Решена WebaltaUpdaterService.exe просится в Интернет

Статус
В этой теме нельзя размещать новые ответы.

Albert

Активный пользователь
Сообщения
46
Симпатии
0
Баллы
396
#1
У девушки проблема с компьютером. Операционная система Windows Vista Home Basic. При запуске любой программы срабатывает контроль учётных записей пользователей (User Account Control – UAC), где написано, что программа WebaltaUpdaterService.exe просится в интернет, разрешить или запретить? У Вас уже описывалась данная проблема, и был скрипт, в котором упоминалась эта вредоносная программа. У меня вопрос: сработает ли скрипт под Vista? Дело в том, что я не нашёл в этой операционной системе папку Webalta в папке Program Files. Или она скрытая? Если скрипт не сработает, то напишите решение проблемы под Vista, и если можно подробнее, потому что так глубоко в программы я ещё не забирался, и со скриптами дело никогда не имел.
 
Сообщения
1,190
Симпатии
1,480
Баллы
553
#2
Скрипты, написанные для других НЕ ВЫПОЛНЯТЬ!
Выполните эти правила и тогда мы сможем вам помочь.
 
Последнее редактирование:

Aleksandra

Активный пользователь
Сообщения
32
Симпатии
22
Баллы
398
#3
В висте AVZ нужно запускать правой кнопкой от имени администратора...
 

Albert

Активный пользователь
Сообщения
46
Симпатии
0
Баллы
396
#4
Файлы логов

Вот файлы логов RSIT. Архивы выложить не получается, пишет "Вставьте последний диск из многотомного набора". Пытаюсь отослать файлы с заражённого компьютера. Браузер на заражённом компьютере Firefox. При прикреплении распакованных файлов, путь указывается вообще из папки пользователей, хотя архивы расположены в корне. Попробую выложить их со своего компьютера.
 

antispy

Активный пользователь
Сообщения
103
Симпатии
251
Баллы
453
#5
Если не получится - то можете выложить на сторонний сайт хранения файлов, например ifolder.ru а нам привести ссылки
 

Albert

Активный пользователь
Сообщения
46
Симпатии
0
Баллы
396
#6
C моего компьютера путь к архивам указан правильно, и файлы загрузились нормально. Очевидно на заражённой машине какой-то глюк (возможно всё из-за того же вируса), или что-то надо настраивать в Firefox. В них AVZ запущен от имени администратора. Дело в том, что есть ещё два архива с логами при обычном запуске. Как-то я и забыл про запуск программ от имени администратора в Vista. Если необходимо, я выложу и их. Скрипт №3 выполнялся по времени 1 час 40 минут. Очень много времени уходило на обработку временных файлов, хотя система была от них почищена утилитой Wipe-Go. В папке Temp папки Windows осталось 1,6Gb, и файлы не удалялись даже вручную через Total Commander. Скрипт № 2 выполнялся меньше минуты.
А вот о том чтобы не выполнять чужие скрипты, Вы предупредили меня слишком поздно. Я уже выполнил скрипт участника форума с ником Akok выложенный пользователю с ником hossy 15 марта в 18:28 с названием файла WebaltaUpdaterService.exe в теле скрипта, но только его, без следующего за ним скрипта с дополнением о создании архива карантина AVZ. :mda:
Да, вот ещё что. В панели управления, в аналоге "Установки и удаления программ" в XP (не помню, как точно это называется в Vista), мы нашли в списке программ что-то похожее на Webalta Tools, но его удаление особого эффекта не возымело, хотя из этого списка она удалилась.
P.S. Я заранее хочу попросить прощения, если мои ответы на те действия, которые Вы мне напишите будут нечастыми. Мы с этой девушкой работаем вместе, а ездить мне к ней не ближний свет, поэтому результаты этих действий будут выкладываться сюда скорее всего либо на выходных, либо сразу после них. :(
 

akok

Команда форума
Администратор
Сообщения
15,837
Симпатии
12,742
Баллы
2,203
#7
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('WebaltaController', 4);
 QuarantineFile('c:\users\Елена\appdata\local\nevosoft\run.exe','');
 QuarantineFile('%CommonProgramFiles%\System\wab32.dll','');
 QuarantineFile('C:\Program Files\Webalta\WebaltaUpdaterService.exe','');
 QuarantineFile('C:\Windows\system32\RGWIE.dll','');
 QuarantineFile('C:\Users\Елена\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll','');
 QuarantineFile('C:\Users\Елена\AppData\Local\NevoSoft\run.exe','');
 QuarantineFile('C:\PROGRA~1\Webalta\WEBALT~2.DLL','');
 DeleteFile('C:\PROGRA~1\Webalta\WEBALT~2.DLL');
 DeleteFile('C:\Users\Елена\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll');
 DeleteFile('C:\Windows\system32\RGWIE.dll');
 DeleteFile('C:\Program Files\Webalta\WebaltaUpdaterService.exe');
 DeleteFile('C:\PROGRA~1\Webalta\WEBALT~1.DLL');
 DelBHO('{D4C56A33-3488-495B-8033-9BF834E276D8}');
 DelBHO('{D4D5806E-EA2C-45b2-972D-8BE237697B87}');
 DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
 DelBHO('{6C3BDD12-4B6F-44F1-87CB-4D94E1ED38A5}');
 DeleteService('WebaltaController');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Acrobat 5.0 - обновите до Acrobat 9.1

