Инструкции & Трояны Валерий : 2008-12-23
Как удалить троян Vundo
Троян Vundo – это опасный и широкораспространённый троян, так же известен как VirtuMonde, WindowsUpd, Adware.VirtuMonde, TrojanDownloader.Win32.Agent.e, ADW_TARGETSOFT.A. Этот троян довольно трудно удалить с компьютера, при этом часто с ним не справляются многие именитые антивирусные и снтиспайварные программы. Причина этому – полиморфизм трояна, каждый компьютер заражён индивидуальным образом, при этом при каждой перезагрузке часть компонентов меняет свои имена и CLSID. Но при этом троян Vundo обладает рядом признаков, по которым опытный специалист его сразу узнает.
Основные симптомы заражения трояном Vundo.
- Множество вплывающих окон.
- Резкое замедление работы компьютера.
- Поддельные сообщения службы безопасности о том, что компьютер заражён и необходимо скачать специальную программу, чтобы вылечить компьютер. ОБЯЗАТЕЛЬНО игнорируйте это сообщение, ни в коем случае не скачивайте и не устанавливайте никаких дополнительных программ.
- Ваш антивирус сообщает об заражении компьютера трояном Vundo и не может его удалить.
HijackThis показывает заражёние.
O2 – BHO: WTLHelper Object – {75DC57F8-D831-4AB8-86B7-4F826F4A0873} – C:\WINDOWS\system32\unnqw.dll
O2 – BHO: (no name) – {10654df0-1449-4b62-82e9-9a6f61cc2ed7} – C:\WINDOWS\system32\yehifuni.dll (file missing)
O4 – HKLM\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s
O4 – HKLM\..\Run: [CPM3b906d0c] Rundll32.exe “c:\windows\system32\henemate.dll”,a
O4 – HKLM\..\Run: [38a35e90] rundll32.exe “C:\WINDOWS\system32\wavemile.dll”,b
O4 – HKLM\..\Run: [prunnet] “C:\WINDOWS\system32\prunnet.exe”
O4 – HKLM\..\Run: [jsf8j34rgfght] C:\DOCUME~1\user\LOCALS~1\Temp\winloggn.exe
O4 – HKCU\..\Run: [gadcom] “C:\Documents and Settings\user\Application Data\gadcom\gadcom.exe” 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 – HKUS\S-1-5-19\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s (User ‘LOCAL SERVICE’)
O4 – HKUS\S-1-5-20\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s (User ‘NETWORK SERVICE’)
O20 – AppInit_DLLs: c:\windows\system32\kabunabo.dll c:\windows\system32\pasaruwe.dll c:\windows\system32\vinomisu.dll c:\windows\system32\zahuzihi.dll C:\WINDOWS\system32\tazeyubo.dll C:\WINDOWS\system32\wifufulu.dll c:\windows\system32\gesekise.dll c:\windows\system32\kelinepe.dll c:\windows\system32\henemate.dll
O21 – SSODL: SSODL – {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} – c:\windows\system32\kelinepe.dll
O22 – SharedTaskScheduler: STS – {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} – c:\windows\system32\kelinepe.dll
Примечание: как вы видите из примеров выше в качестве имён файлов используется случайный набор символов. Трояно Vundo поражает практически все возможные способы автозапуска, причём HijackThis не показывает все эти способы.
Используйте следующие инструкции для удаления трояна Vundo.
1. Используя программу VundoFix.
- Скачайте VundoFix и запишите его на ваш рабочий стол.
- Дважды кликните по файлу vundofix.exe для запуска.
- Когда VundoFix запуститься, кликните по кнопке Scan for Vundo.
- После окончания сканирования, кликните по кнопке Remove Vundo.
- Будет показан запрос на подтверждение удаления файлов, кликните по кнопке YES. Возможно что в процессе удаления трояна, VundoFix не сможет удалить ассоциированный с трояном файл, поэтому он попытается его удалить после перезагрузки
- после этого ваш рабочий стол очиститься и запустится процесс удаления трояна
- когда он закончится, у вас будет запрошено разрешение на перезагрузку компьютера, кликните по кнопке YES
2. Используя программу VirtumundoBegone.
- Скачайте VirtumundoBegone кликнув по этой ссылке и запишите его на ваш рабочий стол.
- Перазапустите ваш компьютер в Безопасном режиме.
- Запустите VirtumundoBeGone.exe
- Кликните по кнопке Continue, затем по кнопке Start.
- В процессе работы возможно программа перезагрузит компьютер.
- Когда программа закончит работу, откроется лог файл с описанием всего, чтобы было сделано.
3. Используя Malwarebytes Anti-Malware.
- Скачайте Malwarebytes Anti-Malware.
- Запустите, на начальной стадии не забудьте выбрать русский язык интерфейса.
- Следуйте указаниям. По окончании установки программы, запуститься процесс обновления. По его окончании откроется главное меню Malwarebytes Anti-Malware.
- Откройте вкладку Сканер и кликните по кнопке Проверить. Будьте терпеливы, процесс сканирования может быть довольно долгим.
- После сканирования кликните Показать результаты и вам будет показан результат сканирования.
- Кликните по кнопке Удалить выделенные.
Если у вас возникли вопросы по этой инструкции или она вам не помогла, то обратитесь на наш компьютерный форум.
Дата:2009-02-18 13:07 1. Автор:Наталья
Спасибо большое за подсказки, но к сожалению ни один из предложенных способов данный вирус на моем компьютере не удалил
но последняя программа помогла выявить 5 скрытых от остальных антивирусных программ паразитов
Дата:2009-02-21 9:18 2. Автор:Андрей
Спасибо! Как раз последняя программа помогла
Дата:2009-06-01 2:41 3. Автор:vlad
Спасибо большое!! Нашол и удалил две вредоносных dll-льки, но одна конечно осталась и удаляться никак не хочет – iaaupzwo.dll! по сути это как раз один из модификаций Trojan.Vundo
Дата:2009-06-02 18:24 4. Автор:Валерий
vlad, обратитесь на наш форум, удалим
Дата:2009-07-01 23:19 5. Автор:Angel
вот здесь есть два скрипта для удаления этого вируса:
http://forum.kaspersky.com/index.php?showtopic=114319
Дата:2009-07-03 0:51 6. Автор:Валерий
На страничке, ссылку на которую вы привели нет ничего особого. Рассматривается лечение конктреного случая заражения трояном Vundo. Но троян и лечится трудно по той причине, что в каждом конкретном случае используются разные имена файлов и точки автозапуска. Поэтому, что Malwarebytes Anti-malware, что Combofix, эти программы не всегда могут справиться с заражением.
Дата:2009-12-15 14:30 7. Автор:сергей
спасибо что вы есть
Дата:2009-12-19 6:22 8. Автор:Евгений
Огромное спаисбо программа Malwarebytes’ Anti-Malware мне очень помогла.
С помощью неё мне удалось удалить программу паразит