Многие интернет проекты, поисковые системы в последнее время обзавелись наглостью и порой не перед чем не останавливаются в борьбе за пользователей, и поэтому подсовывают свою страничку поиска в качестве стартовой в интернет обозреватель.
После выставления в настройках браузера домашней страницы «about:blank», то есть пустой, настойчивая webalta вновь становится домашней после первого же перезапуска программы. Более того, переустановка браузера тоже не помогает.
Но всеже способ избавиться от Вебальты и других навязчивых сайтов существует. Для этого нужно:

1. Запустите regedit. Это можно сделать, набрав «regedit» в поле Выполнить (вызывается из меню Пуск или нажатием Win+R) или в командной строке.
2. Сделайте поиск по всему реестру ключей, содержащих «webalta». Для этого нажмите Ctrl+F, введите «webalta» (без кавчек) и нажмите Enter. Все найденные ключи можно просто удалить.
3. Запустите браузер и установите в качестве домашней страницы пустую или же любую на свой вкус.
4. Чтобы убрать webalta из браузера FireFox, необходимо сделать еще несколько действий. Найдите файл user.js (Documents and Settings(имя пользователя)Application DataMozillaFirefoxProfilesxxxxxxxx.default, где значками x обозначен набор букв и цифр).
5. Откройте файл с помощью Блокнота
6. Найдите строки, где упоминается Вебалта. Замените ее на собственную домашнюю страницу или на «about:blank»
7. Откройте с помощью Блокнота файл prefs.js в той же папке. Здесь тоже нужно будет удалить webalta.
8. Найдите строку, где упоминается webalta и вместо адреса этой странице вставьте «chrome://speeddial/content/speeddial.xul» (без кавычек), который был там до вмешательства назойливого поисковика.
Убедитесь, что после перезапуска браузера домашняя страница осталась та, которую вы устанавливали. На этом борьбу с Webalta можно считать законченной.
Другой подход к данной проблеме:
Многие сайты, как и Webalta принудительно устанавливают свою страницу в качестве домашней для вашего браузера, эту технологию ( называется «hijack startpage») стали использовать и другие сайты, такие как apeha.ru, www.ctel.ru, www.smaxi.net, wonderpage.org, gigabase.com, deposit.housedownloadall.ru …
Проблема в том, что эти сайты прописывается в качестве стартовой страницы в реестре Windows и обычным путём их от туда никак не удалить. Чтобы не ковырять реестр, есть вариант проще и безопаснее: запускаем программу Malwarebytes Anti-Malware (обзор антитроянских программ здесь), обновляем, сканируем компьютер и получаем следующий результат:

Удаляем объекты в списке, перегружаем компьютер и устанавливаем в браузере домашние страницы, которые нам действительно нравятся!
P.S. Для тех, кто «заризился» сайтом www.ctel.ru дополнение:
1. Чтобы удалить её из браузера Опера, Вам необходимо найти и удалить файлы operaprefs_fixed.ini, opera6.ini. Обычно они прячутся в папке C:\WINDOWS\system32.
2. Чтобы удалить её из браузера Mozilla Firefox необходимо
из папки C:\Document and Settings\user\Application Data\Mozilla\Firefox\Profiles\qwer12.default удалить файл user.js, (где C: — системный диск, на котором установлен Виндовс; user — имя Вашего пользователя; qwer12.default — название папки из комбинации латинских букв и цифр.
С помощью Блокнота открыть файл C:\Document and Settings\user\Application Data\Mozilla\Firefox\Profiles\qwer12.default\prefs.js и найти в нём комбинацию ctel.ru, стирая её отовсюду, где найдёте.
В адресной строке написать about:config. Найти и стереть все сочетания ctel.ru.

В Мой Мир

0

Tweet

Во время серфинга в интернете наверно каждый пользователь компьютера под управлением ОС Windows XP сталкивался с такой проблемой-прямо поверх браузера появилось окно :

Компьютер заблокирован!

Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы…. Данный смс вирус из семейства Trojan.Winlock.3252.
Загрузка в безопасном режиме нам не помогает, так как компьютер полностью блокируется. Поэтому для физического доступа к системе придется использовать загрузочный диск, вручную править реестр и удалять ненужные файлы.
Последовательность действий для избавления от этого вируса:

1.Загружаемся с LiveCD
2. ищем Файл test.exe может быть C:\Documents and Settings\Admin\Рабочий стол , C:\Documents and Settings\All Users\Рабочий стол , он может и отсутствовать, можно воспользоваться системным поиском
3. Переходим в \Documents and Settings\All Users\Application Data и и удаляем файл с названием 22CC6C32.exe, а также все что с ним связано:

4. Переходим в редактор реестра (Пуск – Выполнить – regedit), здесь интересный момент в том, что нужно попасть в реестр зараженной системы, а не Live CD, зайти в раздел реестра (команда regedit) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

значение параметра Shell исправить на значение explorer.exe

значение параметра Userinit исправить на значение C:\WINDOWS\system32\userinit.exe, (не забудьте про запятую в конце строки)

в реестре через поиск найти упоминание файла названием 22CC6C32.exe – удалить эти строки

5. Поскольку вирус переименовывает и заменяет системый файл userinit.exe в папке WINDOWS\system32 на файл вируса с таким же именем. Поэтому нужно проделать следующее:

Копируем файл userinit.exe из папки X:\WINDOWS\system32 в любое другое место(делаем резервную копию)

Затем удаляем файл userinit.exe из папки X:\WINDOWS\system32

Находим в этой же папке файл 03014D3F.exe и переименовываем его в userinit.exe

Перезагружаем компьютер, если После перезагрузки окна не было, но рабочий стол все равно заблокирован, нет органов управления. переходим в диспетчер задач, – ALT+CTRL+DEL, Новая задача, regedit:
ищим в реестре всё тот же параметр Shell и исправляем на значение explorer.exe
Напоминаю: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Перезагружаем и наслаждаемся работой

