Как избавится от webalta.ru

[Velikodushniy]

Доброго времени суток всем!

Вы случаем не знаете как избавить от принудительной рекламки webalta.ru Которая постоянно подгружается в твоем браузере в новом окне при запуске. Я использую Оперу.

Залез в интернет оказывается не я один так "мучаюсь" с этой вебалтой. Вирусом её не зазовешь но навязчиво-принудительной рекламой да.

Очень хотелось бы от неё избавиться!

 

Все дествия найденные в интернете по избавлению от этого не помогли !

Вот как пример действий: http://todostep.ru/nowebalta.html

 

Интересно то что опять же в безопасном режими с поддержкой сети эта страница не подгружается в браузере, а в обычном режиме моментально.

В реестре осталась (все остальные поудалял) вот такая ветка с адресом этой вебалты

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WEBALTASERVICE\0000]

"Service"="WebaltaService"

"Legacy"=dword:00000001

"ConfigFlags"=dword:00000000

"Class"="LegacyDriver"

"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"

"DeviceDesc"="WebaltaService"

Но при попытке удаления пишет ошибка при удалении раздела! (( Можно ли как то принудительно её грохнуть. Так как это осталась единственная ветка с этой вебалтой думаю проблема именно в ней!

 

За ранее спасибо за помощь.

Изменено 26 января, 2012 пользователем Velikodushniy

[Tiare]

логи по правилам раздела приложите

[SQ]

Можно ли как то принудительно её грохнуть. Так как это осталась единственная ветка с этой вебалтой думаю проблема именно в ней!

Можно но на свой страх и риск, скорее всего нет прав на удаление, как вариант попробуйте нажать на раздел правой кнопкой мыши выбрать разрешения и проверьте если в списке есть ваш пользователь с полными правами. затем должно получится удаление.

 

Удалив таким образом из реестра незваного гостя, спокойно запускаем оба браузера и выставляем свою домашнюю страницу стандартным способом:

 

«Инструменты» => «Настройки» - в браузере Opera.

 

Строгое предупреждение от модератора C. Tantin

Ознакомьтесь с правилами раздела. Устное предупреждение.

Изменено 27 января, 2012 пользователем C. Tantin

[Velikodushniy]

Можно но на свой страх и риск, скорее всего нет прав на удаление, как вариант попробуйте нажать на раздел правой кнопкой мыши выбрать разрешения и проверьте если в списке есть ваш пользователь с полными правами. затем должно получится удаление.

 

Удалив таким образом из реестра незваного гостя, спокойно запускаем оба браузера и выставляем свою домашнюю страницу стандартным способом:

 

«Инструменты» => «Настройки» - в браузере Opera.

 

Спасибо SQ.

Вы были правы не было прав . Ваш совет очень даже помог удалить злосчастную ветку реестра и я уж было дело возрадовался!

Но каково было моё удивление когда после ресета в браузере появилась все та же страница а в реестре всё та же ветка! ((

 

Компьютер рабочий а на работе пока что к сожалению нет возможности сделать все по правилам и выложить логи

 

Завтра буду смотреть более подробно автозагрузку через msconfig может там чего упустил из виду!? Других мыслей пока что нет Где то же она запускается раз в безопаске её нет, а в нормальном режиме она есть это вебалта.

[Tiare]

Где то же она запускается раз в безопаске её нет, а в нормальном режиме она есть это вебалта.

вот поэтому логи и требуем, чтобы не гадать "где она сидит"

[dmtet]

Вот уж не думал, что это вирус. Замечено на всех браузерах

У шефа на компе на работе тоже вебальта вылазит при старте. Ничего не помагает из способов кот. знаю.

Подскажите как выйти из положения

Изменено 26 января, 2012 пользователем dmtet

[Tiare]

Вот уж не думал, что это вирус. Замечено на всех браузерах

У шефа на компе на работе тоже вебальта вылазит при старте. Ничего не помагает из способов кот. знаю.

Подскажите как выйти из положения

делайте логи по правилам раздела и создавайте свою тему

[thyrex]

Velikodushniy, не решили проблему?

Доступ к компу временно не имею, т.к. нахожусь на лечении. А проблему надо решать. Думаю, может же решили её.

Ну вот и продолжайте лечение. Когда выздоровеете, тогда и продолжите в созданной Вами своей теме

 

Строгое предупреждение от модератора thyrex

Устное предупреждение за флуд в чужой теме.

Пост удален

[Velikodushniy]

Velikodushniy, не решили проблему?

Доступ к компу временно не имею, т.к. нахожусь на лечении. А проблему надо решать. Думаю, может же решили её.

В рабочее время на работе как то не особо получается выделить много времени для решиния этой проблемы. Пока что все действия без результатны.

Думаю по свободному времени на работе буду делать логи по правилам и выкладывать сюда!

Если что решу сам так же опишу тут как было сделано.

 

П.С. За цетировнания флуда как то бан не хочется получать. Если это противоречит правилам готов так же свой пост почистить!

Изменено 29 января, 2012 пользователем Velikodushniy

[Velikodushniy]

Так чуток на работе удалось кое что поклацать.

Вот выкладываю логи.

