Решена WebaltaUpdaterService.exe просится в Интернет

Статус
В этой теме нельзя размещать новые ответы.
A

Albert

Активный пользователь
Сообщения
46
Реакции
0
Баллы
396
У девушки проблема с компьютером. Операционная система Windows Vista Home Basic. При запуске любой программы срабатывает контроль учётных записей пользователей (User Account Control – UAC), где написано, что программа WebaltaUpdaterService.exe просится в интернет, разрешить или запретить? У Вас уже описывалась данная проблема, и был скрипт, в котором упоминалась эта вредоносная программа. У меня вопрос: сработает ли скрипт под Vista? Дело в том, что я не нашёл в этой операционной системе папку Webalta в папке Program Files. Или она скрытая? Если скрипт не сработает, то напишите решение проблемы под Vista, и если можно подробнее, потому что так глубоко в программы я ещё не забирался, и со скриптами дело никогда не имел.
 
I

iolka

VIP
Сообщения
1,190
Реакции
1,480
Баллы
553
Скрипты, написанные для других НЕ ВЫПОЛНЯТЬ!
Выполните эти правила и тогда мы сможем вам помочь.
 
Последнее редактирование:
Aleksandra

Aleksandra

Активный пользователь
Сообщения
32
Реакции
22
Баллы
398
В висте AVZ нужно запускать правой кнопкой от имени администратора...
 
A

Albert

Активный пользователь
Сообщения
46
Реакции
0
Баллы
396
Файлы логов

Вот файлы логов RSIT. Архивы выложить не получается, пишет "Вставьте последний диск из многотомного набора". Пытаюсь отослать файлы с заражённого компьютера. Браузер на заражённом компьютере Firefox. При прикреплении распакованных файлов, путь указывается вообще из папки пользователей, хотя архивы расположены в корне. Попробую выложить их со своего компьютера.
 
A

antispy

Активный пользователь
Сообщения
103
Реакции
251
Баллы
453
Если не получится - то можете выложить на сторонний сайт хранения файлов, например ifolder.ru а нам привести ссылки
 
A

Albert

Активный пользователь
Сообщения
46
Реакции
0
Баллы
396
C моего компьютера путь к архивам указан правильно, и файлы загрузились нормально. Очевидно на заражённой машине какой-то глюк (возможно всё из-за того же вируса), или что-то надо настраивать в Firefox. В них AVZ запущен от имени администратора. Дело в том, что есть ещё два архива с логами при обычном запуске. Как-то я и забыл про запуск программ от имени администратора в Vista. Если необходимо, я выложу и их. Скрипт №3 выполнялся по времени 1 час 40 минут. Очень много времени уходило на обработку временных файлов, хотя система была от них почищена утилитой Wipe-Go. В папке Temp папки Windows осталось 1,6Gb, и файлы не удалялись даже вручную через Total Commander. Скрипт № 2 выполнялся меньше минуты.
А вот о том чтобы не выполнять чужие скрипты, Вы предупредили меня слишком поздно. Я уже выполнил скрипт участника форума с ником Akok выложенный пользователю с ником hossy 15 марта в 18:28 с названием файла WebaltaUpdaterService.exe в теле скрипта, но только его, без следующего за ним скрипта с дополнением о создании архива карантина AVZ. :mda:
Да, вот ещё что. В панели управления, в аналоге "Установки и удаления программ" в XP (не помню, как точно это называется в Vista), мы нашли в списке программ что-то похожее на Webalta Tools, но его удаление особого эффекта не возымело, хотя из этого списка она удалилась.
P.S. Я заранее хочу попросить прощения, если мои ответы на те действия, которые Вы мне напишите будут нечастыми. Мы с этой девушкой работаем вместе, а ездить мне к ней не ближний свет, поэтому результаты этих действий будут выкладываться сюда скорее всего либо на выходных, либо сразу после них. :(
 
akok

akok

Команда форума
Администратор
Сообщения
16,539
Реакции
13,097
Баллы
2,203
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('WebaltaController', 4);
 QuarantineFile('c:\users\Елена\appdata\local\nevosoft\run.exe','');
 QuarantineFile('%CommonProgramFiles%\System\wab32.dll','');
 QuarantineFile('C:\Program Files\Webalta\WebaltaUpdaterService.exe','');
 QuarantineFile('C:\Windows\system32\RGWIE.dll','');
 QuarantineFile('C:\Users\Елена\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll','');
 QuarantineFile('C:\Users\Елена\AppData\Local\NevoSoft\run.exe','');
 QuarantineFile('C:\PROGRA~1\Webalta\WEBALT~2.DLL','');
 DeleteFile('C:\PROGRA~1\Webalta\WEBALT~2.DLL');
 DeleteFile('C:\Users\Елена\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll');
 DeleteFile('C:\Windows\system32\RGWIE.dll');
 DeleteFile('C:\Program Files\Webalta\WebaltaUpdaterService.exe');
 DeleteFile('C:\PROGRA~1\Webalta\WEBALT~1.DLL');
 DelBHO('{D4C56A33-3488-495B-8033-9BF834E276D8}');
 DelBHO('{D4D5806E-EA2C-45b2-972D-8BE237697B87}');
 DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
 DelBHO('{6C3BDD12-4B6F-44F1-87CB-4D94E1ED38A5}');
 DeleteService('WebaltaController');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. ([email protected])

