Искоренение Webalta

[Ufo]

Версия AutoIt: 3.
Любая

Описание:
Скрипт удаляющий все упоминания webalta в системе. Вырезающий её. И по возможности блокирующий её попадание в систему (занесение адресов где она была замечена в фаерволл или что-то подобное).

Примечания:
Злостность малвара ростёт. На настоящий момент известные методы не срабатывают. Ключей в реестре стало сотни - руками умопомрачительно долго. Автоматические программы не вычищают, малвара их методы уже впитала и обошла (все статьи и размышления найденные в сети устарели и конечного эффекта не имеют). Программам от неизвестных "секьюрити-фирм" просто не доверяешь, так как нет исходников и код закрыт. Антивирусы, почти все, не считают эту малвар-троянину за таковую. Установленную вырезать не могут.

 

[erlik]

Ключей в реестре стало сотни - руками умопомрачительно долго

Зачем ручками когде есть RegDelete().

Антивирусы, почти все, не считают эту малвар-троянину за таковую

А Malwarebytes Anti-Malware? Она webalta вроде как вирь определяет.
--------------------------------------------------
Regshot тебе в помощь. Установи (а как иначе?) webalta с оффсайта и сделай два снимка системы регшотом - до и после. Получишь все ключи реестра, а заодно и папки куда и что она пишет. Далее RegDelete(), FileDelete() - вот тебе и удалялка.
А вот отфильтровать ее попадание... наверно проще их сайт грохнуть ;)

 

[ynbIpb]

Хитрость в том, что сайт например давно в чёрных списках антивирей, но распространяют эту заразу партнёры и тело засранчега скачивается с левых ресурсов в виде бонуса к некой другой программе.
А стандарный Uninstaller вроде вычищает её, но в два-три захода это делает и обязательно там галку ставить.

 

[AZJIO]

Ufo

Скрипт удаляющий все упоминания webalta в системе

Поискал у себя в реестре, нет ни каких упоминаний webalta, задачу бы по-конкретней.

 

[Ufo]

http://webalta.ru/ - живёт тут. С самого сайта она наверно всё таки не распростряняется. Надо побродить по софту с подписями от mail.ru (как-то так и подхватил) или каким-нибудь прогопомойкам (можно без вареза даже) предлагающим скачать их даунлоадер, чтоб тот скачал и установил саму программу.

Пытаются убить её например тут:
http://forum.drweb.com/index.php?s=6a9c20f4a089b28092f561a89ba45c30&showtopic=309788
http://forum.avast.com/index.php?topic=119841.0

Те самые программы "всё в одном, как работают неизвестно, а шанс что это очередной троян велик" - http://webaltakiller.ru/

Вот одна из инструкций которая работала, когда реестр был ключей на 15 примерно:
http://roadvictory.ru/webalta.html
http://seofashion.ru/kak-ubrat-webalta-iz-brauzera-i-provodnika-za-1-minutu/

 

[Seen]

хм
а смысл писать под это скрипт ? Оо
грузишься с мультибута к примеру от 2k10
проверяешь систему (Dr.Web CureIt/Kaspersky Rescue Disk)
ну и заменяешь старые ярлычки браузеров
по крайней мере около 6 мес назад это решалось так
и не какой беготни с бубном вокруг реестра и прочего
а что касается чтобы на такое не натыкаться поставь adblock и wot ну и не ползай где попало

 

[AZJIO]

webalta чума всех браузеров
Похоже чистий-нечистий реестр и браузер, но пока ярлык не исправишь так и будет у вас webalta.

 

[Belfigor]

Странно, за всю жизнь первый раз слышу о чем-то подобном. Быть может у тех кто страдает от подобного просто руки кривые?

 

[AZJIO]

В этом месяце узнал и уже у людей с этим столкнулся. При чём установлен KIS. Но он ведь тоже имеет грань между легитимным и не легитимным. Если пользователь хочет, скачать какое либо рекламное ПО, антивирусник противостоять не будет, ведь удаление файлов легитимная операция, но этой же операцией можно удалить все файлы на диске. Это как пример полезной операции в руках автора вредоносной программы.
Я ни сколько не удивляюсь, имея программу закачки, люди умудряются скачать предлагаемые качалки с сайтов закачки разного рода контента. Или предлагают скачать браузер или "у тебя вирус, срочно нажми на эту кнопку чтобы проверить". Так что webalt'ы будут существовать, может с другим названием, пока на них есть спрос.

Если сайт закрывает пол-экрана всплывающим окном, беги от такого сайта, он был специально создан чтобы воткнуть тебе webalt'у. Любая кнопка в этом окне будет использована против тебя и не соответствовать тому что на ней написано.