Webalta

[amid525 67]

Своим навязчивым, непрошенным проникновением в домашние страницы браузеров пользователей, webalta сама себе сослужила дурную службу, получив вместо роста популярности - черную, отталкивающую репутацию "вируса - троянца". Удалить, тоже не так просто. В интернете, практически ни одного положительного отзыва от пользователей .

Интересно, будут-ли, ее когда-нибудь, наконец, детектить антивирусы?

[priv8v 960]

как она попадает на пк? дайте живую ссылку на дистрибутив, который тащит ее а то приходилось много раз ее вычищать, но никто толком не мог сказать откуда ее взяли

[mcomodo 17]

как она попадает на пк? дайте живую ссылку на дистрибутив, который тащит ее а то приходилось много раз ее вычищать, но никто толком не мог сказать откуда ее взяли

http://toolbar.webalta.ru/ наверное это ?

[priv8v 960]

этот тулбар тянется с какими-то инсталляторами, где если не снять галочку при установке, то он поставится. софт я качаю мало, да и тот только проверенный, потому мне такое не встречалось... вот и прошу поделиться - кто знает что нужно сделать, чтобы подцепить такую штуку... (т.е линк не на сам тулбар, а на способ распространения)

[Dmitriy K 603]

этот тулбар тянется с какими-то инсталляторами, где если не снять галочку при установке, то он поставится. софт я качаю мало, да и тот только проверенный, потому мне такое не встречалось... вот и прошу поделиться - кто знает что нужно сделать, чтобы подцепить такую штуку... (т.е линк не на сам тулбар, а на способ распространения)

Вбей в гугле "repack Webalta"

[mcomodo 17]

этот тулбар тянется с какими-то инсталляторами, где если не снять галочку при установке, то он поставится. софт я качаю мало, да и тот только проверенный, потому мне такое не встречалось... вот и прошу поделиться - кто знает что нужно сделать, чтобы подцепить такую штуку... (т.е линк не на сам тулбар, а на способ распространения)

Ну вот тогда ссылка на файлик ) http://foireufluxin.pochta.ru/webalta-opera.html . Успешно "заразил" семёрку на виртуалке. Причём сам файлик запароленный, но если его запустить то успевает установить Webalta и ASK тулбар.

[mcomodo 17]

Своим навязчивым, непрошенным проникновением в домашние страницы браузеров пользователей, webalta сама себе сослужила дурную службу, получив вместо роста популярности - черную, отталкивающую репутацию "вируса - троянца". Удалить, тоже не так просто. В интернете, практически ни одного положительного отзыва от пользователей .

Интересно, будут-ли, ее когда-нибудь, наконец, детектить антивирусы?

Помогла вот эта прога http://webaltakiller.ru/

[AlexxSun 150]

На Вирусинфо вроде при помощи скрипов AVZ хелперы помогают вычищать. Можно самостоятельно почистить реестр ручками, правда долго. К тому же создатели этой дряни тоже не лыком шиты, они постоянно изменяют ключи в реестре и имена сайтов, на которые редиректит этот так называемый поисковик.

[Jeremy 0]

Вычитал, что программа Malwarebytes Anti-Malware (MBAM), удаляет Webalta со всеми хвостами.

http://www.malwarebytes.org/ (При установке или первом запуске надо отказаться от пробного периода - останется только сканер).

[Dmitrig 40]

Пути распространения этой штуковины и правда очень агрессивны. Стандартными средствами не удаляется. Давно пора внести в сигнатуры антивирусов.

[amid525 67]

Получается, пока один Malwarebytes Anti-Malware, с этим трояном борется..

[Dmitriy K 603]

Получается, пока один Malwarebytes Anti-Malware, с этим трояном борется..

Ололо?

https://www.virustotal.com/ru/file/97d43e7d...sis/1365101426/

https://www.virustotal.com/ru/file/160e3254...sis/1365101507/

[amid525 67]

Гм.. Жаль свою удалил. Не детектилась она.., неделю назад. Или, их разновидности имеются.

[azambuja 0]

Не знаю,как другие программы,но Malwarebytes Anti-Malware реально вычищает эту Vebalta,с месяц назад где-то выцепил в Интернете это чудо (в это время MBAM не был установлен на компьютере) пытался удалить этот "подарок" 3 дня самостоятельно-никак.Потом стал сканировать при помощи MBAM-и этот сканер вычистил этот "подарочек" и из регистра и из файлов программ (всего 8 "хвостов" было).С тех пор MBAM-Pro не убираю с компа и детект не отключаю,хоть MBAM порой блокирует вроде как благонадежные сайты.

[alamor 69]

ещё webalta часто дописывается в ярлыки для запуска браузеров. Оттуда её надо вычищать вручную.

[AlexxSun 150]

этот тулбар тянется с какими-то инсталляторами, где если не снять галочку при установке, то он поставится. софт я качаю мало, да и тот только проверенный, потому мне такое не встречалось... вот и прошу поделиться - кто знает что нужно сделать, чтобы подцепить такую штуку... (т.е линк не на сам тулбар, а на способ распространения)

Сегодня немного побеседовал с очередной знакомой, которая поставила себе на компьютер эту поделку. Итак:

Пути распространения

1) искала медиаплеер, воспользовалась поиском от Mail.ru (ведь правда, ничего удивительного? )

2) в поисковой строке ввела "скачать виндовос медео плауер12 бесплатно" ))

3) первая же ссылка привела её на сайт _wmp-free.ru

4) по всем предложенным ссылкам лежит перепакованный медиаплеер, установщик которого не предлагает никаких пунктов, но предлагает проверить систему на подлинность, при щелчке на кнопке "Отмена" как раз и устанавливается всеми нами так горячо "любимый" поисковик (видимо при продолжении установки вебальта тоже интегрируется в систему, но это я не проверял).

Куда прописывается

Анализировал изменения файлов программой Ashampoo UnInstaller Platinum 2, есть изменения как в файлах, так и в реестре. Потом могу написать более подробно, если это интересно.

P.S. Со своего сайта они инсталлятор удалили, но видимо по партнёрской программе продолжают впаривать его доверчивым клиентам. Антивирус Касперского не детектирует эту гадость даже с установленной галкой в пункте "другие" перечня детектируемых угроз. А зря. Могли бы и добавить в список. Ведь поведение не совсем безобидное.

[amid525 67]

Антивирус Касперского не детектирует эту гадость даже с установленной галкой в пункте "другие" перечня детектируемых угроз. А зря. Могли бы и добавить в список. Ведь поведение не совсем безобидное.

Или слеп, или.. партнеры... ))

[amid525 67]

Скачал по данному запросу с сайта wmp-free.ru, Комодо уведомил о "левой" попытке загрузки тулбара. )

[Milord 55]

Проверил, сейчас у тулбара есть свой удалятор, после удаления остаются записи в реестре.

[priv8v 960]

и не только в реестре

[alamor 69]

сейчас у тулбара есть свой удалятор,

так он вроде всегда был, только после него всё равно подчищать.

[AlexxSun 150]

Сегодня почувствовал улучшения на этом фронте

[amid525 67]

Вчера, заметил, ЕК читал этот топик, когда писал не очень "удобные" сообщения. )

Ожидал такой реакции, чес слова

[AlexxSun 150]

Классификацию только поставили странную — обычно таким именем маркируются архивы, которые вымогают денежки за свою распаковку через SMS.

[Milord 55]

Ну да, непонятно, причём тут смс)