Как удалить Vundo?

Тема в разделе "Борьба с типовыми зловредами", создана пользователем Alex56, 9 апр 2009.

Статус темы:
Закрыта.
  1. Alex56
    Оффлайн

    Alex56 Активный пользователь

    Сообщения:
    33
    Симпатии:
    301
    Virtumonde/Vundo

    Краткое описание и удаление

    Тип: Adware/Spyware/Троянская программа
    Платформа: Все существующие на сегодняшний день ОС Windows
    Автор: Virtumonde (virtumonde.com)

    Симптомы:

    Огромное количество всплывающих сообщений и рекламных окон IE (pop-ups), которые не перестают появляться даже при отключении интернета.
    Характер демонстрируемой рекламы может быть разнообразным, но в основном речь идет о приложениях класса WinFixer и ErrorSafe (WinAntivirus, ErrorGuard, SafetyDefender, WinantiSpyware, SysProtect, SystemDoctor, DriveCleaner и др.).

    Пример возможных всплывающих окон:

    [​IMG]

    Периодически устанавливается соединение с серверами 82.98.235.63/cgi-bin/check/**********; 85.12.25.*/*; 82.98.235.*/*; 89.188.16.*/* и др.

    Технические детали:

    Регистрируется в системе как:
    - расширение браузера BHO (Browser Helper Object);
    - модуль уведомления Winlogon (Winlogon Notify);
    - в последних вариантах добавилась еще одна запись в AppInit_DLLs;
    - может изменять ключ BootExecute (HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute)

    Названия созданных файлов - произвольные(!), т.е. выбираются случайным образом (5-8 знаков), что делает поиск и удаление файлов по характерным именам неэффективным:

    accepx.dll, aklsp.dll, akupd.dll, apcuo800.dll, awsgasfg.exe, awtst.dll, awvvs.dll, ayggaaaa.exe, bad-baby.dll, cidrules.dll, cutil.dll, dbabr.dll, ddaya.dll, dssoundi.dll, dwteepbb.exe, egjlcmba.dll, evhhapft.dll, fdconfig.dll, fdepheme.dll, gebcy.dll, gebya.dll, geeda.dll, getui.dll, grsqaaaa.exe, grtvumjk.exe, hgboxjfv.dll, hgded.dll, hggfg.dll, hvzjmguj.dll, icmppgrd.dll, inetadpt.dll, jkhfc.dll, jnwptjsf.exe, jpmthfgn.exe, jrbkvsrs.dll, jtwcaaaa.exe, keytapi.dll, khfff.dll, ljjji.dll, lspak.dll, mcconfig.dll, med.dll, mfc4hell.dll, mljjk.dll, mllmm.dll, msexfilt.dll, mshttcpl.exe, nwwkdb40.dll, opnnk.dll, pakfkrdr.dll, pentilcr.dll, pmkjg.dll, pmkjk.dll, quickbrowser.exe, QuickBrowserUpgrader.exe, scvi50.exe, setdrv32.dll, sjxwnaaa.exe, ssqrs.dll, ssttu.dll, systetup.dll, virtu000__.exe, vtsrr.dll, vtsts.dll, vturs.dll, wincore.dll, WindowsUpd1.exe, WindowsUpd2.exe, WindowsUpd4.exe, wavejava.dll, winhost32.exe, winupd.dll, xod.dll, yabba58.exe, yayyyab.dll, zz40.exe, zz50.exe.

    В логах HijackThis заражение фиксируется в секции O2 и O20 и выглядит примерно следующим образом:
    Вместо 'ddaya.dll' может быть любое значение.
    Вместо 'MSEvents Object' может быть значение 'ATLDistrib Object', 'CIEPl Object', либо имя может отсутствовать:
    Единственное, нужно обязательно иметь в виду, что некоторые варианты маскируют своё присутствие от HijackThis (устранить такую маскировку возможно с помощью переименования файла HijackThis.exe на HJT.exe или TJH.exe) + последние версии для затруднения своего обнаружения и удаления используют полнофункциональный руткит, который скрывает присутствие вредоносных файлов Vundo от системных программ, программ по безопасности и от самого пользователя.

    Наиболее простой способ удостовериться в том, что у вас этого руткита нет:

    My Computer > Properties > Hardware > Device Manager > в верхнем меню: View > Show Hidden devices > Non-Plug and Play Drivers > если записи 'DP1112' в списке там нет, то всё ок (разумеется, с условием, что к тому времени не будет выпущена новая версия)

    Детектируется антивирусами примерно следующим образом:

    AntiVir: ADSPY/Virtumonde; TR/Vundo.Gen
    BitDefender: Trojan.Virtumod; Trojan.Vundo
    DrWeb: Trojan.Virtumod
    Ewido: Adware.Virtumonde
    Kaspersky: not-a-virus:AdWare.Win32.Virtumonde
    McAfee: Vundo
    NOD32: Win32/Adware.Virtumonde
    Panda: Spyware/Virtumonde
    Sophos: Troj/AgentSpy-A
    Symantec: Adware.VirtuMonde; Trojan.Vundo

    [​IMG]
    --------------------------------------------------------------------------------

    Способы удаления:

    Наиболее простым и, главное, эффективным методом, будет использование утилиты VundoFix от Atribune.org:

    1. Скачиваем VundoFix на рабочий стол, после чего закрываем все открытые окна и запускаем программу.
    2. Ставим галочку рядом с надписью "Run VundoFix as a task"

    [​IMG]

    3. Появится сообщение с надписью "VundoFix will now close and re-open in 1 minute or less..."
    Нажимаем 'ОК' (в сообщение говорится о том, что программа закроется и приблизительно через минуту включится повторно.

    [​IMG]

    4. При повторном включении программы нажимаем на кнопку "Scan for Vundo"
    После этого рабочий стол и иконки на время исчезнут (это нормально). И когда сканирование закончится, нажимаем на следующую кнопку - "Remove Vundo" и 'ОК'.
    Ждем пока появится сообщение: "Done removing infected files! VundoFix will now shutdown your computer..." и снова 'ОК'.
    После этого компьютер выключится.
    5. Включаем его обратно, чтобы удостовериться, что лечение было успешным.

    --------------------------------------------------------------------------------

    На тот редкий случай, когда VundoFix вдруг не может помочь:

    1. Скачиваем на рабочий стол VirtumundoBegone и перезагружаем компьютер в безопасный режим:
    При появлении меню загрузки Windows нужно нажать клавишу F8. И на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем 'ENTER'.
    2. Запускаем программу, ждем когда она закончит, после чего перезагружаемся обратно в нормальный режим и проверяем исчезла ли инфекция.


    P.S. Во избежании повторного заражения, желательно обновить: Java Runtime Environment.

    Автор: Saule
    ссылка на источник
     

    Вложения:

    • vundo-vt.gif
      vundo-vt.gif
      Размер файла:
      17,7 КБ
      Просмотров:
      117
    • vundofix.gif
      vundofix.gif
      Размер файла:
      6,2 КБ
      Просмотров:
      125
    • vundofix2.gif
      vundofix2.gif
      Размер файла:
      3,5 КБ
      Просмотров:
      122
    Последнее редактирование модератором: 6 сен 2012
    8 пользователям это понравилось.
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Так-же с Vundo успешно борется MBAM и Combofix.

    Так-же можно воспользоваться утилитой от symantec

    !!!Combofix лучше не использовать неподготовленным пользователям.
     
    Последнее редактирование модератором: 6 сен 2012
    8 пользователям это понравилось.
Статус темы:
Закрыта.

Поделиться этой страницей