Sujet Précédent Sujet Suivant

Winupgro

Fermé
Patrick - 10 janv. 2009 à 15:23
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 12 janv. 2009 à 15:47
Bonjour,

Ma fille a récupérée ou? une cochonnerie nommée winupgro impossible d'acceder à internet ccleaner et spybot ne sont plus opérationnels impossible de lancer hijackthis et mon antivirus ne marche plus non plus en téléchargeant combofix sur une cle usb impossible (toutes les icones disparaissent et reste seul le fond d'écran)de le lancer sur le pc contaminé et un démarrage en mode sans echec n'est pa non plus possible une restauration du systeme à une date ultérieure est également impossible . Que faire ??

le pc concerné fonctionne sous windows xp et internet explorer 7

Merci de votre aide par avance

10 réponses

Réponse 1 / 10
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 291
10 janv. 2009 à 15:47
Salut,

--> Télécharge FindyKill (par Chiquitine29) sur ton Bureau.

--> Lance l'installation avec les paramètres par défaut.

--> Double-clique sur le raccourci FindyKill sur ton Bureau.

--> Au menu principal, choisis l'option 1 (Recherche).

--> Poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
1
Patrick
10 janv. 2009 à 16:51
Merci pour la promptitude


----------------- FindyKill V4.711 ------------------

* User : Patrick - NOM-F0C838AA0D5
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 05/01/09 par Chiquitine29
* Recherche effectuée à 15:56:17 le 10/01/2009
* Windows XP - Internet Explorer 7.0.5730.11

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Documents and Settings\Patrick\Application Data\drivers\winupgro.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
F:\Patrick\IE Privacy Keeper\IEPrivacyKeeper.exe
C:\Program Files\PROMT5\INTEGRAL\pinmenu.exe

--------------- [ Processus infectieux stoppés ] ----------------


"C:\Documents and Settings\Patrick\Application Data\drivers\winupgro.exe" (1720)


--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Presence des fichiers dans C:

Found ! [10/01/2009 12:02] - C:\InfoSat.txt

»»»» Presence des fichiers dans C:\WINDOWS


»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Found ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-0F313833.pf
Found ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-248C106D.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32


»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers


»»»» Presence des fichiers dans C:\Documents and Settings\Patrick\Application Data

Found ! [10/01/2009 12:03] - "C:\Documents and Settings\Patrick\Application Data\drivers"
Found ! [10/01/2009 14:50] - "C:\Documents and Settings\Patrick\Application Data\drivers\srosa.sys"
Found ! [10/01/2009 14:49] - "C:\Documents and Settings\Patrick\Application Data\drivers\srosa2.sys"
Found ! [01/08/2006 07:09] - "C:\Documents and Settings\Patrick\Application Data\drivers\winupgro.exe"
Found ! [10/01/2009 12:01] - "C:\Documents and Settings\Patrick\Application Data\drivers\downld"

»»»» Presence des fichiers dans C:\DOCUME~1\Patrick\LOCALS~1\Temp


»»»» Presence des fichiers dans C:\Documents and Settings\Patrick\Local Settings\Temporary Internet Files\Content.IE5


--------------- [ Registre / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
WMPNSCFG=C:\Program Files\Windows Media Player\WMPNSCFG.exe
swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
ProxyWay=F:\Patrick\PROXYWAY\proxyway.exe
IE Privacy Keeper="F:\Patrick\IE Privacy Keeper\IEPrivacyKeeper.exe" -startup

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
SunJavaUpdateSched="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
PROMT Integrator="C:\Program Files\PROMT5\INTEGRAL\PinStart.exe" /autorun
nwiz=nwiz.exe /install
NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

[HKEY_CURRENT_USER\software\local appwizard-generated applications\DestComp]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\GoogleToolbarNotifier]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\hprbui]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\Installer]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\key_generator]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\LaunchKiosk]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\MMDiag]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\SnmpUtilG]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]

--------------- [ Registre / Clés infectieuses ] ----------------


Found ! - HKEY_USERS\S-1-5-21-1309858281-268993939-2409843489-1006\Software\Local AppWizard-Generated Applications\key_generator
Found ! - HKEY_USERS\S-1-5-21-1309858281-268993939-2409843489-1006\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-1309858281-268993939-2409843489-1006\Software\bisoft
Found ! - HKEY_USERS\S-1-5-21-1309858281-268993939-2409843489-1006\Software\Ubisoft
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\key_generator
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sK9Ou0s
Found ! - HKEY_CURRENT_USER\Software\bisoft

/!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
/!\ Infection active : HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1

--------------- [ Etat / Services ] ----------------

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

/!\ Mode sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

/!\ Mode sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

/!\ Mode sans echec non fonctionnel !!



