111111-1111-1111-1111-110411821192}');
 DelBHO('{11111111-1111-1111-1111-110311281150}');
 DeleteService('rizyqibe');
 DeleteService('nulivodo');
 StopService('Watsvc');
 DeleteService('Watsvc');
 TerminateProcessByName('c:\program files (x86)\blazers\watsvc.exe');
 QuarantineFile('c:\program files (x86)\blazers\watsvc.exe','');
 TerminateProcessByName('c:\program files (x86)\blazers\wac.exe');
 QuarantineFile('c:\program files (x86)\blazers\wac.exe','');
 DeleteFile('c:\program files (x86)\blazers\wac.exe','32');
 DeleteFile('c:\program files (x86)\blazers\watsvc.exe','32');
 DeleteFile('C:\Program Files (x86)\Blazers\Watsvc.exe','32');
 DeleteFile('C:\Program Files (x86)\40ACB58A-1450437295-E011-A6D8-DB7790530751\knseEA68.tmpfs','32');
 DeleteFile('C:\Program Files (x86)\40ACB58A-1450437295-E011-A6D8-DB7790530751\jnsu3C8.tmp','32');
 DeleteFile('C:\Users\user\AppData\Roaming\Genieo\Application\Updater\bin\genupdater.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GenieoUpdaterService');
 DeleteFile('C:\ProgramData\ceiqGVvpu\bQxfJdtugHBKt5.bat','32');
 DeleteFile('C:\ProgramData\NtdFuTAoPOyCxXZ\WfsjOfz5.bat','32');
 DeleteFile('C:\Program Files (x86)\Object Browser\Object Browser-bho.dll','32');
 DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader.job','32');
 DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader2.job','32');
 DeleteFile('C:\Windows\system32\Tasks\Idehwes','64');
 DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader2','64');
ClearHostsFile;
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

**alexhak** · 30.06.2016, 21:48

Спасибо!
Прикрепляю все необходимые файлы. Карантин отправил.

**mike 1** · 30.06.2016, 22:48

Скачайте Check Browsers' LNK и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите Check Browsers LNK.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log
Прикрепите этот отчет в вашей теме.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

**alexhak** · 01.07.2016, 01:46

Спасибо!
Прикрепляю 2 файла.

**mike 1** · 01.07.2016, 07:31

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

**alexhak** · 01.07.2016, 15:58

Спасибо!

Все сделал, как вы сказали. Все файлы прикрепил к этой записи.

**mike 1** · 01.07.2016, 16:44

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**alexhak** · 01.07.2016, 17:30

Спасибо!
Отчет прикрепил.