Acrobat 5.0 - обновите до Acrobat 9.1

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{17d4900c-c1e4-11dc-a6c0-001617b53ac1}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4494b8f6-6439-11dc-985e-001617b53ac1}]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Повторите логи.
 
A

Albert

Активный пользователь
Сообщения
46
Реакции
0
Баллы
396
Вчера, после моего ухода, девчонки (там ещё есть более «продвинутая» сестра) отмочили следующее: они просто удалили папку Webalta в папке Program Files, и сегодня утром на работе, перед началом смены, подходит ко мне эта девушка, и говорит, что они наконец избавились от навязчивого сообщения UAC. Я был в шоке, сказав ей, что так даже обычные программы не удаляют, а уж вредоносные тем более. После чего, уже днём она прибегает ко мне, и говорит, что сестра ей звонит, и говорит, что ни одна программа не запускается, даже корзина не открывается (её фраза почти дословно). Есть ли способ вернуть всё назад. Всё это усугубляется ещё тем, что я забыл вновь включить восстановление системы. Остались ли в системе прежние контрольные точки восстановления, и можно ли в этой ситуации сделать откат системы? И возможно ли?
Мы ещё поставили вчера только что купленную коробку с лицензионным NOD32, так как они сказали мне, что антивируса у них нет. Но во время активации его активации выскочило окно обновления Norton Internet Security (на год я внимания не обратил). Я полагаю, что он достаточно старый, так как сам компьютер у них уже года три (с их слов). Так что во время следующего моего визита придётся, наверное, его удалить.
А Acrobat Reader я снёс, и поставил Foxit Reader.
И большое человеческое спасибо Вам, ребята, за ту работу, которую Вы делаете.
 
A

Albert

Активный пользователь
Сообщения
46
Реакции
0
Баллы
396
Да, чуть не забыл ещё раз напомнить, что ответ будет не раньше выходных.
 
akok

akok

Команда форума
Администратор
Сообщения
16,539
Реакции
13,097
Баллы
2,203
Востановить папку. Или логи подготовить и удалить остатки Webalta. Norton Internet Security - необходимо деинсталировать. Тем более мы не знаем, что еще «продвинутая» сестра сделала.
 
A

Albert

Активный пользователь
Сообщения
46
Реакции
0
Баллы
396
Я к девчонкам больше не ездил. Меня туда больше не приглашают, решив, наверное, что они сами «справились» с проблемой. Больше того, они ещё и NOD32 удалили, и сказали, что именно из-за него не запускались все программы на компьютере. Сейчас у них «всё нормально». Ну и ладно! Это их проблемы, в конце концов! В таком случае у меня к Вам вопрос: а что это за зараза такая, что под неё пишется скрипт под конкретную машину, и чем может быть чревато такое поведение «юзверей». И почему её не нашёл антивирус (в данном случае NOD32)? Да, и вот ещё что! Как долго будет храниться скрипт на сайте, и как часто необходимо наведываться к Вам, чтобы мой аккаунт не удалили?
P.S. Если будет продолжение этой истории, обязательно дам знать.
 
Последнее редактирование:
akok

akok

Команда форума
Администратор
Сообщения
16,539
Реакции
13,097
Баллы
2,203
Давайте по порядку:
а что это за зараза такая, что под неё пишется скрипт под конкретную машину, и чем может быть чревато такое поведение «юзверей».
1. Для определения "заразы" мне нужно увидеть карантин.
2. Скрипты пишутся под определенную машину так как:
  • имена одних и тех-же зловредов могут создаваться случайным образом
  • иногда зловреды подменяют или отлаживают системные файлы и, выполнив такой чужой скрипт, вы можете удалить системный файл у себя, а это чревато потерей работоспособности системы
  • Чужие скрипты просто неэффективны и не принесут облегчения в 98% случаев
И почему её не нашёл антивирус (в данном случае NOD32)?
В данном случае в базах антивируса не было этого зловреда, а анализ "в ручную", даёт более полную информацию о действии подозрительных файлов.

Да, и вот ещё что! Как долго будет храниться скрипт на сайте, и как часто необходимо наведываться к Вам, чтобы мой аккаунт не удалили?
В ближайшее время мы не планируем проводить чистки. Если и будем всем пользователям будут разосланы уведомления (главное указать реальный email)
 
Последнее редактирование модератором:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу