Троян Vundo — это опасный и широкораспространённый троян, так же известен как VirtuMonde, WindowsUpd, Adware.VirtuMonde, TrojanDownloader.Win32.Agent.e, ADW_TARGETSOFT.A. Этот троян довольно трудно удалить с компьютера, при этом часто с ним не справляются многие именитые антивирусные и снтиспайварные программы. Причина этому — полиморфизм трояна, каждый компьютер заражён индивидуальным образом, при этом при каждой перезагрузке часть компонентов меняет свои имена и CLSID. Но при этом троян Vundo обладает рядом признаков, по которым опытный специалист его сразу узнает.
Основные симптомы заражения трояном Vundo.
- Множество вплывающих окон.
- Резкое замедление работы компьютера.
- Поддельные сообщения службы безопасности о том, что компьютер заражён и необходимо скачать специальную программу, чтобы вылечить компьютер. ОБЯЗАТЕЛЬНО игнорируйте это сообщение, ни в коем случае не скачивайте и не устанавливайте никаких дополнительных программ.
- Ваш антивирус сообщает об заражении компьютера трояном Vundo и не может его удалить.
HijackThis показывает заражёние.
O2 — BHO: WTLHelper Object — {75DC57F8-D831-4AB8-86B7-4F826F4A0873} — C:\WINDOWS\system32\unnqw.dll
O2 — BHO: (no name) — {10654df0-1449-4b62-82e9-9a6f61cc2ed7} — C:\WINDOWS\system32\yehifuni.dll (file missing)
O4 — HKLM\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s
O4 — HKLM\..\Run: [CPM3b906d0c] Rundll32.exe “c:\windows\system32\henemate.dll”,a
O4 — HKLM\..\Run: [38a35e90] rundll32.exe “C:\WINDOWS\system32\wavemile.dll”,b
O4 — HKLM\..\Run: [prunnet] “C:\WINDOWS\system32\prunnet.exe”
O4 — HKLM\..\Run: [jsf8j34rgfght] C:\DOCUME~1\user\LOCALS~1\Temp\winloggn.exe
O4 — HKCU\..\Run: [gadcom] “C:\Documents and Settings\user\Application Data\gadcom\gadcom.exe” 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 — HKUS\S-1-5-19\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s (User ‘LOCAL SERVICE’)
O4 — HKUS\S-1-5-20\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s (User ‘NETWORK SERVICE’)
O20 — AppInit_DLLs: c:\windows\system32\kabunabo.dll c:\windows\system32\pasaruwe.dll c:\windows\system32\vinomisu.dll c:\windows\system32\zahuzihi.dll C:\WINDOWS\system32\tazeyubo.dll C:\WINDOWS\system32\wifufulu.dll c:\windows\system32\gesekise.dll c:\windows\system32\kelinepe.dll c:\windows\system32\henemate.dll
O21 — SSODL: SSODL — {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} — c:\windows\system32\kelinepe.dll
O22 — SharedTaskScheduler: STS — {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} — c:\windows\system32\kelinepe.dll
Примечание: как вы видите из примеров выше в качестве имён файлов используется случайный набор символов. Трояно Vundo поражает практически все возможные способы автозапуска, причём HijackThis не показывает все эти способы.
Используйте следующие инструкции для удаления трояна Vundo.
1. Используя программу VundoFix.
- Скачайте VundoFix и запишите его на ваш рабочий стол.
- Дважды кликните по файлу vundofix.exe для запуска.
- Когда VundoFix запуститься, кликните по кнопке Scan for Vundo.
- После окончания сканирования, кликните по кнопке Remove Vundo.
- Будет показан запрос на подтверждение удаления файлов, кликните по кнопке YES. Возможно что в процессе удаления трояна, VundoFix не сможет удалить ассоциированный с трояном файл, поэтому он попытается его удалить после перезагрузки
- после этого ваш рабочий стол очиститься и запустится процесс удаления трояна
- когда он закончится, у вас будет запрошено разрешение на перезагрузку компьютера, кликните по кнопке YES
2. Используя программу VirtumundoBegone.
- Скачайте VirtumundoBegone кликнув по этой ссылке и запишите его на ваш рабочий стол.
- Перазапустите ваш компьютер в Безопасном режиме.
- Запустите VirtumundoBeGone.exe
- Кликните по кнопке Continue, затем по кнопке Start.
- В процессе работы возможно программа перезагрузит компьютер.
- Когда программа закончит работу, откроется лог файл с описанием всего, чтобы было сделано.
3. Используя Malwarebytes Anti-Malware.
- Скачайте Malwarebytes Anti-Malware.
- Запустите, на начальной стадии не забудьте выбрать русский язык интерфейса.
- Следуйте указаниям. По окончании установки программы, запуститься процесс обновления. По его окончании откроется главное меню Malwarebytes Anti-Malware.
- Откройте вкладку Сканер и кликните по кнопке Проверить. Будьте терпеливы, процесс сканирования может быть довольно долгим.
- После сканирования кликните Показать результаты и вам будет показан результат сканирования.
- Кликните по кнопке Удалить выделенные.
Если у вас возникли вопросы по этой инструкции или она вам не помогла, то обратитесь на наш компьютерный форум.
Спасибо большое за подсказки, но к сожалению ни один из предложенных способов данный вирус на моем компьютере не удалил 🙂
но последняя программа помогла выявить 5 скрытых от остальных антивирусных программ паразитов
Спасибо! Как раз последняя программа помогла
Спасибо большое!! Нашол и удалил две вредоносных dll-льки, но одна конечно осталась и удаляться никак не хочет — iaaupzwo.dll! по сути это как раз один из модификаций Trojan.Vundo
vlad, обратитесь на наш форум, удалим 🙂
вот здесь есть два скрипта для удаления этого вируса:
http://forum.kaspersky.com/index.php?showtopic=114319
На страничке, ссылку на которую вы привели нет ничего особого. Рассматривается лечение конктреного случая заражения трояном Vundo. Но троян и лечится трудно по той причине, что в каждом конкретном случае используются разные имена файлов и точки автозапуска. Поэтому, что Malwarebytes Anti-malware, что Combofix, эти программы не всегда могут справиться с заражением.
спасибо что вы есть
Огромное спаисбо программа Malwarebytes’ Anti-Malware мне очень помогла.
С помощью неё мне удалось удалить программу паразит
Помогите….комп и в правду виснуть стал. Avast не обнаруживает ничего, а улитка Remove it Pro обнаружил Trojan Vundo, но удалить не может. Проверяя Malwarebytes’ Anti-Malware, VundoFix проги ничего не обнаруживают, что может помочь справится с проблемой. Заранее спасибо!!! :))
Дима, троян Vundo редко полностью удаляется в автоматическом режиме. Обратитесь на наш форум, поможем удалить этого паразита вручную.
Огромное Вам спасибо! Последняя программа вылечила от VundoMF.
Совершенствуйтесь на радость пользователям.
С наступающим Днём Святого Валентина!=)
эти программы они нормально взаимодействуют с антивирусниками?
Сканирую, ждёмс!
а как удалить тронян енкодер, у меня все файлы зашифрованы на 777, и не открывается, троян спратял его, и просит отправить смс, доктор веб тоже не помог,
СПАСИБО БОЛЬШОЕ! Пол инета обрыл, и нифига нормального не нашел. Сразу использовал Malwarebytes Anti-Malware, и помогло! Заодно удалил ещё пару вирусов с компа 😀
Хочу поделиться опытом!
Сам лично друзям вылечил недуг баннер «Windows заблокирован»!!!
В диспетчере задач висит приложение LokoMoTO это Trojan.Winlock.6999 или 6613 (Исполняемый файл вредоносного ПО имеет имя
xxx_video.scr, MVbCn7d.exe, MXROH_U_MF.EXE, YWR4ATG.EXE)
Кодов разблокировки не существует
Быстро исправляем проблему самостоятельно, в два шага, грузимся в безопасный режим с поддержкой коммандной строки и выполняем:
1. команда cleanmgr
2. команда rstrui
Malwarebytes Anti-Malware. установил сканировал раз пять и в безопасном режиме тоже — никакого толку.