Решена WebaltaUpdaterService.exe просится в Интернет

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Albert, 5 апр 2009.

Метки:
Статус темы:
Закрыта.
  1. Albert
    Оффлайн

    Albert Активный пользователь

    Сообщения:
    47
    Симпатии:
    0
    У девушки проблема с компьютером. Операционная система Windows Vista Home Basic. При запуске любой программы срабатывает контроль учётных записей пользователей (User Account Control – UAC), где написано, что программа WebaltaUpdaterService.exe просится в интернет, разрешить или запретить? У Вас уже описывалась данная проблема, и был скрипт, в котором упоминалась эта вредоносная программа. У меня вопрос: сработает ли скрипт под Vista? Дело в том, что я не нашёл в этой операционной системе папку Webalta в папке Program Files. Или она скрытая? Если скрипт не сработает, то напишите решение проблемы под Vista, и если можно подробнее, потому что так глубоко в программы я ещё не забирался, и со скриптами дело никогда не имел.
     
  2. iolka
    Оффлайн

    iolka Активный пользователь

    Сообщения:
    1.210
    Симпатии:
    2.684
    Скрипты, написанные для других НЕ ВЫПОЛНЯТЬ!
    Выполните эти правила и тогда мы сможем вам помочь.
     
    Последнее редактирование: 5 апр 2009
  3. Aleksandra
    Оффлайн

    Aleksandra Активный пользователь

    Сообщения:
    29
    Симпатии:
    17
    В висте AVZ нужно запускать правой кнопкой от имени администратора...
     
  4. Albert
    Оффлайн

    Albert Активный пользователь

    Сообщения:
    47
    Симпатии:
    0
    Файлы логов

    Вот файлы логов RSIT. Архивы выложить не получается, пишет "Вставьте последний диск из многотомного набора". Пытаюсь отослать файлы с заражённого компьютера. Браузер на заражённом компьютере Firefox. При прикреплении распакованных файлов, путь указывается вообще из папки пользователей, хотя архивы расположены в корне. Попробую выложить их со своего компьютера.
     
  5. antispy
    Оффлайн

    antispy Активный пользователь

    Сообщения:
    107
    Симпатии:
    450
    Если не получится - то можете выложить на сторонний сайт хранения файлов, например ifolder.ru а нам привести ссылки
     
  6. Albert
    Оффлайн

    Albert Активный пользователь

    Сообщения:
    47
    Симпатии:
    0
    C моего компьютера путь к архивам указан правильно, и файлы загрузились нормально. Очевидно на заражённой машине какой-то глюк (возможно всё из-за того же вируса), или что-то надо настраивать в Firefox. В них AVZ запущен от имени администратора. Дело в том, что есть ещё два архива с логами при обычном запуске. Как-то я и забыл про запуск программ от имени администратора в Vista. Если необходимо, я выложу и их. Скрипт №3 выполнялся по времени 1 час 40 минут. Очень много времени уходило на обработку временных файлов, хотя система была от них почищена утилитой Wipe-Go. В папке Temp папки Windows осталось 1,6Gb, и файлы не удалялись даже вручную через Total Commander. Скрипт № 2 выполнялся меньше минуты.
    А вот о том чтобы не выполнять чужие скрипты, Вы предупредили меня слишком поздно. Я уже выполнил скрипт участника форума с ником Akok выложенный пользователю с ником hossy 15 марта в 18:28 с названием файла WebaltaUpdaterService.exe в теле скрипта, но только его, без следующего за ним скрипта с дополнением о создании архива карантина AVZ. :mda:
    Да, вот ещё что. В панели управления, в аналоге "Установки и удаления программ" в XP (не помню, как точно это называется в Vista), мы нашли в списке программ что-то похожее на Webalta Tools, но его удаление особого эффекта не возымело, хотя из этого списка она удалилась.
    P.S. Я заранее хочу попросить прощения, если мои ответы на те действия, которые Вы мне напишите будут нечастыми. Мы с этой девушкой работаем вместе, а ездить мне к ней не ближний свет, поэтому результаты этих действий будут выкладываться сюда скорее всего либо на выходных, либо сразу после них. :(
     
