• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

webalta-вирус (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 368
Репутация
7 867
Telegram
Если после того, когда открыв свой браузер обнаружил, что вместо домашней страницы запускается страница «webalta»("www.webalta.ru").

Все попытки удалить из домашней страницы поиск по « webalta » стандартными способами не приносят нужного результата. Ни ввод команды - «about:blank», т.е показывать пустую страницу, ни настройки через панель управления - «Инструменты» - «Настройки» - «Основные» - «Выбор домашней страницы» - не могут удалить навязчивую webalta.

При следующем запуске браузера, нас вновь встречает не удаляемая и не убиваемая « webalta »!!! Причем, в качестве домашней страницы вебальта прописывается сразу во всех браузерах, и даже полная их переустановка не удаляет webalta из домашней страницы. Это уже не навязчивые услуги поисковика, а самое настоящее webalta-вирусное заражение!
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 368
Репутация
7 867
Telegram
Как удалить:

1. Чтобы удалить навязчивую страницу поиска webalta из Opera или Internet Explorer, заходим в «Пуск» => «Выполнить».
2. В открывшемся поле вводим команду regedit.
3. В открывшемся редакторе реестра в меню выбираем – «Правка», а в нем «Найти».
4. В поле открывшегося окна поиска нужно вписать webalta и нажимаем кнопку "Найти".
6. Те пункты реестра, где поиск нашел значение «webalta», просто напросто удаляем.
7. Повторяем данную процедуру (простым нажатием клавиши F3) до тех пор, пока поиск по реестру ничего не найдет. У меня получилось около десяти записей с упоминанием webalta, причём некоторые записи придётся удалять в безопасном режиме.
Удалив таким образом из реестра незванного гостя, спокойно запускаем оба браузера и выставляем свою домашнюю страницу стандартным способом:
«Сервис» => «Свойства обозревателя» - в Internet Explorer и
«Инструменты» => «Настройки» - в браузере Opera.
Все, webalta удалена, УРАААА !

В Mozilla Firefox:
1. Откройте браузер, зайдите в меню «Справка» → «Информация для решения проблем», после чего в открывшемся окне нажмите на кнопку «Открыть его папку». Откроется папка с профилем Firefox. В ней Вам необходимо найти два файла — user.js и prefs.js. Просмотрите эти файлы. Код, изменяющий стартовую страницу, скорее всего, будет выглядеть так:
user_pref("startup.homepage_override_url", "http://webalta.ru");
user_pref("browser.startup.page", 1);
user_pref("browser.startup.homepage", "http://webalta.ru");
Если такой код обнаружится, то:
файл user.js, если он не содержит иных записей, можно удалить.
файл prefs.js необходим для работы браузера, поэтому удалять его целиком не нужно, достаточно удалить из него код, имеющий отношение к домашней странице.

В Google Chrome:
1. Откройте меню «Пуск» → «Выполнить», скопируйте в строку следующий адрес:
%appdata%\..\Local\Google\Chrome\User Data\Default
(если у вас Windows Vista/7)
%appdata%\Google\Chrome\User Data\Default
(если у вас Windows XP)
и нажмите «ОК».
2. В открывшейся папке вы найдете файл Preferences. Откройте его с помощью обычного Блокнота (Notepad) и поищите, не содержится ли в нем записей, связанных с искомой домашней страницей.
3. Если такие строки найдутся, удалите их, после чего сохраните файл.

Не забудте отредактировать (удалить ссылки вебалты) в свойствах ярлыка браузеров !
 

Багира

Уважаемый пользователь
Форумчанин
Регистрация
21.11.2012
Сообщения
597
Репутация
8
Я несколько раз сталкивалась с такой пробемой(«webalta»).она у меня появлялась после установки заставки(GlockBelarusScreenSaver).Что я только не предпринимала,ничего не получалось.Но как только я заставку удаляла,она пропадала.Вот если я это все увидела раньше ,может быть и не пришлось бы удалять.
 
R

Rafail

Гость
Чтобы найти все следы в системе от "webalta", выполните следующий скрипт в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegSearch('HKEY_LOCAL_MACHINE ',' ','webalta');
SaveLog(GetAVZDirectory+'webalta.txt');
RebootWindows(true);
end.

После перезагрузки, найдите текстовый документ в папке AVZ, под названием webalta.txt, там будут указаны все пути, где прописалась webalta.
 
R

Rafail

Гость
Скрипт AVZ для удаления Webalta(перед удалением закройте все программы):
1)Вариант(этот вариант удаления подойдёт, если диск разбит на сектора С/D):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('d:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\4HxZRYno3FM.exe','');
QuarantineFile('d:\windows\pss\4HxZRYno3FM.exe','');
QuarantineFile('C:\WINDOWS\system32\wuauserv.dll','');
DeleteFile('d:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\4HxZRYno3FM.exe');
DeleteFile('d:\windows\pss\4HxZRYno3FM.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта, пройзойдёт перезагрузка компьютера.
 
R

Rafail

Гость
2)Вариант(диск не разбит на сектора):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('С:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\4HxZRYno3FM.exe','');
QuarantineFile('С:\windows\pss\4HxZRYno3FM.exe','');
QuarantineFile('C:\WINDOWS\system32\wuauserv.dll','');
DeleteFile('С:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\4HxZRYno3FM.exe');
DeleteFile('С:\windows\pss\4HxZRYno3FM.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
 
B

BioNIX

Гость
Я на выходных лечил племяннице и сыну ноуты от вебалты, и практически все делал через редактор реестра и правка в самих браузерах, сначала почистил браузера а потом перешел к реестру, в реестре всего было три папки размещены и еще один файлик нашел в system32/drivers но почему то этот файл был только в племянницы, в сына такого не было файлика, и в реестре только 2 папки было, в племянницы 4 почему то, ну одним словом в разном софте по разному размещается, племянница прихватила себе вебалту через zona типа торрент клиента, сын в какой то игре нашел, провел воспитательный процесс по поводу глаз на лбу а не на жопе вроде бы поняли как сын так и племянница.
я брал инфу тут
 
B

BioNIX

Гость
Нашел один интересный ресурс и как бы есть утилита WebaltaKiller для удаление этой заразы с компа, но запускать не стал и не проверял я ее, но проверил на virustotal.com и получил результат.
Ну первым делом даю ресурс http://webaltakiller.ru/
там есть и демонстративное видео
И ссылка на скачивание с [HIDE=50]Яндекс Диска[/HIDE]
 
B

BioNIX

Гость
И так решил я рискнуть и запустить утилиту в себя на ноуте и на живой системе, ну антивирус был включен на запуск проактивка не реагировала, обычно при установке программ много вопросов, тут нет вопросов и программа запустилась, но особого она в меня не нашла проверяет только ключи реестра и браузера на скрине это видно, и есть автора этой программы с указанными фамилиями и именами и естественно есть и кошелек для пожертвования в случае программа помогла кому нибудь.
2014-02-13_21-44-26.jpg
2014-02-13_21-45-02.jpg