Avast i problemy z analizą heurystyczną


(Ppeterson) #1

Avast wykrywa analizą heurystyczną plik gvibmod.sys, który mam w katalogu windows\system32\drivers\ .

Nie wiem co to jest za plik, a nie da się go usunąć, skopiować, zmienić nazwy. Próbowałem w trybie awaryjnym, ale ciągle jest odmowa dostępu. W googlach nie ma żadnego wpisu na temat takiego pliku. Czy ktoś wie o co w tym chodzi? Może to wcale nie jest żaden wirus, a nadgorliwość avasta?

Uruchomiłem Malwarebytes' Anti-Malware, który znalazł jakieś robactwo, ale tego pliku nie zauważył. Nie ma go też w autostarcie, ani w uruchomionych procesach.

Pomożecie? :wink: :lol:


(Gutek) #2

Pokaż log z: OTL

Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan.


(deFco247) #3

Objawy to raczej rootkita przypominają, a OTL ich często nie widzi...

Oprócz powyższego logu wykonaj jeszcze to:

Przed uruchomieniem narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Wykonaj log GMER.

W GMER nic nie zmieniamy -> wciskamy Szukaj (skan potrwa kilkadziesiąt minut) -> po skanie Kopiuj lub Zapisz.


(Ppeterson) #4

OK, to najpierw OTL

http://www.wklej.org/id/240774/

A zaraz puszczam GMERa


(Gutek) #5

są ale poczekajmy na Gmera jak mówi deFco247 :slight_smile:


(Ppeterson) #6

GMER też coś znalazł i dał takiego loga:

http://www.wklej.org/id/240841/

Jak to dziadostwo usunąć?


(Katalonczyk97) #7


(deFco247) #8

Uruchom GMER -> zakładka CMD -> w górne czarne okno przy ustawionym CMD.EXE wklej:

Klikasz Uruchom , restart. Napisz, czy się udało.


(Ppeterson) #9

Mam komunikat:

"Wystąpił błąd nr 0x00000057 w czasie kasowania pliku: "C:\WINDOWS\system32\drivers\gvibmod.sys": Nie można odnaleźć określonego modułu."

Więc chyba się nie udało.


(deFco247) #10

Sprawdź, czy ten plik jest dalej na dysku, no i czy Avast dalej wykrywa zagrożenie.

Wykonaj pełny skan Dr.Web CureIt.

Gdy będą wirusy, pokaż raport.


(Ppeterson) #11

Po ponownym uruchomieniu plik nadal na dysku. Nie da się wciąż go skasować, ani w jakikolwiek sposób ruszyć.

Czy zanim zainstaluję nowego antywirusa usunąć avast?


(Gutek) #12

Spóbujmy tak, nie moge chwilowo otworzyć loga, więc ta tylko część

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Jak nie idzie to:

Pobierz The Avenger.W okienku, które się otworzy wklej:

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(Ppeterson) #13

Dr Web wykrył:

~TMEE.tmp w C:\WINDOWS\temp jako Trojan.Botnetlog.124 i go usunął.

Po gvibmod.sys się tylko przeslizgnął i nie rozpoznał go jako wirusa.

Avast dalej krzyczy, że wykyrł wirusa na dysku i w pamięci wskazując na gvibmod.sys


(Gutek) #14

Zrobiłeś to co wyżej napisałem?


(Ppeterson) #15

Gutek, taki log dostałem po OTLu:

http://www.wklej.org/id/240926/

Plik gvibmod.sys dalej jest na dysku. Więc się chyba nie udało. Spróbuję teraz drugiego z Twoich sposobów.


(Gutek) #16

Sposób pierwszy nie miał być skuteczny myślałem o tym pliku :slight_smile:

Daj raport z The Avenger


(Ppeterson) #17

Nie wiem jak mam dać raport z The Avenger, ale wygląda na to, że on poskutkował. Nie ma już pliku gvibmod.sys w katalogu WINDOWS\system32\drivers .

Czy coś jeszcze powinienem zrobić? Może po kolei skan Avastem, Malware itd. ?

Wielkie DZIĘKUJĘ wszystkim, którzy mi pomogli. Mam nadzieję, że kiedyś będę mógł się Wam odwdzięczyć.


(Gutek) #18

Daj nowy log z Gmera i OTL


(Ppeterson) #19

Log z Avengera:

http://wklejto.pl/50742


(Gutek) #20

Napisał, że usunął. Daj logi, o które prosiłem :slight_smile: