Навязчивая webalta в браузерах

[regist]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.

Код:

KillAll::

DeQuarantine::
C:\Qoobox\Quarantine\c:\windows\system32\odbcad32.exe

Firefox::
FF - prefs.js: keyword.URL - hxxp://webalta.ru/search?from=FF&q=
FF - prefs.js: network.proxy.ftp - 106.187.36.159
FF - prefs.js: network.proxy.ftp_port - 3128
FF - prefs.js: network.proxy.http - 106.187.36.159
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.socks - 106.187.36.159
FF - prefs.js: network.proxy.socks_port - 3128
FF - prefs.js: network.proxy.ssl - 106.187.36.159
FF - prefs.js: network.proxy.ssl_port - 3128

FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

отпишитесь, что с проблемами.

[And24]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
отпишитесь, что с проблемами.

Сохранил код в файл. Перетащил его на иконку. Программа отработала - компьютер перезагрузился . .... завис. Вернее висело окно ComboFix без всякого действия порядка 20-30 минут.... Пришлось перезагрузиться.
Еще раз запустил ComboFix. Новый лог прикладываю.

P.S. Панель быстрого запуска не появилась. Поиск в браузере вроде как перестал перенаправлять на webata .....

[regist]

And24, обратите внимание,

сохраните как файл с названием CFScript.txt на диск С.

сохраните на этот раз на диск С и файл комбофикса тоже перенесите в корень диска C:\ и повторите процедуру.

[And24]

And24сохраните на этот раз на диск С и файл комбофикса тоже перенесите в корень диска C:\ и повторите процедуру.

Результат тот же.... перезагрука и висит окно комбофикса.

Что-то от троянов/вирусов осталось в системе, или это борьба за панель быстрого запуска?

[PavelA]

Что-то от троянов/вирусов осталось в системе,

Это борьба с остатками Вебалты + сборкой от Зверя, которой является Ваша система.

1.Насчет быстрого запуска - сама директория с иконками на диске сохранилась? Примерно в этом месте: %AppData%\Microsoft\Internet Explorer\Quick Launch

2.проверь наличие ключика в реестре: HKEY_Current_User\software\microsoft\windows\curre ntversion\policies\explorer
change the NoSaveSettings. Это можно сделать через AVZ или regedit.

3. Диск с дистрибутивом есть? Если да, то попробуй выполнить sfc /scannow

[And24]

Это борьба с остатками Вебалты + сборкой от Зверя, которой является Ваша система.
1.Насчет быстрого запуска - сама директория с иконками на диске сохранилась? Примерно в этом месте: %AppData%\Microsoft\Internet Explorer\Quick Launch

Иконки все есть. Я ведь каждый раз заново подключаю панель. На всякий случай проверил - все там.

2.проверь наличие ключика в реестре: HKEY_Current_User\software\microsoft\windows\curre ntversion\policies\explorer
change the NoSaveSettings. Это можно сделать через AVZ или regedit.

Параметра NoSaveSettings не увидел. У меня эта ветка выглядит так:

a6e2f76fd822.jpg

3. Диск с дистрибутивом есть? Если да, то попробуй выполнить sfc /scannow

Именно того дистрибутива видимо уже нет. Другой от XP подойдет?

[regist]

Именно того дистрибутива видимо уже нет. Другой от XP подойдет?

подойдёт если он той же локализации и с тем же сервис паком.

- - - Updated - - -

Результат тот же.... перезагрука и висит окно комбофикса.

новый лог работы комбофикса прикрепите

[And24]

подойдёт если он той же локализации и с тем же сервис паком.

а можно как то натравить команду sfc /scannow на виртуальный диск с дистрибутивом windows?
Подключил образ через daemon tools но при запуске команды диск с дистрибутивом указать не получается....

новый лог работы комбофикса прикрепите

прикладываю новый лог

[And24]

все чисто?

[PavelA]

Нет. Все плохо. Вебалта восстановилась из небытия. Придется подходить к этому вопросу радикально. Удалите профиль пользователя в Мозилле, при запуске она попросит создать новый. Согдаситесь и посмотрите будет Вебалта в настройках или нет.

[And24]

Нет. Все плохо. Вебалта восстановилась из небытия. Придется подходить к этому вопросу радикально. Удалите профиль пользователя в Мозилле, при запуске она попросит создать новый. Согдаситесь и посмотрите будет Вебалта в настройках или нет.

Удалил профиль в Мозилле. Создал новый.

Выполнил sfc /scannow - панель быстрого запуска так и не восстановилась. Ярлыки с нее целы, но при каждом перезапуске подключать ее приходится в ручную.....

Сделал новый лог работы комбофикса....

[PavelA]

ВебАлты не видно.

Пуск -- Выполнить regsvr32 /u shell32.dll затем regsvr32 /i shell32.dll

[And24]

ВебАлты не видно.

Спасибо.

Пуск -- Выполнить regsvr32 /u shell32.dll затем regsvr32 /i shell32.dll

выполнил.
Панель быстрого запуска все так же отключается при перезагрузке......

Решил для себя вопрос по другому. Установил True Launch Bar. При перезагрузке панель выжила
Тему можно закрывать.

[PavelA]

Панель быстрого запуска все так же отключается при перезагрузке......

Значит, кроме ключей в реестре и этой библиотеки для нее еще что-то надо.

Спасибо за терпение.

[And24]

Спасибо за терпение.

Это всем вам, возившимся с моими проблемами в этой теме, СПАСИБО!

[Techno]

- Удалите ComboFix