Как избавится от webalta.ru

[Tiare]

+ к вышесказанному

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

d:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\4HxZRYno3FM.exe

d:\windows\pss\4HxZRYno3FM.exe

C:\WINDOWS\system32\wuauserv.dll

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('d:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\4HxZRYno3FM.exe','');
QuarantineFile('d:\windows\pss\4HxZRYno3FM.exe','');
QuarantineFile('C:\WINDOWS\system32\wuauserv.dll','');
DeleteFile('d:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\4HxZRYno3FM.exe');
DeleteFile('d:\windows\pss\4HxZRYno3FM.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

поищите на компьютере все файлы по маске operapref* (например, через TotalCommander) и покажите список, что нашлось.

найденные файлы (например, operaprefs.ini) заархивируйте и прикрепите в теме.

Изменено 1 февраля, 2012 пользователем Tiare

[Velikodushniy]

поищите на компьютере все файлы по маске operapref* (например, через TotalCommander) и покажите список, что нашлось.

 

Вот все что нашел.

Винда у меня стоит на диске D:

 

поищите на компьютере все файлы по маске operapref* (например, через TotalCommander) и покажите список, что нашлось.

 

Вот все что нашел.

Вина у меня стоит на диске D:

 

d:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\4HxZRYno3FM.exe

d:\windows\pss\4HxZRYno3FM.exe

C:\WINDOWS\system32\wuauserv.dll

Вот ссылка относительно второго файла. Думаю его тоже нужно грохнуть ибо какойто он неадекватный. Не помню чтоб на моем компьютере были такие екзешники.

https://www.virustotal.com/file/afac91a5857...6dd84/analysis/

 

Первого и последнего файла не нашлось. Первый помню сам что удалил из Автозагрузки

а wuauserv.dll не нашел.

 

Quarantine отправил в лабораторию. Но что то с ответом они не спешат.

 

Может попросту убить Оперу и переустановить. Это то проще всего сделать, но что то мне подсказывает что уж ТАК просто дело не решишь! ((

 

Постоянно в реестре возобновляется вот эта ветка (см. принскрин) с таким загадочным именем Last CommandLine v2 думаю НОГИ от сюда растут НО что это и где оно ? Не знаю и что за процес такой который запускает эту вебалту (D:\Program Files\Opera\opera.exe http://start.webalta.ru) Вы случаем не знаете, есть по реестру спецы ?

Архив.rar

Изменено 2 февраля, 2012 пользователем Velikodushniy

[Roman_Five]

в файле operaprefs.ini найдите строку

Home URL=http://start.webalta.ru

и измените по своему усмотрению

 

при незапущенной Opera

[Velikodushniy]

в файле operaprefs.ini найдите строку

Home URL=http://start.webalta.ru

и измените по своему усмотрению

 

при незапущенной Opera

 

Фуууууууууууу озадачила эта гребанная вебалта

Было найдено три operaprefs.ini. Вот по этим путям.

 

D:\Documents and Settings\Администратор\Application Data\Opera\Opera

D:\Documents and Settings\Администратор\Application Data\Opera\Opera Widget Installer

D:\Documents and Settings\Администратор\Application Data\Opera\Widget Яндекс.Погода 1.0

 

Больше ничего не находит. Во всех адрес был изменен на ya.ru

НО увы всё так же Вебалта и выскакивает ((((((

Капец какой то. Какие будут еще предложения.

Изменено 2 февраля, 2012 пользователем Velikodushniy

[Roman_Five]

Было найдено три operaprefs.ini.

на преддыдущих скринах были ещё файлы.

1) в профиле пользователя на диске С

2) в папке Opera на диске D

 

в реестре вручную исправьте так, чтобы осталась только ...\opera.exe

 

поищите ещё файлы opera6.ini

[Velikodushniy]

на преддыдущих скринах были ещё файлы.

