virus system32, rootkit

Prosim poradte mi niekto ako sa zbavim zlozky/virusu v systeme32/drivers, uz som sem pisala ale nikto mi neodpisuje....
nejde mi deletnut,ani avast mi ho nevymaze, iba mi hlasi ze mam rootkit.
Presla som to Hijackthis,ale presne tento virus nenaslo,aspon sa mi tak zda.
Odpise mi niekto???dakujem

Ahoj. Momentálne asi nie sú užívatelia zaoberajúci sa vírusmi na fóre aktívny. Čo Ti môžem poradiť za seba, stiahni si Avira AntiVir Rescue System, napáľ, nabootuj z neho, aktualizuj databázu a skús odstrániť infekciu týmto spôsobom.

Alebo sa obráť na tieto fóra:
http://www.secit.sk/forum/
http://www.viry.cz/forum/

Dakujem ti

stiahni si Sophos antirootkit,ten to vyrieši

Ahoj,
môžeš použiť Killbox, Avenger, HJT
Ale najprv skus vložiť log z RSIT

ahojte dakujem za pomoc, vyskusam.
Len neviem co to je HJT ani log z RSIT, moc sa tomu nerozumiem

log z HJT uz mi doslo ze to je Hijackthis, ten som robila asi v piatok, tu je:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 16:13:19, on 11.3.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\TBPanel.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\vVX3000.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Evicka\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Evicka\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Evicka\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\Program Files\StreamingStar\HiDownload\hidownload.exe (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.google.com
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: CiSvc - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 8990 bytes

Killbox mi nechce vymazat ten subor, ktory mi Avast ukazuje ako rootkit, ani obycajne mi nejde deletnut, bestia jedna...po zapnuti mi pocitac vzdy tak divne pipne, predtym mi to nerobilo

O.K pozriem sa na to asi Gmer

s gmerom som ešte neskúsený, skus použiť AVP tool
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
hore je odkaz na stiahnutie

dakujem, idem na to, uvidime ci sa mi to podari uz konecne odstranit...

No, mal by som aj iný spôsob, ale radšej nie
A HJT je súčasťou RSIT

Takze kaspersky ten virus nasiel ale v reporte vypisalo ze UNTREATED,

15.3.2010 09:44:20 Untreated: Rootkit.Win32.Agent.bdoz C:\WINDOWS\system32\drivers\wrvkgg.sys Postponed

cize to nevyliecilo, co teraz?

s Avirou si skusal?

No, to bude ťažké, AVPtool by to mal vyliečiť...
Idem sa na niečo pozrieť,

mozem skusit aviru, ale neviem ci to pomoze, asi by som mala proste preinstalovat windows

Avira mi nasla iny virus, v reporte bolo ze sa pokusala preskenovat ten rootkit,ale nedal sa jej otvorit

Fuha neviem este co by pomohlo na viry.cz forum si neskusala dat log ?
Ps-Kde je Pitimir ?

life cd ubuntu,edr commander atd... a ides ...

ako pouzijem ten edr commander?je to komplikovane?

ubuntu je vlastne namiesto windows?ako to ziskam?

yowenka pozri sa ešte raz na moju radu. Preto som Ti dal link na bootovaciu verziu pretože obchádza systém. Akonáhle je infekcia zaregistrovaná ako driver tak ju konvenčným spôsobom neodstrániš, takže nepochybuj a skús. Bootovací antivírus má tú výhodu, že obchádza schované súbory pred systémom len z toho dôvodu že systém je offline a vírus sa nemá ako schovať, zviazať so systémom. Táto verzia ide bez problémov, akurát dneska som preventívne skenoval jednu Linux stanicu pripojenú na stanice so systémom XP. Posledná možnosť je použiť špecializované fóra, ak chceš silou mocou pomoc tu, tak prosím aspoň sa pokús počúvať rady, aby človek nemal pocit že píše zbytočne.

prepac ja som nechcela aby si si myslel ze nepocuvam rady....co to znamena nabootuj?

uz to idem napalovat

Čiže postupoval/a si podľa mojej prvej rady?

Ak áno tak skús Sophos ako spomínal Milanese.

nie to som iba nainstalovala namiesto avastu Aviru,dala skenovat, ale neslo jej to preskenovat........teraz som uz ale napalila to cd, co s tym teraz?Ako to vlastne nabootujem,kedze neviem co to je?prepac
skusim este ten sophos

Takže akurát teraz ideš podľa mojej prvej rady? OK, počkám na výsledok. !Inak, ak ideš písať ďaľší príspevok za svojím predošlým, tak klikni na položku Edit u svojho predošlého a tam dopíš ďaľší text prípadne, tam doplň slovo Edit ak je to po dlhšej dobe aby dotyčný čitateľ vedel že sa v správe dačo menilo, pridalo! Príspevky za príspevkami sa pokladajú za Spam hunting a za ďaľšie nie je to moc prehľadné potom. Sophos zatiaľ odlož ako druhý krok. A nebuď tak zbrklý/á.

ja sa ospravedlnujem,nemam skusenosti s forom,ale snazim sa
takze ako to nabootujem?

Ja Ti fakt nestíham odpisovať, urob prvý krok, potom uvidíme čo ďalej. A hlavne si prečítaj moju predošlú reakciu pretože keď toto admini uvidia nebudú moc nadšení, radšej hovor menej a viac konaj.

Edit: V poriadku. Takže ak máš pripravené bootovacie CD, reštartni PC, po kontrole pamätí a počas inicializácie diskov drž na stolnom "DEL" na notebook-u "F10" prípadne "F2". Dostaneš sa do BIOS-u, tam si nájdi položku "primary boot" či niečo podobné kde je jednoducho výpis čo sa bootuje prvé, druhé a pod. A tam zmeň prvú položku na CD/DVD ROM.



Tento obrázok je ilustračný!

v poriadku, napis mi ked uz mam pc restartnut a zacat.