баннер в браузере

@YuliaO · Регистрация: 24.02.2013

Студворк — интернет-сервис помощи студентам

Добрый вечер, помогите решить проблему : баннер нежелательного характера всплывает при открытии новых страниц во всех браузерах.

@Katharsis · 24.02.2013, 17:49

C:\Users\1\Desktop\foto15.scr - это ваша заставка рабочего стола?

@YuliaO · 24.02.2013, 21:23 **[ТС]**

Я такого файла вообще не нашла,
смотрела настройки, у нас заставка вообще не задана,
поиск выдает этот файл только в логах сканирования

@Katharsis · 24.02.2013, 21:30

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ _______________

1. В логе сканирования Hijackthis отметьте:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O17 - HKLM\System\CCS\Services\Tcpip\..\{20F92 249-843F-4857-A6B8-F0C24772D778}: NameServer = 37.157.255.228
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BD87 4E8-6F23-458B-AD49-28927189BAA6}: NameServer = 37.157.255.228
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F9F9 5B3-87DF-4E7F-AEDB-3E85480F2F8F}: NameServer = 37.157.255.228
O17 - HKLM\System\CCS\Services\Tcpip\..\{d8932 e52-6a6f-11db-b6ab-806e6f6e6963}: NameServer = 37.157.255.228
O17 - HKLM\System\CS1\Services\Tcpip\..\{20F92 249-843F-4857-A6B8-F0C24772D778}: NameServer = 37.157.255.228

нажмите "Fix checked"

если после этого пропадет подключение к интернету - в свойствах подключения - ipv4 - свойства - dns пропишите вручную днс своего провайдера, или публичные -8.8.8.8 alt 8.8.4.4

2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Code
1
2
3
4
5
6
7
begin
 DeleteFile('C:\Users\1\Desktop\foto15.scr');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
 RegKeyParamDel('HKEY_CURRENT_USER','Control Panel\Desktop','scrnsave.exe');
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

3. Почистите браузеры с помощью AVZ

меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте:

очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

очистите кэш dns командой ipconfig /flushdns

4. Сделайте новые логи AVZ (cт скрипт 2) и RSIT

5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

6. Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите webalta, нажмите "начать поиск", сохраните протокол и выложите в ответ. НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!.

@YuliaO · 25.02.2013, 15:12 **[ТС]**

При выполнении пункта 5 возникла ошибка в конце сканирования: Виндоус завершил работу с ошибкой (синий экран) потом все нормально включилось, но вот логи так и не получилось сделать (сканирование пыталась провести 2 раза, результат - одинаковый).
Пункт 6 можно выполнять или не стоит пока? (боюсь, вдруг Винд вообще полетит)
Вот новые логи по пункту 4

@YuliaO · 25.02.2013, 15:17 **[ТС]**

Прошу прощения. все-таки ночью вчера досканировалось до конца, вот лог нашла:

@Katharsis · 25.02.2013, 15:46

из найденного mBAM удалите:

Обнаруженные ключи в реестре: 32
HKCR\AppID\{6A44A601-E455-47D9-9712-0B79EEE39A9C} (PUP.Rubar) -> Действие не было предпринято.
HKCR\AppID\{9285AB27-8BD7-421A-9AA5-2523C00D4E4A} (PUP.Rubar) -> Действие не было предпринято.
HKCR\AppID\{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E} (Trojan.BHO) -> Действие не было предпринято.
HKCR\AppID\{D17B4854-A796-4173-9775-5FB684E40ADA} (PUP.Rubar) -> Действие не было предпринято.
HKCR\CLSID\{0411B32B-E91D-4208-8913-9DB95BE806C3} (PUP.Rubar) -> Действие не было предпринято.
HKCR\Broker.ServerLayer.1 (PUP.Rubar) -> Действие не было предпринято.
HKCR\Broker.ServerLayer (PUP.Rubar) -> Действие не было предпринято.
HKCR\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC} (Trojan.BHO) -> Действие не было предпринято.
HKCR\CLSID\{7A05BDCB-8F81-45C5-B9EC-3764E6FC1439} (PUP.Rubar) -> Действие не было предпринято.
HKCR\CLSID\{111c2073-40b4-433e-a04d-81cd15968e8a} (PUP.Rubar) -> Действие не было предпринято.
HKCR\TypeLib\{C41FAEC8-6123-4F4D-8B1F-426AF5F9A59A} (PUP.Rubar) -> Действие не было предпринято.
HKCR\Interface\{270860E2-0441-4BB9-9FE1-FAE0ECBB2E97} (PUP.Rubar) -> Действие не было предпринято.
HKCR\iebar.PluginCore.1 (PUP.Rubar) -> Действие не было предпринято.
HKCR\iebar.PluginCore (PUP.Rubar) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentV ersion\Ext\Settings\{111C2073-40B4-433E-A04D-81CD15968E8A} (PUP.Rubar) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentV ersion\Ext\Stats\{111C2073-40B4-433E-A04D-81CD15968E8A} (PUP.Rubar) -> Действие не было предпринято.
HKCR\iebar.PluggableProtocol.1 (PUP.Rubar) -> Действие не было предпринято.
HKCR\iebar.PluggableProtocol (PUP.Rubar) -> Действие не было предпринято.
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\snogswibatelnye_sekrety_Dlja_Avtolj ubite.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\CLSID\{8DBC3732-863F-41B4-9A36-BCDBEB05E7C5} (PUP.Rubar) -> Действие не было предпринято.
HKCR\Interface\{8DBC3732-863F-41B4-9A36-BCDBEB05E7C5} (PUP.Rubar) -> Действие не было предпринято.
HKCR\CLSID\{BC64691C-C3A7-4913-9301-6D323BC72B93} (PUP.Rubar) -> Действие не было предпринято.
HKCR\TypeLib\{6515FF50-8533-49F9-B5A1-8839E9DF8E22} (PUP.Rubar) -> Действие не было предпринято.
HKCR\Interface\{72FA4765-9255-4C69-AB1F-23F78B3D94D6} (PUP.Rubar) -> Действие не было предпринято.
HKCR\Broker.RubarDealer.1 (PUP.Rubar) -> Действие не было предпринято.
HKCR\Broker.RubarDealer (PUP.Rubar) -> Действие не было предпринято.
HKCR\CLSID\{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} (PUP.Rubar) -> Действие не было предпринято.
HKCR\iebar.Searcher.1 (PUP.Rubar) -> Действие не было предпринято.
HKCR\iebar.Searcher (PUP.Rubar) -> Действие не было предпринято.
HKCR\PROTOCOLS\Handler\rubar (PUP.Rubar) -> Действие не было предпринято.
HKCU\Software\Windows Rubar Defender (PUP.SetToolbar) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{111C2073-40B4-433E-A04D-81CD15968E8A} (PUP.Rubar) -> Параметры: musicbar -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Internet Settings\5.0\User Agent\Post Platform|RubarToolbar4552 (PUP.Rubar) -> Параметры: -> Действие не было предпринято.

