Trojan Graybird/DownLd.B - jak sobie z nim poradzić?


(Radiactive) #1

Witam. Mam problem z jakimś trojanem z którym nie umiem sobie poradzić. Avira Antyvir wykrywa go jako TR/DownLd.B, Norton jako Graybird. Symantec podaje jak usunąć tego wirusa, tyle tylko że w moim rejestrze nie ma żadnego z podawanego przez nich wpisu. Wirus tworzy sobie pliki .tmp w folderze windows\temp\ numerując je po kolei tmp1.tmp, tmp2.tmp itd. Po jakimkolwiek działaniu na wykrytym pliku (obojętnię czy daję delete, ignore, deny acces, move to quarantine) tworzona jest kolejna kopia wirusa. Próbowałem wyłączyć przywracanie systemu i w safemodzie przeskanować system powyższymi antywirusami, dodatkowo spybotem s&d, superantispywarem, prevx sci i spyware terminator (da ostatnie miały wykrywać i usuwać tego wirusa, ale prevx wykrywa tylko jakiś malware w pliku miccyhook.dll, spyware terminator jedynie nieprawidłowy wpis w rejestrze dotczący msmsgs). Przy starcie systemu, po zalogowaniu i jak urochomią się avira antyvir i norton od razu pojawia się komunikat, że wykryto wirusa.

Poniżej mój log z Hijacka (wiem, że powinienem wrzucić na wklej.org, ale nie chce mi na tą stronę wejść).


(huber2t) #2

fix


(Dawidex11) #3

Witaj, zafixuj tylko to ,

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Program Files\BitComet\tools\BitCometBHO_1.1.11.30.dll/206 (file missing)

Nic innego więcej nie widzę ,

Podaj log z ComboFix’a :arrow: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Instrukcja Obsługi:

Ponieważ wklej.org nie dziala podaj log na forum.


(Dawidex11) #4

Jest to wpis uruchamiający Windows Messenger przy starcie systemu .


(Radiactive) #5

Pliki wirusą są zawsze w c:\windows\temp\temp?.tmp

log z combofixa


(Baldys15) #6

Sfixuj:

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

pozatym log jest czysty,przeleć kompa tym:

http://dobreprogramy.pl/index.php?dz=2& … Build+2522

i tym:

http://dobreprogramy.pl/index.php?dz=2& … +2.1.1.314


(Baldys15) #7

log z combofixa niech sprawdzi ‘‘znawca’’ dawidek11


(Dawidex11) #8

Ja w logu nic nie widzę , czy nadal antywirusy wykrywają tego wirusa?

Widzę że masz 2 antywirusy nie radzę używać dwóch .

Przeleć dysk CCleaner’e, :arrow: http://dobreprogramy.pl/index.php?dz=22&id=1125&CCleaner+2.05.555

Do tego skanerami online np. Nod32 lub Trendmicro :arrow: http://www.eset.com/onlinescan/ , http://prerelease.trendmicro-europe.com/hc66/launch/

Również możesz przelecieć dobrym Anti-spyware’em :arrow: http://www.ewido.net/en/onlinescan/ .

Przeskanuj te pliki na http://www.virustotal.com Napisz czy coś znalazło

Możesz jeszcze podać log z SDFix’a :arrow: http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Instrukcja Obsługi:

Pozdrawiam.


(Radiactive) #9

trojan remover znalazł tylko dwa wpisy live update nortona jako podejrzane, spyware terminator tylko ten dotyczący msmsgs.

Antywirusy dalej wirusa widzą. Co do tych dwóch antywirusów, to na razie nie zauważyłem żeby się jakoś zwalczały czy coś.

Spróbuję jeszcze tymi programami przelecieć, może to coś da. W każdym razie dzięki za pomoc.

EDIT:

Z tych wszystkich plików virustotal.com znalazł mi tylko coś w miccyhook.dll: Prevx1 V2 2008.03.22 Generic.Malware. Prevx ściągnąłem już wcześniej, też wykrył coś w tym pliku, tyle tylko że nie mam na niego pełnej licencji, która pozwoliłaby na usunięcie zagrożenia z tego pliku. Na stronie prevx informacji o tego typu infekcji w zasadzie brak.

SDFix niczego nie usuwał, napisał tylko, że nie może znaleźć ścieżki/pliku i się zamknął.