**mike 1** · 01.07.2016, 18:20

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [gmsd_ru_005010179] => [X]
HKLM-x32\...\Run: [rec_en_77] => [X]
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: Object Browser -> {11111111-1111-1111-1111-110311281150} -> C:\Program Files (x86)\Object Browser\Object Browser-bho64.dll => No File
BHO: Sense -> {11111111-1111-1111-1111-110411821192} -> C:\Program Files (x86)\Sense\Sense-bho64.dll => No File
FF Homepage: hxxp://www.istartpageing.com/?type=hp&ts=1451559867&z=2f80489066b8794df6c4f45g3zfw8g2w3w4t3b9q5m&from=cornl&uid=st9500325as_s2w3gqj8xxxxs2w3gqj8
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\so-v.xml [2016-03-12]
FF Extension: Everysale.Net - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\9vf96daw.default\extensions\{4d31e4c9-ce86-4b0f-8ffb-56345a8b5f6c}.xpi [2014-09-21] [not signed]
FF Extension: No Name - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\9vf96daw.default\extensions\[email protected] [not found]
FF Extension: SmileEx v13.7.15 - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\9vf96daw.default\Extensions\[email protected] [2013-07-15] [not signed]
FF Extension: PhoenixGuard - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\9vf96daw.default\Extensions\[email protected] [2015-07-23] [not signed]
FF Extension: NetSecurity v14.2.2 - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\9vf96daw.default\Extensions\[email protected] [2014-02-02] [not signed]
FF HKLM\...\Firefox\Extensions: [{E993F85D-2D30-43CB-827A-A498C0E7C5C0}] - C:\Program Files\groover181220151419\Firefox\{E993F85D-2D30-43CB-827A-A498C0E7C5C0}.xpi => not found
CHR StartupUrls: Default -> "hxxp://www.istartpageing.com/?type=hp&ts=1451559867&z=2f80489066b8794df6c4f45g3zfw8g2w3w4t3b9q5m&from=cornl&uid=st9500325as_s2w3gqj8xxxxs2w3gqj8"
2016-07-01 15:18 - 2014-10-15 20:01 - 00000000 ____D C:\Program Files (x86)\Twilight Tech
2016-06-30 21:15 - 2015-12-18 16:01 - 00000000 ____D C:\Users\Все пользователи\ceiqGVvpu
2016-06-30 21:15 - 2015-12-18 16:01 - 00000000 ____D C:\ProgramData\ceiqGVvpu
2016-06-30 21:15 - 2015-12-18 14:50 - 00000000 ____D C:\Users\Все пользователи\NtdFuTAoPOyCxXZ
2016-06-30 21:15 - 2015-12-18 14:50 - 00000000 ____D C:\ProgramData\NtdFuTAoPOyCxXZ
2016-06-30 21:15 - 2015-04-17 16:56 - 00000000 ____D C:\Program Files (x86)\Blazers
2016-06-30 18:26 - 2015-12-18 19:32 - 00000000 ____D C:\Users\user\AppData\Local\cmsiex
2014-10-15 20:11 - 2014-10-15 20:11 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2015-06-02 21:22 - 2015-06-02 21:26 - 0000107 ____H () C:\Program Files (x86)\LauncherLoader.bat
2015-06-02 21:22 - 2010-06-02 00:29 - 0367872 ____H (NTI Corporation.) C:\Program Files (x86)\LаunсhеrLоаdеr.bаt.exe
2015-06-02 21:23 - 2015-06-02 21:23 - 0000120 ____H () C:\Program Files (x86)\unins000.bat
2015-06-02 21:23 - 2012-02-04 20:37 - 0955599 ____H () C:\Program Files (x86)\unins000.bаt.exe
Task: {6D126DE1-D39B-430E-AB87-E132A86E2929} - \hfmbujn -> No File <==== ATTENTION
Task: {91A5FA44-1004-4DE7-B8CB-6F790DB751CF} - \Idehwes -> No File <==== ATTENTION
Shortcut: C:\Users\user\Desktop\Хлам\Игры\Sаints Rоw Тhе Тhird.lnk -> hxxp://www.istartpageing.com/?type=sc&ts=1451559867&z=2f80489066b8794df6c4f45g3zfw8g2w3w4t3b9q5m&from=cornl&uid=st9500325as_s2w3gqj8xxxxs2w3gqj8( (No File)
ShortcutWithArgument: C:\Users\user\Desktop\Хлам\Игры\Saints Row The Third.lnk -> C:\Игры\С флешки\Saints Row The Third\Saints Row The Third\game_launcher.exe (THQ Inc.) -> hxxp://www.istartpageing.com/?type=sc&ts=1451559867&z=2f80489066b8794df6c4f45g3zfw8g2w3w4t3b9q5m&from=cornl&uid=st9500325as_s2w3gqj8xxxxs2w3gqj8
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**alexhak** · 01.07.2016, 19:15

Спасибо!

Присылаю необходимый файл.

**mike 1** · 01.07.2016, 19:24

Что с проблемой?

**alexhak** · 01.07.2016, 19:53

Реклама в браузере исчезла, но ноутбук до сих пор очень быстро нагревается и начинает виснуть.

**mike 1** · 01.07.2016, 21:46

Тормоза думаю с вирусами не связаны.

**alexhak** · 01.07.2016, 22:11

Понятно. Раньше не вис, видимо стареет))))
Спасибо за помощь!

**mike 1** · 02.07.2016, 00:22

Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
Запустите DelFix
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
Нажмите на кнопку Run

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Советы и рекомендации после лечения компьютера

**CyberHelper** · 02.07.2016, 00:32

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\program files (x86)\blazers\wac.exe - not-a-virus:RiskTool.Win32.MoBlazer.a
2. c:\program files (x86)\blazers\watsvc.exe - not-a-virus:RiskTool.Win32.MoBlazer.a

Реклама в браузере, компьютер виснет [not-a-virus:RiskTool.Win32.MoBlazer.a ] (заявка № 201808)

Опции темы