Winupgro

Patrick -  
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   -
Bonjour,

Ma fille a récupérée ou? une cochonnerie nommée winupgro impossible d'acceder à internet ccleaner et spybot ne sont plus opérationnels impossible de lancer hijackthis et mon antivirus ne marche plus non plus en téléchargeant combofix sur une cle usb impossible (toutes les icones disparaissent et reste seul le fond d'écran)de le lancer sur le pc contaminé et un démarrage en mode sans echec n'est pa non plus possible une restauration du systeme à une date ultérieure est également impossible . Que faire ??

le pc concerné fonctionne sous windows xp et internet explorer 7

Merci de votre aide par avance
Configuration: Windows Vista
Internet Explorer 7.0

10 réponses

  1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Salut,

    --> Télécharge FindyKill (par Chiquitine29) sur ton Bureau.

    --> Lance l'installation avec les paramètres par défaut.

    --> Double-clique sur le raccourci FindyKill sur ton Bureau.

    --> Au menu principal, choisis l'option 1 (Recherche).

    --> Poste le rapport FindyKill.txt

    Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
    1
    1. Patrick
       
      Merci pour la promptitude


      ----------------- FindyKill V4.711 ------------------

      * User : Patrick - NOM-F0C838AA0D5
      * Emplacement : C:\Program Files\FindyKill
      * Outils Mis a jours le 05/01/09 par Chiquitine29
      * Recherche effectuée à 15:56:17 le 10/01/2009
      * Windows XP - Internet Explorer 7.0.5730.11

      ((((((((((((((((( *** Recherche *** ))))))))))))))))))


      --------------- [ Processus actifs ] ----------------


      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\drivers\CDAC11BA.EXE
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\HPZipm12.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\RUNDLL32.EXE
      C:\Documents and Settings\Patrick\Application Data\drivers\winupgro.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Windows Media Player\WMPNSCFG.exe
      F:\Patrick\IE Privacy Keeper\IEPrivacyKeeper.exe
      C:\Program Files\PROMT5\INTEGRAL\pinmenu.exe

      --------------- [ Processus infectieux stoppés ] ----------------


      "C:\Documents and Settings\Patrick\Application Data\drivers\winupgro.exe" (1720)


      --------------- [ Fichiers/Dossiers infectieux ] ----------------


      »»»» Presence des fichiers dans C:

      Found ! [10/01/2009 12:02] - C:\InfoSat.txt

      »»»» Presence des fichiers dans C:\WINDOWS


      »»»» Presence des fichiers dans C:\WINDOWS\Prefetch

      Found ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-0F313833.pf
      Found ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-248C106D.pf

      »»»» Presence des fichiers dans C:\WINDOWS\system32


      »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers


      »»»» Presence des fichiers dans C:\Documents and Settings\Patrick\Application Data

      Found ! [10/01/2009 12:03] - "C:\Documents and Settings\Patrick\Application Data\drivers"
      Found ! [10/01/2009 14:50] - "C:\Documents and Settings\Patrick\Application Data\drivers\srosa.sys"
      Found ! [10/01/2009 14:49] - "C:\Documents and Settings\Patrick\Application Data\drivers\srosa2.sys"
      Found ! [01/08/2006 07:09] - "C:\Documents and Settings\Patrick\Application Data\drivers\winupgro.exe"
      Found ! [10/01/2009 12:01] - "C:\Documents and Settings\Patrick\Application Data\drivers\downld"

      »»»» Presence des fichiers dans C:\DOCUME~1\Patrick\LOCALS~1\Temp


      »»»» Presence des fichiers dans C:\Documents and Settings\Patrick\Local Settings\Temporary Internet Files\Content.IE5


      --------------- [ Registre / Startup ] ----------------

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
      ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
      WMPNSCFG=C:\Program Files\Windows Media Player\WMPNSCFG.exe
      swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      ProxyWay=F:\Patrick\PROXYWAY\proxyway.exe
      IE Privacy Keeper="F:\Patrick\IE Privacy Keeper\IEPrivacyKeeper.exe" -startup

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
      SunJavaUpdateSched="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
      QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
      PROMT Integrator="C:\Program Files\PROMT5\INTEGRAL\PinStart.exe" /autorun
      nwiz=nwiz.exe /install
      NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
      <NO NAME>=
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
      Installed=1
      <NO NAME>=
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
      Installed=1
      NoChange=1
      <NO NAME>=
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
      Installed=1
      <NO NAME>=

      [HKEY_CURRENT_USER\software\local appwizard-generated applications\DestComp]
      [HKEY_CURRENT_USER\software\local appwizard-generated applications\GoogleToolbarNotifier]
      [HKEY_CURRENT_USER\software\local appwizard-generated applications\hprbui]
      [HKEY_CURRENT_USER\software\local appwizard-generated applications\Installer]
      [HKEY_CURRENT_USER\software\local appwizard-generated applications\key_generator]
      [HKEY_CURRENT_USER\software\local appwizard-generated applications\LaunchKiosk]
      [HKEY_CURRENT_USER\software\local appwizard-generated applications\MMDiag]
      [HKEY_CURRENT_USER\software\local appwizard-generated applications\SnmpUtilG]
      [HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]

      --------------- [ Registre / Clés infectieuses ] ----------------


      Found ! - HKEY_USERS\S-1-5-21-1309858281-268993939-2409843489-1006\Software\Local AppWizard-Generated Applications\key_generator
      Found ! - HKEY_USERS\S-1-5-21-1309858281-268993939-2409843489-1006\Software\Local AppWizard-Generated Applications\winupgro
      Found ! - HKEY_USERS\S-1-5-21-1309858281-268993939-2409843489-1006\Software\bisoft
      Found ! - HKEY_USERS\S-1-5-21-1309858281-268993939-2409843489-1006\Software\Ubisoft
      Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\key_generator
      Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sK9Ou0s
      Found ! - HKEY_CURRENT_USER\Software\bisoft

      /!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
      /!\ Infection active : HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1

      --------------- [ Etat / Services ] ----------------

      Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

      /!\ Mode sans echec non fonctionnel !!

      Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

      /!\ Mode sans echec non fonctionnel !!

      Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

      /!\ Mode sans echec non fonctionnel !!



      +- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

      /!\ Ndisuio - Type de démarrage = 4

      EapHost - Type de démarrage = 3

      /!\ Ip6Fw - Type de démarrage = 4

      /!\ SharedAccess - Type de démarrage = 4

      /!\ wuauserv - Type de démarrage = 4

      /!\ wscsvc - Type de démarrage = 4

      --------------- [ Recherche dans supports amovibles] ----------------


      +- Informations :

      C: - Lecteur fixeD: - Lecteur fixeE: - Lecteur fixeF: - Lecteur fixeM: - Lecteur amovible
      +- presence des fichiers :



      --------------- [ Registre / Mountpoint2 ] ----------------


      -> Not found !


      ------------------- ! Fin du rapport ! --------------------
      0
  2. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Supprime le fichier qui a infecté le PC.

    --> Double-clique sur le raccourci FindyKill sur ton Bureau.

    --> Au menu principal, choisis l'option 2 (Suppression).

    /!\ Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\

    --> Ensuite, poste le rapport FindyKill.txt

    Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
    0
    1. Patrick
       
      Impossible lorsque je tente de passer à l'étape 2 le pc plante et m'inscrit en lettre blanche sur fond bleu : Le problème semble ëtre causé par le fichier suivant : srosa.sys DRIVER_UNLOAED_WHITOUT_CANCELLING_PENDING_OPERATIONS

      ???????
      0
  3. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    /!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

    --> Télécharge ComboFix (de sUBs) en prenant soin de le renommer en KillBagle avant de l'enregistrer sur ton Bureau.
    --> Double-clique sur KillBagle.exe (le .exe n'est pas forcément visible) afin de le lancer.
    --> Il va te demander d'installer la console de récupération : accepte.
    --> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
    0
    1. Patrick
       
      j'ai peut ëtre sauté une manip à l'étape 5 tu me dis de supprimer le fichier qui a infecté le pc avnt de passe à l'étape deux de findykill mais de quel fichier s'agit il ??
      0
  4. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    "j'ai peut ëtre sauté une manip à l'étape 5 tu me dis de supprimer le fichier qui a infecté le pc avnt de passe à l'étape deux de findykill mais de quel fichier s'agit il ??"

    ---> Le fichier que ta fille a lancé pour avoir cette infection Bagle.
    0
    1. Patrick
       
      Lorsque je tente de supprimer le fichier voila ce qu'il me dit Impossible de supprimer winupgro/accès refusé pfff galère merci pour ta patience
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Ta fille n'a pas téléchargé winupgro directement.

    Passe à ComboFix.
    0
    1. Patrick
       
      Impossible de lancer combofix.ex et lorsque je ferme le disque amovible en l'occurence la clé usb sur laquelle se trouve combofix mes icones disparraisent toutes et je suis obligé de rebooté le pc fictre le problème est sérieux
      0
  7. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    KillBagle.exe doit se trouver sur le Bureau et non sur la clé USB.
    0
  8. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Tu as réussi ?
    0
    1. patrick
       
      Hélas non je crois avoir pourtant tout essayé reste le spécialiste" néanmoins merci pour ton aide
      0
  9. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Tu as mis KillBagle sur le Bureau avant de le lancer ?
    0
  10. patrick
     
    Tout à fait mais impossible de passer à la phase 2 comme il refuse obstinément de lancer Combofix même en le renomant en Combo-fix comme suggéré sur certains sites
    0
  11. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    As-tu réessayé l'option 2 de FindyKill ?
    0