Webalta

Здравствуйте! Помогите пожалуйста с данным зловредом. Установился с какой-то программой. Касперский его не определяет. Пробовал различные манипуляции. И реестр чистил, и папки его удалял, и в файле hosts его блокировал - все бестолку.
Постоянно открывает эту страницу в браузерах в кол-че 2-5 штук. Что делать? Заранее спасибо!!

Уважаемый(ая) [B]Роман Спы[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте.

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

По ярлыку браузера, которым его запускаете, правой кнопкой мыши - Свойства - закладка Ярлык - поле Объект.
Там проветьте, чтобы кроме пути к исполняемому файлу браузера в кавычках не было ничего лишнего.
Если есть, отредактируйте и нажмите ОК.
Повторите это со всеми вашими браузерами, во всех местах, где есть их ярлыки (рабочий стол, панель быстрого запуска и т.п.)

Сделайте лог MBAM [URL="http://virusinfo.info/showthread.php?t=53070"](как сделать)[/URL]и приложите.

Выполнил скрипт.
В IE - была прописана строка - стер. Во всех остальных - нет.
Лог прикладываю. Проблема не решена. Спасибо.

Удалите в МВАМ [URL="http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584"](как удалить)[/URL]:
[CODE]
Обнаруженные ключи в реестре: 11
HKCR\CLSID\{75A4D144-506D-4BE5-81DB-EC7DA1E7F840} (PUP.Funmoods) -> Действие не было предпринято.
HKCR\TypeLib\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706} (PUP.Funmoods) -> Действие не было предпринято.
HKCR\esrv.funmoodsESrvc.1 (PUP.Funmoods) -> Действие не было предпринято.
HKCR\esrv.funmoodsESrvc (PUP.Funmoods) -> Действие не было предпринято.
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKCU\Software\Google\Chrome\Extensions\bbjciahceamgodcoidkjpchnokgfpphh (PUP.Funmoods) -> Действие не было предпринято.
HKLM\SOFTWARE\Google\Chrome\Extensions\bbjciahceamgodcoidkjpchnokgfpphh (PUP.Funmoods) -> Действие не было предпринято.

Обнаруженные папки: 3
C:\PROGRAM FILES (X86)\Funmoods (PUP.FunMoods) -> Действие не было предпринято.
C:\PROGRAM FILES (X86)\Funmoods\1.5.23.22 (PUP.FunMoods) -> Действие не было предпринято.
C:\PROGRAM FILES (X86)\Funmoods\1.5.23.22\bh (PUP.FunMoods) -> Действие не было предпринято.

Обнаруженные файлы: 30
C:\PROGRAM FILES (X86)\Funmoods\1.5.23.22\FUNMOODSSRV.EXE (PUP.Funmoods) -> Действие не было предпринято.
C:\Program Files (x86)\Funmoods\1.5.23.22\escortApp.dll (PUP.FunMoods) -> Действие не было предпринято.
C:\Program Files (x86)\Funmoods\1.5.23.22\escortEng.dll (PUP.FunMoods) -> Действие не было предпринято.
C:\Program Files (x86)\Funmoods\1.5.23.22\escorTlbr.dll (PUP.FunMoods) -> Действие не было предпринято.
C:\Program Files (x86)\Funmoods\1.5.23.22\uninstall.exe (PUP.FunMoods) -> Действие не было предпринято.
C:\Program Files (x86)\Funmoods\1.5.23.22\bh\escort.dll (PUP.Funmoods) -> Действие не было предпринято.

F:\Temp\piuzewemmoyg.exe (Trojan.Agent) -> Действие не было предпринято.