+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

EapHost - Type de démarrage = 3

/!\ Ip6Fw - Type de démarrage = 4

/!\ SharedAccess - Type de démarrage = 4

/!\ wuauserv - Type de démarrage = 4

/!\ wscsvc - Type de démarrage = 4

--------------- [ Recherche dans supports amovibles] ----------------


+- Informations :

C: - Lecteur fixeD: - Lecteur fixeE: - Lecteur fixeF: - Lecteur fixeM: - Lecteur amovible
+- presence des fichiers :



--------------- [ Registre / Mountpoint2 ] ----------------


-> Not found !


------------------- ! Fin du rapport ! --------------------
0
Réponse 2 / 10
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 291
10 janv. 2009 à 16:54
--> Supprime le fichier qui a infecté le PC.

--> Double-clique sur le raccourci FindyKill sur ton Bureau.

--> Au menu principal, choisis l'option 2 (Suppression).

/!\ Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\

--> Ensuite, poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
0
Patrick
10 janv. 2009 à 17:02
Impossible lorsque je tente de passer à l'étape 2 le pc plante et m'inscrit en lettre blanche sur fond bleu : Le problème semble ëtre causé par le fichier suivant : srosa.sys DRIVER_UNLOAED_WHITOUT_CANCELLING_PENDING_OPERATIONS

???????
0
Réponse 3 / 10
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 291
10 janv. 2009 à 17:10
/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) en prenant soin de le renommer en KillBagle avant de l'enregistrer sur ton Bureau.
--> Double-clique sur KillBagle.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
0
Patrick
10 janv. 2009 à 17:17
j'ai peut ëtre sauté une manip à l'étape 5 tu me dis de supprimer le fichier qui a infecté le pc avnt de passe à l'étape deux de findykill mais de quel fichier s'agit il ??
0
Réponse 4 / 10
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 291
10 janv. 2009 à 17:18
"j'ai peut ëtre sauté une manip à l'étape 5 tu me dis de supprimer le fichier qui a infecté le pc avnt de passe à l'étape deux de findykill mais de quel fichier s'agit il ??"

---> Le fichier que ta fille a lancé pour avoir cette infection Bagle.
0
Patrick
10 janv. 2009 à 17:31
Lorsque je tente de supprimer le fichier voila ce qu'il me dit Impossible de supprimer winupgro/accès refusé pfff galère merci pour ta patience
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 291
10 janv. 2009 à 17:34
Ta fille n'a pas téléchargé winupgro directement.

Passe à ComboFix.
0
Patrick
10 janv. 2009 à 17:42
Impossible de lancer combofix.ex et lorsque je ferme le disque amovible en l'occurence la clé usb sur laquelle se trouve combofix mes icones disparraisent toutes et je suis obligé de rebooté le pc fictre le problème est sérieux
0
Réponse 6 / 10
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 291
10 janv. 2009 à 17:52
KillBagle.exe doit se trouver sur le Bureau et non sur la clé USB.
0
Réponse 7 / 10
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 291
11 janv. 2009 à 19:15
Tu as réussi ?
0
patrick
11 janv. 2009 à 20:06
Hélas non je crois avoir pourtant tout essayé reste le spécialiste" néanmoins merci pour ton aide
0
Réponse 8 / 10
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 291
11 janv. 2009 à 20:10
Tu as mis KillBagle sur le Bureau avant de le lancer ?
0
Réponse 9 / 10
patrick
11 janv. 2009 à 20:14
Tout à fait mais impossible de passer à la phase 2 comme il refuse obstinément de lancer Combofix même en le renomant en Combo-fix comme suggéré sur certains sites
0
Réponse 10 / 10
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 291
12 janv. 2009 à 15:47
As-tu réessayé l'option 2 de FindyKill ?
0