WebAlta

@bensazonov · Регистрация: 27.02.2013

Author24 — интернет-сервис помощи студентам

Опять ВебАльта. Уже достала, сил нет. Опять мама халявный софт искала. Пожалуйста, помогите.

@shestale · 01.03.2013, 19:17

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\018B~1.COM\AppData\Local\Temp\SpeedAnalysis854002.exe','');
 DeleteFile('C:\Users\018B~1.COM\AppData\Local\Temp\SpeedAnalysis854002.exe');
 DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SpeedAnalysis854002.exe');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

2. После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

4. Пофиксите в HJT эти строки (некоторых строк может не быть):

Код

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O4 - HKCU\..\Run: [SpeedAnalysis854002.exe] "C:\Users\018B~1.COM\AppData\Local\Temp\SpeedAnalysis854002.exe" /XML="C:\Users\018B~1.COM\AppData\Local\Temp\F3DF.tmp" /STP=0:1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)

5. Сделайте новые логи AVZ и Rsit и прикрепите к сообщению.

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!

7.

AVZ - сервис - поиск данных в реестре.
В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.
Поиск не закрывайте

@bensazonov · 02.03.2013, 14:49 **[ТС]**

Всё сделал, жду ответа.

@~~Katharsis~~ · 02.03.2013, 15:58

удалите это:

Обнаруженные папки: 2
C:\Windows\assembly\GAC_MSIL\WebAltaSearch (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88 (PUP.ToolBar.WA) -> Действие не было предпринято.

Обнаруженные файлы: 6
D:\$RECYCLE.BIN\S-1-5-21-701577173-1577102143-3350478766-1000\$RGTFTJS\TDU.exe (Packer.ModifiedUPX) -> Действие не было предпринято.
D:\RECYCLER\S-1-5-21-854245398-1844823847-1417001333-1003\De14.exe (PUP.BundleInstaller.ML) -> Действие не было предпринято.

Сообщение от shestale

AVZ - сервис - поиск данных в реестре.
В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.
Поиск не закрывайте

не забудьте

@bensazonov · 02.03.2013, 18:10 **[ТС]**

Извиняюсь, забыл выложить протокол. файлы удалил.

@~~Katharsis~~ · 03.03.2013, 14:10

Удалите все найденное (ПКМ по списку - выбрать все - удалить)

проверьте ярлыки браузеров, чтобы в свойства (поле "объект") не была дописана вебальта. Исправьте вручную домашние и поисковые страницы на нужные, почистите кэш и куки, проверьте результат

Добавлено через 19 часов 43 минуты
проблема решена?

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	01.03.2013, 19:17	2
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ 1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\018B~1.COM\AppData\Local\Temp\SpeedAnalysis854002.exe',''); DeleteFile('C:\Users\018B~1.COM\AppData\Local\Temp\SpeedAnalysis854002.exe'); DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SpeedAnalysis854002.exe'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! 2. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. 3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме. 4. Пофиксите в HJT эти строки (некоторых строк может не быть): Код R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing) O4 - HKCU\..\Run: [SpeedAnalysis854002.exe] "C:\Users\018B~1.COM\AppData\Local\Temp\SpeedAnalysis854002.exe" /XML="C:\Users\018B~1.COM\AppData\Local\Temp\F3DF.tmp" /STP=0:1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file) 5. Сделайте новые логи AVZ и Rsit и прикрепите к сообщению. 6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Программу не закрывайте и самостоятельно ни чего не удаляйте! 7. AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда. Поиск не закрывайте 1

@~~Katharsis~~ Заблокирован
	02.03.2013, 15:58	4
	удалите это: Обнаруженные папки: 2 C:\Windows\assembly\GAC_MSIL\WebAltaSearch (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88 (PUP.ToolBar.WA) -> Действие не было предпринято. Обнаруженные файлы: 6 D:\$RECYCLE.BIN\S-1-5-21-701577173-1577102143-3350478766-1000\$RGTFTJS\TDU.exe (Packer.ModifiedUPX) -> Действие не было предпринято. D:\RECYCLER\S-1-5-21-854245398-1844823847-1417001333-1003\De14.exe (PUP.BundleInstaller.ML) -> Действие не было предпринято. Сообщение от shestale AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда. Поиск не закрывайте не забудьте 1

@~~Katharsis~~ Заблокирован
	03.03.2013, 14:10	6
	Удалите все найденное (ПКМ по списку - выбрать все - удалить) проверьте ярлыки браузеров, чтобы в свойства (поле "объект") не была дописана вебальта. Исправьте вручную домашние и поисковые страницы на нужные, почистите кэш и куки, проверьте результат Добавлено через 19 часов 43 минуты проблема решена? 1