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetServiceStart('WebaltaController', 4);
     QuarantineFile('c:\users\Елена\appdata\local\nevosoft\run.exe','');
     QuarantineFile('%CommonProgramFiles%\System\wab32.dll','');
     QuarantineFile('C:\Program Files\Webalta\WebaltaUpdaterService.exe','');
     QuarantineFile('C:\Windows\system32\RGWIE.dll','');
     QuarantineFile('C:\Users\Елена\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll','');
     QuarantineFile('C:\Users\Елена\AppData\Local\NevoSoft\run.exe','');
     QuarantineFile('C:\PROGRA~1\Webalta\WEBALT~2.DLL','');
     DeleteFile('C:\PROGRA~1\Webalta\WEBALT~2.DLL');
     DeleteFile('C:\Users\Елена\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll');
     DeleteFile('C:\Windows\system32\RGWIE.dll');
     DeleteFile('C:\Program Files\Webalta\WebaltaUpdaterService.exe');
     DeleteFile('C:\PROGRA~1\Webalta\WEBALT~1.DLL');
     DelBHO('{D4C56A33-3488-495B-8033-9BF834E276D8}');
     DelBHO('{D4D5806E-EA2C-45b2-972D-8BE237697B87}');
     DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
     DelBHO('{6C3BDD12-4B6F-44F1-87CB-4D94E1ED38A5}');
     DeleteService('WebaltaController');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

    Acrobat 5.0 - обновите до Acrobat 9.1

    Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services

    :Files

    :Reg
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{17d4900c-c1e4-11dc-a6c0-001617b53ac1}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4494b8f6-6439-11dc-985e-001617b53ac1}]
    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
    Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

    Повторите логи.
     
  8. Albert
    Оффлайн

    Albert Активный пользователь

    Сообщения:
    47
    Симпатии:
    0
    Вчера, после моего ухода, девчонки (там ещё есть более «продвинутая» сестра) отмочили следующее: они просто удалили папку Webalta в папке Program Files, и сегодня утром на работе, перед началом смены, подходит ко мне эта девушка, и говорит, что они наконец избавились от навязчивого сообщения UAC. Я был в шоке, сказав ей, что так даже обычные программы не удаляют, а уж вредоносные тем более. После чего, уже днём она прибегает ко мне, и говорит, что сестра ей звонит, и говорит, что ни одна программа не запускается, даже корзина не открывается (её фраза почти дословно). Есть ли способ вернуть всё назад. Всё это усугубляется ещё тем, что я забыл вновь включить восстановление системы. Остались ли в системе прежние контрольные точки восстановления, и можно ли в этой ситуации сделать откат системы? И возможно ли?
    Мы ещё поставили вчера только что купленную коробку с лицензионным NOD32, так как они сказали мне, что антивируса у них нет. Но во время активации его активации выскочило окно обновления Norton Internet Security (на год я внимания не обратил). Я полагаю, что он достаточно старый, так как сам компьютер у них уже года три (с их слов). Так что во время следующего моего визита придётся, наверное, его удалить.
    А Acrobat Reader я снёс, и поставил Foxit Reader.
    И большое человеческое спасибо Вам, ребята, за ту работу, которую Вы делаете.
     
  9. Albert
    Оффлайн

    Albert Активный пользователь

    Сообщения:
    47
    Симпатии:
    0
    Да, чуть не забыл ещё раз напомнить, что ответ будет не раньше выходных.
     
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Востановить папку. Или логи подготовить и удалить остатки Webalta. Norton Internet Security - необходимо деинсталировать. Тем более мы не знаем, что еще «продвинутая» сестра сделала.
     
  11. Albert
    Оффлайн

    Albert Активный пользователь

    Сообщения:
    47
    Симпатии:
    0
    Я к девчонкам больше не ездил. Меня туда больше не приглашают, решив, наверное, что они сами «справились» с проблемой. Больше того, они ещё и NOD32 удалили, и сказали, что именно из-за него не запускались все программы на компьютере. Сейчас у них «всё нормально». Ну и ладно! Это их проблемы, в конце концов! В таком случае у меня к Вам вопрос: а что это за зараза такая, что под неё пишется скрипт под конкретную машину, и чем может быть чревато такое поведение «юзверей». И почему её не нашёл антивирус (в данном случае NOD32)? Да, и вот ещё что! Как долго будет храниться скрипт на сайте, и как часто необходимо наведываться к Вам, чтобы мой аккаунт не удалили?
    P.S. Если будет продолжение этой истории, обязательно дам знать.
     
    Последнее редактирование: 18 апр 2009
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Давайте по порядку:
    1. Для определения "заразы" мне нужно увидеть карантин.
    2. Скрипты пишутся под определенную машину так как:
    • имена одних и тех-же зловредов могут создаваться случайным образом
    • иногда зловреды подменяют или отлаживают системные файлы и, выполнив такой чужой скрипт, вы можете удалить системный файл у себя, а это чревато потерей работоспособности системы
    • Чужие скрипты просто неэффективны и не принесут облегчения в 98% случаев

    В данном случае в базах антивируса не было этого зловреда, а анализ "в ручную", даёт более полную информацию о действии подозрительных файлов.

    В ближайшее время мы не планируем проводить чистки. Если и будем всем пользователям будут разосланы уведомления (главное указать реальный email)
     
    Последнее редактирование модератором: 18 апр 2009
Статус темы:
Закрыта.

Поделиться этой страницей