Обнаруженные папки: 2
C:\Users\1\Documents\Documents\Iterra (Trojan.Agent) -> Действие не было предпринято.
C:\ProgramData\RubarEngine (PUP.RuBar) -> Действие не было предпринято.

Обнаруженные файлы: 8
C:\Program Files\musicbar Toolbar\rubar.dll (PUP.Rubar) -> Действие не было предпринято.
C:\ProgramData\RubarEngine\RubarEngine.e xe (PUP.Rubar) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\Mozilla\Firef ox\Profiles\ofzp2p2n.default\extensions\ {c7c06969-0b1f-46a4-8ff5-3431772e16b9}\components\dllhelper.dll (Adware.Agent) -> Действие не было предпринято.
C:\Program Files\musicbar Toolbar\RubarUpdateService.exe (PUP.RuBar) -> Действие не было предпринято.
G:\Users\1\AppData\Roaming\Mozilla\Firef ox\Profiles\ofzp2p2n.default\extensions\ {c7c06969-0b1f-46a4-8ff5-3431772e16b9}\components\dllhelper.dll (Adware.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\avdrn.dat (Malware.Trace) -> Действие не было предпринято.
C:\Users\1\Documents\Documents\Iterra\T0 3emp03.reg (Trojan.Agent) -> Действие не было предпринято.

Rubar если нужен - не трогайте строки, где он упоминается

с проблемой что?

@YuliaO · 25.02.2013, 16:29 **[ТС]**

В опере не появляется больше, другие браузеры не проверила пока.
Извините, а как удалить все то что перечислено в Вашем посте?

@YuliaO · 25.02.2013, 16:45 **[ТС]**

Вот протокол по пункту 6 (насчет webalta)

@Katharsis · 25.02.2013, 16:52

отметить то что в списке и нажать кнопку удалить. если закрыли программу - просканируйте только диск С заново

все найденные записи webalta удалите тоже (ПКМ - выбрать все - удалить)

@YuliaO · 25.02.2013, 19:15 **[ТС]**

Проверила все браузеры: банер не появляется. А в Опера в строке поиска до сих пор : Искать в Webalta Search. Почему?

@Katharsis · 25.02.2013, 19:25

назначьте вручную нужную поисковую страницу, проверьте

@YuliaO · 25.02.2013, 19:38 **[ТС]**

так и сделала, поссле перезагрузки больше не появилось. спасибо. А по-поводу "синего экрана" во время сканирования Malwarebytes' Anti-Malware стоит обратится за помощью в соседнюю темку или такое бывает?