В Мой Мир

0

Tweet

Способ 2. С использованием антивирусов.
в предыдущей статье мы рассмотрели, каким способом можно восстановить работоспособность системы, если ее поразил вирус вымогателя mbr-winlock, статья, сейчас предлагается способы восстановления при помощи антивирусов
Несмотря на то, что DrWeb данное заражение игнорирует, результат заражения — модифицированый MBR он может с успехом лечить. Для этого нужно загрузиться с любого LiveCD и запустить эту утилиту. Вредоносная запись обезвреживается в считанные секунды:

При перезагрузке Windows загружается в нормальном режиме, как будто ничего и не было.
Где взять LiveCD ? Для начала можно пойти в гости к друзьям или соседям, которые еще не успели подхватить данный вирус, и через интернет скачиваем любой LiveCD антивирус. Лично я использую Kaspersky Rescue Disk, но это не принципиально, можно также:

Kaspersky Rescue Disk;
Dr.Web LiveCD;
Спасательный Образ Vba32 Rescue;
AVG Rescue CD.

Дальше нужно записать выбранный антивирус на диск (создается при помощи любой программы для записи оптических дисков, например тот же Nero Burning ROM) или флешку.
Дальше на зараженной машине необходимо поменять порядок загрузки – на первое место ставим диск или флешку, над которой сохранили образ антивируса:

Переходим в раздел BOOT.
Ставим на первое место CD-ROM или USB накопитель.

Теперь все готово. Достаточно просто перегрузить машину и вместо привычного Windows загрузится антивирус в котором нужно запустить полную проверку на вирусы . У меня все заняло пару часов, но в итоге был найден и удален Trojan.Winlock.3300 – вирус из семейства вредоносных программ, которые блокируют или затрудняют работу Windows и требуют плату за восстановление этой самой работы.

Если антивирус ничего не нашел, значит вирус новее чем база у антивируса. В таком случае можно поменять антивирус или подождать день-два, и заново скачать тот, которым уже проверяли.

В Мой Мир

0

Tweet

Если вы на экране своего компьютера увидели надпись на черном фоне Ваш компьютер заблокирован за просмотр копирование и тиражирование материалов…. и так далее, то не спешите паниковать, снимать все свои сбережения и нанимать адвоката, мол вы нарушили закон и заплатите штраф, это очередной сюрприз от мошенников- вымогателей, вирус под названием mbr-winlock.Но положение усугубляет тот факт, что вирус производит полную блокировку компьютера и вымогательство денег, до загрузки операционной системы (красные буквы на черном экране).

Этот вирус перезаписывает MBR сектор жёсткого диска, доступа к которой ни пользователь, ни операционная система не имеют.
Заражение происходит во время клика на заражённой ссылке, загрузки зараженной веб-страницы, exe-файла. Далее компьютер через несколько секунд перезагрузиться и показывает сообщение от том, что «Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с … Необходимо платить штраф в размере… » и т.д. и т.п. Оплата осуществляется через кошельки Webmoney либо пополнением счёта мобильного телефона. Существуют различные разновидности вируса для Украины и России.
Восстановление MBR. Несколько способов:
Способ 1: С помощью установочного диска Windows
Windows XP:
Включаем компьютер, грузимся с установочного CD /DVD диска. Ждём когда полностью загрузится диск и предложит вам начать установку Windows в ручном режиме.
Далее выбираем режим восстановления, кнопка R.

Система предложит выбрать какую ОС из найденных восстанавливать, нажимаем цифру 1 и Enter . Теперь необходимо ввести пароль администратора, если его нет, то просто оставляем пустым и жмём Enter. Вот мы добрались до консоли восстановления. Вбиваем команду: FIXBOOT, Enter, вас попросят подтвердить, нажмите Y. Теперь вбиваем команду FIXMBR, Enter и опять подтверждаем нажатием Y.

Всё теперь вбиваем EXIT и перезагружаемся. Можно грузиться с жёсткого диска. Всё.

Windows Vista
Грузимся с установочного диска. Потом выбираем язык инсталятора:
Переключение раскладок по-дефолту тут Alt+Shift.
После выбора языка не нужно устанавливать Vista снова. Просто кликайте на «Repair your computer».

Нажимаем в следующем окне «Next» и в появившемся окне выбирайте сразу «Command Prompt», откроется окно терминала.

Далее выполните две команды:
bootrec/fixboot
bootrec/fixmbr
После этого загрузчик будет восстановлен.

Windows 7:
Стартуем с установочного диска Windows Seven
выбираем пункт «Восстановление системы»:
Программа установки проведёт анализ конфигурации системы и выдаст список установленных систем Windows. Выбираем использовать средства восстановления для нужной копии:

На следущем экране выбираем в качестве средства командную строку:

В окне командной строки переходим на DVD-привод, определяем опытным путём, набрав в консоли D: + Enter, E: + Enter и т.д до тех пор, пока не увидим диск с папкой boot:

Командой «cd boot» входим в директорию и следующей командой «bootsect /nt60 sys» копируем MBR запись c установочного диска на ваш жёсткий диск. При успешном завершении вы должны увидеть такое сообщение:

В случае неудачи попробуйте повторить команду с ключом /MBR в конце.
При успешном завершении выходим из консоли командой «exit» и перезагружаем компьютер.

Здесь был описан самый простой и быстрый способ восстановления загрузочного сектора MBR, этот способ также применяется в случае повреждения загрузочного сектора при манипуляциях с различными операционными системами, при повреждении от внезапного пропадания эл. энергии и т.д.

В Мой Мир

0

Tweet