ppeterson
(Ppeterson)
19 Grudzień 2009 17:04
#1
Avast wykrywa analizą heurystyczną plik gvibmod.sys, który mam w katalogu windows\system32\drivers\ .
Nie wiem co to jest za plik, a nie da się go usunąć, skopiować, zmienić nazwy. Próbowałem w trybie awaryjnym, ale ciągle jest odmowa dostępu. W googlach nie ma żadnego wpisu na temat takiego pliku. Czy ktoś wie o co w tym chodzi? Może to wcale nie jest żaden wirus, a nadgorliwość avasta?
Uruchomiłem Malwarebytes’ Anti-Malware, który znalazł jakieś robactwo, ale tego pliku nie zauważył. Nie ma go też w autostarcie, ani w uruchomionych procesach.
Pomożecie? :lol:
Gutek
(Gutek)
19 Grudzień 2009 17:06
#2
Pokaż log z: OTL
Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :
Klikasz Run Scan .
deFco247
(deFco247)
19 Grudzień 2009 17:11
#3
Objawy to raczej rootkita przypominają, a OTL ich często nie widzi…
Oprócz powyższego logu wykonaj jeszcze to:
Przed uruchomieniem narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
Wykonaj log GMER .
W GMER nic nie zmieniamy -> wciskamy Szukaj (skan potrwa kilkadziesiąt minut) -> po skanie Kopiuj lub Zapisz .
ppeterson
(Ppeterson)
19 Grudzień 2009 17:27
#4
OK, to najpierw OTL
http://www.wklej.org/id/240774/
A zaraz puszczam GMERa
Gutek
(Gutek)
19 Grudzień 2009 17:33
#5
[2009-12-19 18:24:57 | 00,734,208 | ---- | M] () – C:\WINDOWS\System32\drivers\gvibmod.sys [2009-12-18 17:25:18 | 00,734,208 | ---- | C] () – C:\WINDOWS\System32\drivers\gvibmod.sys
są ale poczekajmy na Gmera jak mówi deFco247
ppeterson
(Ppeterson)
19 Grudzień 2009 18:34
#6
GMER też coś znalazł i dał takiego loga:
http://www.wklej.org/id/240841/
Jak to dziadostwo usunąć?
deFco247
(deFco247)
19 Grudzień 2009 19:06
#8
Uruchom GMER -> zakładka CMD -> w górne czarne okno przy ustawionym CMD.EXE wklej:
Klikasz Uruchom , restart. Napisz, czy się udało.
ppeterson
(Ppeterson)
19 Grudzień 2009 19:10
#9
Mam komunikat:
“Wystąpił błąd nr 0x00000057 w czasie kasowania pliku: “C:\WINDOWS\system32\drivers\gvibmod.sys”: Nie można odnaleźć określonego modułu.”
Więc chyba się nie udało.
deFco247
(deFco247)
19 Grudzień 2009 19:13
#10
Sprawdź, czy ten plik jest dalej na dysku, no i czy Avast dalej wykrywa zagrożenie.
Wykonaj pełny skan Dr.Web CureIt .
Gdy będą wirusy, pokaż raport.
ppeterson
(Ppeterson)
19 Grudzień 2009 19:14
#11
Po ponownym uruchomieniu plik nadal na dysku. Nie da się wciąż go skasować, ani w jakikolwiek sposób ruszyć.
Czy zanim zainstaluję nowego antywirusa usunąć avast?
Gutek
(Gutek)
19 Grudzień 2009 19:42
#12
Spóbujmy tak, nie moge chwilowo otworzyć loga, więc ta tylko część
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL [2009-12-19 18:24:57 | 00,734,208 | ---- | M] () – C:\WINDOWS\System32\drivers\gvibmod.sys [2009-12-18 17:25:18 | 00,734,208 | ---- | C] () – C:\WINDOWS\System32\drivers\gvibmod.sys :Files C:\WINDOWS\System32\drivers\gvibmod.sys :Services gvibmod :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Jak nie idzie to:
Pobierz The Avenger .W okienku, które się otworzy wklej:
kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
ppeterson
(Ppeterson)
19 Grudzień 2009 20:15
#13
Dr Web wykrył:
~TMEE.tmp w C:\WINDOWS\temp jako Trojan.Botnetlog.124 i go usunął.
Po gvibmod.sys się tylko przeslizgnął i nie rozpoznał go jako wirusa.
Avast dalej krzyczy, że wykyrł wirusa na dysku i w pamięci wskazując na gvibmod.sys
Gutek
(Gutek)
19 Grudzień 2009 20:21
#14
Zrobiłeś to co wyżej napisałem?
ppeterson
(Ppeterson)
19 Grudzień 2009 20:22
#15
Gutek, taki log dostałem po OTLu:
http://www.wklej.org/id/240926/
Plik gvibmod.sys dalej jest na dysku. Więc się chyba nie udało. Spróbuję teraz drugiego z Twoich sposobów.
Gutek
(Gutek)
19 Grudzień 2009 20:24
#16
Sposób pierwszy nie miał być skuteczny myślałem o tym pliku
Daj raport z The Avenger
ppeterson
(Ppeterson)
19 Grudzień 2009 20:30
#17
Nie wiem jak mam dać raport z The Avenger, ale wygląda na to, że on poskutkował. Nie ma już pliku gvibmod.sys w katalogu WINDOWS\system32\drivers .
Czy coś jeszcze powinienem zrobić? Może po kolei skan Avastem, Malware itd. ?
Wielkie DZIĘKUJĘ wszystkim, którzy mi pomogli. Mam nadzieję, że kiedyś będę mógł się Wam odwdzięczyć.
Gutek
(Gutek)
19 Grudzień 2009 20:32
#18
Daj nowy log z Gmera i OTL
Gutek
(Gutek)
19 Grudzień 2009 20:35
#20
Napisał, że usunął. Daj logi, o które prosiłem