После всех действий webalta всё так же и загружается ((((

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

ComboFix.txt

GetSystemInfo_MAX_Администратор_2012_01_30_15_49_38.zip

avptool_sysinfo.zip

Изменено 30 января, 2012 пользователем Velikodushniy

[Roman_Five]

Внимание ! База поcледний раз обновлялась 17.10.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

после обновления баз AVZ сделайте новые логи и приложите.

не забудьте логи RSIT

 

логи Hijackthis, GSI и Combofix кто-то просил делать?

 

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[Velikodushniy]

Внимание ! База поcледний раз обновлялась 17.10.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

после обновления баз AVZ сделайте новые логи и приложите.

не забудьте логи RSIT

 

логи Hijackthis, GSI и Combofix кто-то просил делать?

 

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

Доброго времени суток.

Вот кажется переделал все как следует.

Всё работу Малвараса оставил без изменения, нужно ли удалять то что он нашел ? Так как понаходил он там некоторые необходимые для меня вещи такие как плагины для фотошопа.

 

Долбанная Вебалта так и не пропала никуда. ((( Боюсь прийдеться ложить всё что нашел Малварас

virusinfo_syscure.zip

virusinfo_syscheck.zip

mbam_log_2012_01_31__15_41_58_.txt

log.txt

info.txt

Изменено 31 января, 2012 пользователем Velikodushniy

[Roman_Five]

нужно ли удалять то что он нашел ?

не надо. деинсталлируйте MBAM

проверьте на virustotal.com следующие файлы (при возможном запросе во время проверки выбирайте reanalyse) :

D:\АРХИВ\Driver_Max\Adobe Illustrator CS5\Adobe.Illustrator.CS5.2010.PC\adobe_IL_CS5_keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
D:\АРХИВ\Driver_Max\Plagin\ImagPortrait23b2308Rus\Imagenomic Portraiture v2.3 build 2308 Rus\Imagenomic Portraiture v.2.3\Imagenomic_Кей тут рабочий\Imagenomic.Portraiture.v2.1-CORE\Keygen\CORE10k.EXE (Dont.Steal.Our.Software) -> Действие не было предпринято.
D:\АРХИВ\Driver_Max\Plagin\ImagPortrait23b2308Rus\Imagenomic Portraiture v2.3 build 2308 Rus\Imagenomic Portraiture v.2.3\Keygen\CORE10k.EXE (Dont.Steal.Our.Software) -> Действие не было предпринято.
D:\АРХИВ\Driver_Max\Plagin\INM.NPP.I4.2\INM.NPP.I4.2\Imagenomic Noiseware Professional PlugIn 4.2\MAC\KG-CORE\CORE10k.EXE (Dont.Steal.Our.Software) -> Действие не было предпринято.
D:\АРХИВ\Driver_Max\Plagin\INM.NPP.I4.2\INM.NPP.I4.2\Imagenomic Noiseware Professional PlugIn 4.2\WIN\KG-CORE\CORE10k.EXE (Dont.Steal.Our.Software) -> Действие не было предпринято.
D:\АРХИВ\Max\Stamp_kassy\Kassy\loader.exe (Trojan.Kates) -> Действие не было предпринято.

5 ссылок на результаты проверки приложите.

 

Деинсталлируйте ComboFix:

- нажмите Win+R

- в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt, запустите, нажмите Clean up

 

После проведённого лечения рекомендуется:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64

- обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!)

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

webalta только в Opera'e?

 

в адресной строке Opera введите opera:about

покажите скриншот путей.

 

 

 

выполните скрипт в AVZ^

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegSearch('HKEY_LOCAL_MACHINE ',' ','webalta');	
SaveLog(GetAVZDirectory+'webalta.txt');
RebootWindows(true);
end.

после перезагрузки приложите к новому сообщению файл webalta.txt из папки AVZ

Изменено 31 января, 2012 пользователем Roman_Five

[Velikodushniy]

Доброго времени суток

 

1. Сылки:

https://www.virustotal.com/file/1e937a35e00...0194d/analysis/

 

https://www.virustotal.com/file/fa04f7f0827...5959d/analysis/

 

https://www.virustotal.com/file/fa04f7f0827...5959d/analysis/

 

https://www.virustotal.com/file/fa04f7f0827...5959d/analysis/

 

https://www.virustotal.com/file/fa04f7f0827...5959d/analysis/

 

https://www.virustotal.com/file/aadf316ad9d...d8bf9/analysis/

 

2. ComboFix: Деинталировалось без проблем, в отличии от Вин 7 64 у меня дому

 

3.webalta только в Opera'e?

Вебалта Да только в опере. Загружал Хром там без проблем. В опере стоит домашняя страница opera:about. Скрин шот путей прикрепил.

 

4. Скрипт в AVZ выполнил. Так же прикрепил

 

5. Скачайте OTCleanIt, запустите, нажмите Clean up.

Единственное ЧП какое случилось после запуска КлинИт компьютер перезагрузился.... и больше не загружался зависал на бегунках при загрузке. Виснул наглухо только ресет. В безопасном режиме медленно но загрузился! Пришлось восстанавливать виндошными способами.

 

6. Ну и конечно же ВЕБАЛТА .... всё так же запускается

webalta.txt

Изменено 1 февраля, 2012 пользователем Velikodushniy

[Roman_Five]

Ну и конечно же ВЕБАЛТА

поищите на компьютере все файлы по маске operapref* (например, через TotalCommander) и покажите список, что нашлось.