wupldx.sys (nie daje się usunąć)

[Enjama]

Witam

Po zainstalowaniu na nowo systemu ... byłem bez ochrony av może z 8 godzin. Za ten czas zrobił mi się burdel niezły avira wykryła 24 wirusy i część usuneła ale teraz za każdym skanowaniem zostaje ten plik wupldx.sys i wyskakuje mi taki komunikat, po zakończeniu skanowania.

[Aby zobaczyć linki, zarejestruj się tutaj]

The file ''C:\WINDOWS\system32\drivers\wupldx.sys''
contained a virus or unwanted program ''RKIT/Nixoa.1'' [trojan]
Action(s) taken:
The file could not be opened!
An attempt is being made to scan the file with the aid of the snapshot driver.
The file could not be deleted!
Attempting to perform action using the ARK library.
The file was deleted!

Kod:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:17:24, on 2010-01-21
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Mouse Driver\KMWDSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\Program Files\Malwarebytes'' Anti-Malware\mbamservice.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Synaptics\SynTP\SynAsus.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATK Hotkey\Hcontrol.exe
C:\Program Files\ATK Hotkey\MsgTranAgt.exe
C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
C:\Program Files\ASUS\Splendid\ACMON.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\WINDOWS\system32\ACEngSvr.exe
C:\Program Files\Mouse Driver\StartAutorun.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\ATK Hotkey\ATKOSD.exe
C:\Program Files\Mouse Driver\KMConfig.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mouse Driver\KMProcess.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\ATK Hotkey\WDC.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Program Files\ATK Hotkey\Hcontrol.exe"
O4 - HKLM\..\Run: [MsgTranAgt] "C:\Program Files\ATK Hotkey\MsgTranAgt.exe"
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [ACMON] "C:\Program Files\ASUS\Splendid\ACMON.exe"
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [KMCONFIG] C:\Program Files\Mouse Driver\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [OutpostMonitor] "C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe" /tray /noservice
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Program Files\Agnitum\Outpost Firewall Pro\feedback.exe" /dump:os_startup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ''SYSTEM'')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ''Default user'')
O4 - Startup: [email protected]
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ''Tools'' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ''Tools'' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Program Files\Mouse Driver\KMWDSrv.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes'' Anti-Malware\mbamservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6176 bytes

Proszę o jakieś sugestie jak to usunąć:rolleyes:

[zord]

użyj płyty bootowalnej

[Aby zobaczyć linki, zarejestruj się tutaj]

[Eru]

Log wygląda na czysty...
Czemu w takim razie nie zainstalowałeś antywirusa od razu

Co do płyty bootowalnej to polecam program SARDU - możesz za jego pomocą na 1 płytę nagrać:

[Aby zobaczyć linki, zarejestruj się tutaj]

Program do pobrania tutaj:

[Aby zobaczyć linki, zarejestruj się tutaj]

Jest on w języku włoskim - niemniej można na angielski zmienić

[Enjama]

Malware wykrył dodatkowo 4 pliki z system volume information ... więc nie znalazł tego pliku co avira go nie potrafi usunąć.
Tą płytę ratunkową wypalam na plytke i bootuje jak windowsa ?

[Eru]

Tak nagrywasz na płytę i ustawiasz bios żeby z płyty się bootował - potem po prostu robisz skana i restart.

[zeero]

Enjama.Pierwsza i podstawowa rzeczą jaka musisz zrobic,to pójść na te stronę i zrobić to co tam ci polecą

[Aby zobaczyć linki, zarejestruj się tutaj]

.
Te botowalne barabara odpusc sobie.

[ichito]

Zeero...a używałeś SARDU? Nie?...poczytaj tu na forum

[Aby zobaczyć linki, zarejestruj się tutaj]

To bardzo dobre narzędzie i warto spróbować sobie samemu wg swoich potrzeb skomponować jego skład...co tam włożysz, zależy od Ciebie. Mam go na USB i już mnie ratował

[Enjama]

Enjama...żarty sobie robisz???(za to teraz można dostać bana)...w 8 godzin Ci zainfekowało system???
LikwidatoR...jedzie od 2 tygodni bez niczego i ma czysto...a sexstrony Mu nieobce:p...więc bardzo proszę bez jaj...

Nie robię sobie żartów O.o bo i po co.
Wiem że ściągnąłem patcha do total comandera i to pewnie bylo to ... bo wykryła w nim avira sporo syfu.

Avira Rescue nie znalazła tego pliku ale o dziwo teraz skanowałem normalnie spod systemu i już nie wykrywa tego wirusa wupldx.sys

Chyba że pokazać jeszcze raz logi ?

[zeero]

Ichito.On ma lub miał zainfekowany system i trzeba specjalistycznymi zabawkami sprawdzic co jeszcze pozostało,poniewaz w przypadku infekcji nie ma zadnej gwarancji ze te antywirusowe komponenty nie zostana w trakcie tworzenia LiveCD,zarazone.
Tego rodzaju narzedzia tworzy sie na czystym kompie,nigdy na skazonym
Co zaś do kasowania "nieusuwalnych",to tam tez znajdzie fachową poradę.

[ichito]

Zeero...OK masz rację, ale bootowalny CD lubUSB można stworzyć na zdrowym kompie. To zajmuje kilkadziesiąt minut, a z samymi antywirami może z niecałe pół godziny.

[zeero]

Ichito.Posiadanie LiveCD,jak sam wczesniej zauwazyłes,jest przydatne.Szczególnie w sytuacjach gdy nie można dostać się do systemu.No i nie tyle mozna co trzeba to zrobić na zdrowym kompie.