C:\Users\САНЯ\LOCAL SETTINGS\APPLICATION DATA\Google\Chrome\USER DATA\Default\LOCAL STORAGE\CHROME-EXTENSION_BBJCIAHCEAMGODCOIDKJPCHNOKGFPPHH_0.LOCALSTORAGE (PUP.Funmoods) -> Действие не было предпринято.
C:\Users\САНЯ\AppData\Local\Google\Chrome\USER DATA\Default\LOCAL STORAGE\CHROME-EXTENSION_BBJCIAHCEAMGODCOIDKJPCHNOKGFPPHH_0.LOCALSTORAGE (PUP.Funmoods) -> Действие не было предпринято.
C:\Users\САНЯ\AppData\Local\funmoods.crx (PUP.Funmoods) -> Действие не было предпринято.
C:\Users\САНЯ\LOCAL SETTINGS\APPLICATION DATA\funmoods.crx (PUP.Funmoods) -> Действие не было предпринято.
c:\windows\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
C:\PROGRAM FILES (X86)\Funmoods\1.5.23.22\escortShld.dll (PUP.FunMoods) -> Действие не было предпринято.
C:\PROGRAM FILES (X86)\Funmoods\1.5.23.22\FavIcon.ico (PUP.FunMoods) -> Действие не было предпринято.
[/CODE]

Проверьте наличие папки и файла:
[CODE]C:\Users\САНЯ\AppData\Local\Webalta Toolbar\uninstall.exe[/CODE]
Если есть, запустите этот файл.

В IE проблема с вебальтой продолжается?

Делаю заново проверку MBAM, чтобы удалить то, что Вы указали
Папки wealta нет. Подозреваю, что стер её, пытаясь удались всё.
В IE - вместо webalta стала открываться funmoods. Во всех остальных браузерах проблема пока продолжается. Отпишусь по выполнение операции. Спасибо.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Все сделал как вы сказали - безрезультатно :(

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Search"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner[R1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Вот.

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Delete"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST][B]Внимание: [COLOR="Red"]Для успешного удаления может потребоваться [U]перезагрузка компьютера[/U]!!![/COLOR][/B]

отпишитесь, что с проблемой.

Всё так же открывается этот зловещий сайт :(

[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url]

Сделал.

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url]

[CODE];uVS v3.77.6 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

breg
delref HTTP://HOME.WEBALTA.RU/?NEW
delref HTTP://START.FUNMOODS.COM/?F=1&A=IRONPUB&CHNL=IRONPUB&CD=2XZUYETN2Y1L1QZUYETDYE0ATDTATC0BTA0FYBYBYE0E0EYETN0D0TZU0STBYCYDTN1L2XZUTBTFTCTFTCTFTATCTB&CR=991432324
zoo %SystemDrive%\USERS\САНЯ\APPDATA\ROAMING\FUNMOODS\UPDATEPROC\UPDATETASK.EXE
delall %SystemDrive%\USERS\САНЯ\APPDATA\ROAMING\FUNMOODS\UPDATEPROC\UPDATETASK.EXE
restart[/CODE]

отпишитесь, что с проблемой ?

Выполнил скрипт - проблема не решена. Появился вот такой текстовой файл.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

И да - funmods удалился, осталось только вебальта

Сделайте логи [URL="http://virusinfo.info/showthread.php?t=115256&p=859292#post859292"][B]RSIT[/B][/URL]

Вот.

Выполните скрипт в AVZ:
[CODE]begin
QuarantineFile('C:\Users\САНЯ\AppData\Roaming\bezpaleva.exe','');
QuarantineFile('C:\Windows\________.scr','');
QuarantineFile('C:\Windows\uninstall ________.exe','');
QuarantineFile('C:\Windows\_______1.scr','');
QuarantineFile('C:\Windows\uninstall _______1.exe','');
QuarantineFile('C:\Windows\_______2.scr','');
QuarantineFile('C:\Windows\uninstall _______2.exe','');
BC_ImportAll;
BC_Activate;
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

+ еще раз проверьте ярлыки браузеров, на рабочем столе, в панели быстрого запуска. [quote="Nikkollo;973812"]По ярлыку браузера, которым его запускаете, правой кнопкой мыши - Свойства - закладка Ярлык - поле Объект.
Там проветьте, чтобы кроме пути к исполняемому файлу браузера в кавычках не было ничего лишнего.
Если есть, отредактируйте и нажмите ОК.[/quote]

Все - webalta не вылазиет. Наверное верхний скрипт помог. Спасибо! Архив с карантином - 38 мб. - Куда его девать?

[quote="Роман Спы;974008"]Куда его девать?[/quote]
Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
[quote="Роман Спы;974008"]Все - webalta не вылазиет. Наверное верхний скрипт помог.[/quote]
Должен был помочь скрипт из поста N13 в этой теме.

Карантин загрузил