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{17d4900c-c1e4-11dc-a6c0-001617b53ac1}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4494b8f6-6439-11dc-985e-001617b53ac1}]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Повторите логи.
 

Albert

Активный пользователь
Сообщения
46
Симпатии
0
Баллы
396
#8
Вчера, после моего ухода, девчонки (там ещё есть более «продвинутая» сестра) отмочили следующее: они просто удалили папку Webalta в папке Program Files, и сегодня утром на работе, перед началом смены, подходит ко мне эта девушка, и говорит, что они наконец избавились от навязчивого сообщения UAC. Я был в шоке, сказав ей, что так даже обычные программы не удаляют, а уж вредоносные тем более. После чего, уже днём она прибегает ко мне, и говорит, что сестра ей звонит, и говорит, что ни одна программа не запускается, даже корзина не открывается (её фраза почти дословно). Есть ли способ вернуть всё назад. Всё это усугубляется ещё тем, что я забыл вновь включить восстановление системы. Остались ли в системе прежние контрольные точки восстановления, и можно ли в этой ситуации сделать откат системы? И возможно ли?
Мы ещё поставили вчера только что купленную коробку с лицензионным NOD32, так как они сказали мне, что антивируса у них нет. Но во время активации его активации выскочило окно обновления Norton Internet Security (на год я внимания не обратил). Я полагаю, что он достаточно старый, так как сам компьютер у них уже года три (с их слов). Так что во время следующего моего визита придётся, наверное, его удалить.
А Acrobat Reader я снёс, и поставил Foxit Reader.
И большое человеческое спасибо Вам, ребята, за ту работу, которую Вы делаете.
 

Albert

Активный пользователь
Сообщения
46
Симпатии
0
Баллы
396
#9
Да, чуть не забыл ещё раз напомнить, что ответ будет не раньше выходных.
 

akok

Команда форума
Администратор
Сообщения
15,837
Симпатии
12,742
Баллы
2,203
#10
Востановить папку. Или логи подготовить и удалить остатки Webalta. Norton Internet Security - необходимо деинсталировать. Тем более мы не знаем, что еще «продвинутая» сестра сделала.
 

Albert

Активный пользователь
Сообщения
46
Симпатии
0
Баллы
396
#11
Я к девчонкам больше не ездил. Меня туда больше не приглашают, решив, наверное, что они сами «справились» с проблемой. Больше того, они ещё и NOD32 удалили, и сказали, что именно из-за него не запускались все программы на компьютере. Сейчас у них «всё нормально». Ну и ладно! Это их проблемы, в конце концов! В таком случае у меня к Вам вопрос: а что это за зараза такая, что под неё пишется скрипт под конкретную машину, и чем может быть чревато такое поведение «юзверей». И почему её не нашёл антивирус (в данном случае NOD32)? Да, и вот ещё что! Как долго будет храниться скрипт на сайте, и как часто необходимо наведываться к Вам, чтобы мой аккаунт не удалили?
P.S. Если будет продолжение этой истории, обязательно дам знать.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,837
Симпатии
12,742
Баллы
2,203
#12
Давайте по порядку:
а что это за зараза такая, что под неё пишется скрипт под конкретную машину, и чем может быть чревато такое поведение «юзверей».
1. Для определения "заразы" мне нужно увидеть карантин.
2. Скрипты пишутся под определенную машину так как:
  • имена одних и тех-же зловредов могут создаваться случайным образом
  • иногда зловреды подменяют или отлаживают системные файлы и, выполнив такой чужой скрипт, вы можете удалить системный файл у себя, а это чревато потерей работоспособности системы
  • Чужие скрипты просто неэффективны и не принесут облегчения в 98% случаев

И почему её не нашёл антивирус (в данном случае NOD32)?
В данном случае в базах антивируса не было этого зловреда, а анализ "в ручную", даёт более полную информацию о действии подозрительных файлов.

Да, и вот ещё что! Как долго будет храниться скрипт на сайте, и как часто необходимо наведываться к Вам, чтобы мой аккаунт не удалили?
В ближайшее время мы не планируем проводить чистки. Если и будем всем пользователям будут разосланы уведомления (главное указать реальный email)
 
Последнее редактирование модератором:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу