Winupgro
Fermé
Patrick
-
10 janv. 2009 à 15:23
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 12 janv. 2009 à 15:47
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 12 janv. 2009 à 15:47
10 réponses
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 291
10 janv. 2009 à 15:47
10 janv. 2009 à 15:47
Salut,
--> Télécharge FindyKill (par Chiquitine29) sur ton Bureau.
--> Lance l'installation avec les paramètres par défaut.
--> Double-clique sur le raccourci FindyKill sur ton Bureau.
--> Au menu principal, choisis l'option 1 (Recherche).
--> Poste le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
--> Télécharge FindyKill (par Chiquitine29) sur ton Bureau.
--> Lance l'installation avec les paramètres par défaut.
--> Double-clique sur le raccourci FindyKill sur ton Bureau.
--> Au menu principal, choisis l'option 1 (Recherche).
--> Poste le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 291
10 janv. 2009 à 16:54
10 janv. 2009 à 16:54
--> Supprime le fichier qui a infecté le PC.
--> Double-clique sur le raccourci FindyKill sur ton Bureau.
--> Au menu principal, choisis l'option 2 (Suppression).
/!\ Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\
--> Ensuite, poste le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
--> Double-clique sur le raccourci FindyKill sur ton Bureau.
--> Au menu principal, choisis l'option 2 (Suppression).
/!\ Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\
--> Ensuite, poste le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 291
10 janv. 2009 à 17:10
10 janv. 2009 à 17:10
/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\
--> Télécharge ComboFix (de sUBs) en prenant soin de le renommer en KillBagle avant de l'enregistrer sur ton Bureau.
--> Double-clique sur KillBagle.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
--> Télécharge ComboFix (de sUBs) en prenant soin de le renommer en KillBagle avant de l'enregistrer sur ton Bureau.
--> Double-clique sur KillBagle.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 291
10 janv. 2009 à 17:18
10 janv. 2009 à 17:18
"j'ai peut ëtre sauté une manip à l'étape 5 tu me dis de supprimer le fichier qui a infecté le pc avnt de passe à l'étape deux de findykill mais de quel fichier s'agit il ??"
---> Le fichier que ta fille a lancé pour avoir cette infection Bagle.
---> Le fichier que ta fille a lancé pour avoir cette infection Bagle.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 291
10 janv. 2009 à 17:34
10 janv. 2009 à 17:34
Ta fille n'a pas téléchargé winupgro directement.
Passe à ComboFix.
Passe à ComboFix.
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 291
10 janv. 2009 à 17:52
10 janv. 2009 à 17:52
KillBagle.exe doit se trouver sur le Bureau et non sur la clé USB.
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 291
11 janv. 2009 à 19:15
11 janv. 2009 à 19:15
Tu as réussi ?
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 291
11 janv. 2009 à 20:10
11 janv. 2009 à 20:10
Tu as mis KillBagle sur le Bureau avant de le lancer ?
Tout à fait mais impossible de passer à la phase 2 comme il refuse obstinément de lancer Combofix même en le renomant en Combo-fix comme suggéré sur certains sites
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 291
12 janv. 2009 à 15:47
12 janv. 2009 à 15:47
As-tu réessayé l'option 2 de FindyKill ?
10 janv. 2009 à 16:51
----------------- FindyKill V4.711 ------------------
* User : Patrick - NOM-F0C838AA0D5
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 05/01/09 par Chiquitine29
* Recherche effectuée à 15:56:17 le 10/01/2009
* Windows XP - Internet Explorer 7.0.5730.11
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Documents and Settings\Patrick\Application Data\drivers\winupgro.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
F:\Patrick\IE Privacy Keeper\IEPrivacyKeeper.exe
C:\Program Files\PROMT5\INTEGRAL\pinmenu.exe
--------------- [ Processus infectieux stoppés ] ----------------
"C:\Documents and Settings\Patrick\Application Data\drivers\winupgro.exe" (1720)
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
Found ! [10/01/2009 12:02] - C:\InfoSat.txt
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
Found ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-0F313833.pf
Found ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-248C106D.pf
»»»» Presence des fichiers dans C:\WINDOWS\system32
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
»»»» Presence des fichiers dans C:\Documents and Settings\Patrick\Application Data
Found ! [10/01/2009 12:03] - "C:\Documents and Settings\Patrick\Application Data\drivers"
Found ! [10/01/2009 14:50] - "C:\Documents and Settings\Patrick\Application Data\drivers\srosa.sys"
Found ! [10/01/2009 14:49] - "C:\Documents and Settings\Patrick\Application Data\drivers\srosa2.sys"
Found ! [01/08/2006 07:09] - "C:\Documents and Settings\Patrick\Application Data\drivers\winupgro.exe"
Found ! [10/01/2009 12:01] - "C:\Documents and Settings\Patrick\Application Data\drivers\downld"
»»»» Presence des fichiers dans C:\DOCUME~1\Patrick\LOCALS~1\Temp
»»»» Presence des fichiers dans C:\Documents and Settings\Patrick\Local Settings\Temporary Internet Files\Content.IE5
--------------- [ Registre / Startup ] ----------------
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
WMPNSCFG=C:\Program Files\Windows Media Player\WMPNSCFG.exe
swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
ProxyWay=F:\Patrick\PROXYWAY\proxyway.exe
IE Privacy Keeper="F:\Patrick\IE Privacy Keeper\IEPrivacyKeeper.exe" -startup
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
SunJavaUpdateSched="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
PROMT Integrator="C:\Program Files\PROMT5\INTEGRAL\PinStart.exe" /autorun
nwiz=nwiz.exe /install
NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=
[HKEY_CURRENT_USER\software\local appwizard-generated applications\DestComp]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\GoogleToolbarNotifier]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\hprbui]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\Installer]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\key_generator]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\LaunchKiosk]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\MMDiag]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\SnmpUtilG]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]
--------------- [ Registre / Clés infectieuses ] ----------------
Found ! - HKEY_USERS\S-1-5-21-1309858281-268993939-2409843489-1006\Software\Local AppWizard-Generated Applications\key_generator
Found ! - HKEY_USERS\S-1-5-21-1309858281-268993939-2409843489-1006\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-1309858281-268993939-2409843489-1006\Software\bisoft
Found ! - HKEY_USERS\S-1-5-21-1309858281-268993939-2409843489-1006\Software\Ubisoft
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\key_generator
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sK9Ou0s
Found ! - HKEY_CURRENT_USER\Software\bisoft
/!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
/!\ Infection active : HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1
--------------- [ Etat / Services ] ----------------
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
/!\ Mode sans echec non fonctionnel !!
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
/!\ Mode sans echec non fonctionnel !!
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
/!\ Mode sans echec non fonctionnel !!
+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]
/!\ Ndisuio - Type de démarrage = 4
EapHost - Type de démarrage = 3
/!\ Ip6Fw - Type de démarrage = 4
/!\ SharedAccess - Type de démarrage = 4
/!\ wuauserv - Type de démarrage = 4
/!\ wscsvc - Type de démarrage = 4
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Lecteur fixeD: - Lecteur fixeE: - Lecteur fixeF: - Lecteur fixeM: - Lecteur amovible
+- presence des fichiers :
--------------- [ Registre / Mountpoint2 ] ----------------
-> Not found !
------------------- ! Fin du rapport ! --------------------