@Katharsis · 25.02.2013, 19:41

если это один раз было, то ниче страшного

Рекомендации после удаления вредоносного ПО

для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

@YuliaO · 25.02.2013, 20:27 **[ТС]**

Вот лог сканирования

Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 25.02.2013 20:33:04
Program directory: C:\Users\1\AppData\Local\Temp\SecurityCh eck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=3.2
Диск C:\ ФС: NTFS Емкость: (42.4 Гб) Занято: (35.3 Гб) Свободно: (7.1 Гб)
________________________________________ __________

WIN_VISTA(6.0) Build 6000 (x86) HomeBasic Lang: Russian(0419)
Дата установки ОС: 20.04.2008 18:03:04
Статус лицензии: Windows(TM) Vista, HomeBasic edition Постоянная активация прошла успешно.
Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 7.0.6000.16764 Внимание! Скачать обновления
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2009-01-10 16:30:18
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена
-------------OtherUtilities-----------------------
Ccleaner 2.07.575
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
Java(TM) 6 Update 31 v.6.0.310 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u41-windows-i586.exe)^
Java(TM) SE Runtime Environment 6 v.1.6.0.0
-------------AdobeProduction----------------------
Adobe Flash Player 10 ActiveX v.10.0.45.2 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.5.502.149 Внимание! Скачать обновления
Adobe Reader X (10.1.5) v.10.1.5 Внимание! Скачать обновления
-------------Browser------------------------------
Mozilla Firefox 17.0.1 (x86 ru) v.17.0.1 Внимание! Скачать обновления
Opera 12.10 v.12.10.1652 Внимание! Скачать обновления
Opera 9.60 build 10447 v.v 9.60 build 10447 Внимание! Скачать обновления
Google Chrome v.25.0.1364.97 [+]
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.12.10.1652.0
-------------EndLog-------------------------------

@Katharsis · 25.02.2013, 20:30

обновляйтесь

@YuliaO · 28.02.2013, 16:04 **[ТС]**

Здравствйте, еще не все: После обновления виста не загружается. Я конечно напиисала сообщние в теме висты, но сне поняла из ответа что делать. По-моему где то здесь читала про утилиту которую можно запустить с флэшки или диска, почистить реестр и виндоус вернется как был до обновления. Или это не моя сиуация?

@Katharsis · 28.02.2013, 16:08

можно откатить систему на более раннее состояние и удалить обновления, если у вас есть диск с дистрибутивом

@YuliaO · 28.02.2013, 16:31 **[ТС]**

Пока диск не найден...

@Katharsis · 28.02.2013, 17:03

скачайте любой образ Win vista, запишите на диск или флешку и пользуйтесь

Новые блоги и статьи Все статьи Все блоги /
Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .	Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .
Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .	Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .	Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	24.02.2013, 17:49
	C:\Users\1\Desktop\foto15.scr - это ваша заставка рабочего стола? 0

@YuliaO 0 / 0 / 0 Регистрация: 24.02.2013 Сообщений: 30
	24.02.2013, 21:23 [ТС]
	Я такого файла вообще не нашла, смотрела настройки, у нас заставка вообще не задана, поиск выдает этот файл только в логах сканирования 0

@YuliaO 0 / 0 / 0 Регистрация: 24.02.2013 Сообщений: 30
	25.02.2013, 16:29 [ТС]
	В опере не появляется больше, другие браузеры не проверила пока. Извините, а как удалить все то что перечислено в Вашем посте? 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	25.02.2013, 16:52
	отметить то что в списке и нажать кнопку удалить. если закрыли программу - просканируйте только диск С заново все найденные записи webalta удалите тоже (ПКМ - выбрать все - удалить) 1

@YuliaO 0 / 0 / 0 Регистрация: 24.02.2013 Сообщений: 30
	25.02.2013, 19:15 [ТС]
	Проверила все браузеры: банер не появляется. А в Опера в строке поиска до сих пор : Искать в Webalta Search. Почему? 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	25.02.2013, 19:25
	назначьте вручную нужную поисковую страницу, проверьте 0

@YuliaO 0 / 0 / 0 Регистрация: 24.02.2013 Сообщений: 30
	25.02.2013, 19:38 [ТС]
	так и сделала, поссле перезагрузки больше не появилось. спасибо. А по-поводу "синего экрана" во время сканирования Malwarebytes' Anti-Malware стоит обратится за помощью в соседнюю темку или такое бывает? 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	25.02.2013, 19:41
	если это один раз было, то ниче страшного Рекомендации после удаления вредоносного ПО для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	25.02.2013, 20:30
	обновляйтесь 0

@YuliaO 0 / 0 / 0 Регистрация: 24.02.2013 Сообщений: 30
	28.02.2013, 16:04 [ТС]
	Здравствйте, еще не все: После обновления виста не загружается. Я конечно напиисала сообщние в теме висты, но сне поняла из ответа что делать. По-моему где то здесь читала про утилиту которую можно запустить с флэшки или диска, почистить реестр и виндоус вернется как был до обновления. Или это не моя сиуация? 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	28.02.2013, 16:08
	можно откатить систему на более раннее состояние и удалить обновления, если у вас есть диск с дистрибутивом 0

@YuliaO 0 / 0 / 0 Регистрация: 24.02.2013 Сообщений: 30
	28.02.2013, 16:31 [ТС]
	Пока диск не найден... 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	28.02.2013, 17:03
	скачайте любой образ Win vista, запишите на диск или флешку и пользуйтесь 0