1) в профиле пользователя на диске С

2) в папке Opera на диске D

 

в реестре вручную исправьте так, чтобы осталась только ...\opera.exe

 

поищите ещё файлы opera6.ini

 

Да на диске С: нашел но там стояла страница совершенно другая не вебалта, все же её тоже поменял на всякий случай на ya.ru

 

что касается еще одного ини в папке оперы

то там лишь вот такая строка

Home URL=opera:about

 

в реестре вручную исправьте так, чтобы осталась только ...\opera.exe

Самый большой прикол втом что после перезагрузки все возвращается обратно. Я и удалял эту ветку и все равно одно и тоже. Где то есть значит другая оснавная ветка или программа которая все запускает с ноля! Но где ?

Изменено 2 февраля, 2012 пользователем Velikodushniy

[Tiare]

operaprefs.ini - попробуйте отредактировать в безопасном режиме, при выгруженном антивирусном/защитном ПО

Home URL=http://start.webalta.ru

-пропишите домашнюю страницу вручную

 

 

Поиск в реестре по webalta показал только одно измененное значение?

попробуйте отредактировать так

[Velikodushniy]

operaprefs.ini - попробуйте отредактировать в безопасном режиме, при выгруженном антивирусном/защитном ПО

-пропишите домашнюю страницу вручную

 

 

Поиск в реестре по webalta показал только одно измененное значение?

попробуйте отредактировать так

 

Просмотрел в безопасном режиме специально еще раз повторно. Все ини файлы с ya.ru

которые менял еще в обычном режиме.

 

Поиск в реестре по webalta показал только одно измененное значение?

Относительно реестра других никаких строк нет и всегда одна и таже строка оживает!

Изменил в безопасном режиме её еще раз. НЕ ПОМОГЛО ((( Всё та же вебалта.

Изменено 2 февраля, 2012 пользователем Velikodushniy

[Tiare]

ПКМ на ярлык Опера на рабочем столе - Свойства - Объект (ничего лишнего не прописано кроме пути к Опере)? Если все нормально, тогда попробуйте переустановить оперу...

[Velikodushniy]

ПКМ на ярлык Опера на рабочем столе - Свойства - Объект (ничего лишнего не прописано кроме пути к Опере)? Если все нормально, тогда попробуйте переустановить оперу...

 

УРРРРРРРРРРРРАААААААААААА !

Tiare Где ж вы раньше были ) А ларчик просто открывался!

В общем все дело было в ЯРЛЫКЕ )))

Убрал вебалту и всё.

Реестр чист никаких больше нет вебалт!

ФУУУУУУУУУУХХХХХХХ обалдеть можно.

 

Вот эта строка была в ярлыке:

"D:\Program Files\Opera\opera.exe" http://start.webalta.ru

 

СПАСИБО ОГРОМНОЕ вам ! Roman_Five и Tiare Без вас бы ну никак не справился! Спасибо за то что Вы действительно помогаете людям!

[Tiare]

Tiare Где ж вы раньше были ) А ларчик просто открывался!

В общем все дело было в ЯРЛЫКЕ )))

 

я рада, что все хорошо закончилось)))))

 

 

P.S. ответ по отправленному карантину все еще актуален

 

скрипт выполнили, сделайте контрольный лог RSIT

Изменено 2 февраля, 2012 пользователем Tiare

[Velikodushniy]

Я РАДА,что все хорошо закончилось)))))

Обалдеть, да вы еще и девушка! Ну прям взял бы и расцеловал ей богу !

 

я рада, что все хорошо закончилось)))))

 

 

P.S. ответ по отправленному карантину все еще актуален

 

скрипт выполнили, сделайте контрольный лог RSIT

Что касается ответа ОК я понял, как придет ХОТЬ один из них сразу выложу

 

 

Скрипты да выполнил еще раньше! )

 

сделайте контрольный лог RSIT

Да ради такого дела, да для Вас, всё что угодно !

info.txt

log.txt

Изменено 2 февраля, 2012 пользователем Velikodushniy

[Tiare]

После проведённого лечения рекомендуется:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64

- обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!)

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

все еще актуально

 

+

d:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\4HxZRYno3FM.exe

- файла нет, только запись осталась. Можете отредактировать вручную, т.е. удалите лишнее

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^Администратор^Главное меню^Программы^Автозагрузка^4HxZRYno3FM.exe]

D:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\4HxZRYno3FM.exe

[lim100]

Строгое предупреждение от модератора thyrex

Устное предупреждение за нарушение правил раздела борьбы с вирусами