winupgro.exe se place à l'ouverture d'un logiciel

[Norimael]

Bonjour,

 

Je ne sais pas si je suis dans la bonne section car je ne suis pas (pas encore ?) infectée.

 

J'ai installé, y'a longtemps, NewPCStudio, le programme pour la synchro de mon téléphone Samsung avec le PC.

J'ai utilisé le logiciel fourni sur le CD du téléphone.

 

Dès que l'install a été fini et que j'ai voulu ouvrir NPCS, j'ai eu la demande pour l'exécution du winupgro.exe.

 

Heureusement, ayant déjà eu affaire à ce sale bagle, me suis pas faite avoir, j'ai dit non.

 

Ensuite j'ai regardé de plus près. Le winupgro.exe s'est placé dans un dossier caché dans ApplData/Drivers.

 

Ce dossier caché Drivers contient le winupgro.exe et un autre dossier "downld" qui est vide.

 

Je peux facilement supprimer le tout. Mais dès que je lance NPCS, le dossier Drivers réapparait et winupgro.exe essaye de s'installer.

 

La semaine dernière, j'ai installé la dernière version de NPCS, téléchargée depuis le site de Samsung, en suivant une procédure rigoureuse de désintallation de l'ancienne version avec nettoyage de base de registre et tout et tout.

 

J'installe la dernière version, je l'ouvre, paf ! le Bagle qui essaye de s'installer !

 

 

Alors là je comprends pas.

C'est pas un téléchargement de crack sur un site malveillant, c'est un logiciel officiel.

 

le Bagle ne s'installe pas, il me propose juste de s'installer, il est gentil avec moi !

 

Mais pourquoi ça revient sans cesse ?

 

Merci pour l'aide que vous pourrez me fournir.

Modifié le 2 décembre 2009 par Norimael

[Mark]

Bonsoir Norimael

 

J'ai très peu de temps, malheureusement, mais je vais tout de même jeter un oeil rapide ;

 

Bagle est très complexe. Possible que tu aies un réinfecteur sur la machine depuis un bout et que ce dernier soit lié à ton logiciel Samsung (pas la faute du logiciel, mais bien de Bagle).

 

Bagle n'est pas actif sur ta machine effectivement car s'il l'était, tu n'aurais pas pu venir poster ici ; Bagle bloque l'accès à ce forum.

 

Un outil à passer tout de suite : Malwarebytes' Anti-Malware. Télécharge-le du lien suivant :

http://download.cnet.com/Malwarebytes-Anti...&tag=button

 

Installe-le puis lance une analyse rapide. Copie/colle le contenu du rapport généré ici, dans ta réponse.

 

@+

[Norimael]

Bonsoir, et merci de prendre mon cas en charge

 

J'avais pourtant eu un beau nettoyage la dernière fois, et là je savais que j'avais fait "une bêtise". J'étais bien infectée : ICI

 

Voici le rapport :

 

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 2988

Windows 5.1.2600 Service Pack 2

 

02/12/2009 20:57:58

mbam-log-2009-12-02 (20-57-35).txt

 

Type de recherche: Examen rapide

Eléments examinés: 104974

Temps écoulé: 5 minute(s), 2 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 3

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Rogue.Installer) -> No action taken.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

 

Dossier(s) infecté(s):

C:\Documents and Settings\Flo\Application Data\drivers\downld (Worm.Bagle) -> No action taken.

 

Fichier(s) infecté(s):

C:\Documents and Settings\Flo\Application Data\drivers\winupgro.exe (Trojan.Agent) -> No action taken.

C:\Program Files\setup.exe (Rogue.Installer) -> No action taken.

[Mark]

Je poste ceci et je dois quitter...

 

Merci pour le rapport

 

J'avais oublié de te spécifier de permettre à Malwarebytes' Anti-Malware de nettoyer tout ce qu'il trouve. Alors si tu ne l'as pas fait, relance une analyse rapide et ensuite permet le nettoyage des éléments trouvés.

Un nouveau rapport sera généré : copie/colle son contenu ici, dans ta réponse.

 

Je repasse dans quelques heures..

 

@+

[Norimael]

Je n'avais pas fermé Malwarbytes

 

Voici le rapport final :

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 2988

Windows 5.1.2600 Service Pack 2

 

02/12/2009 21:08:46

mbam-log-2009-12-02 (21-08-46).txt

 

Type de recherche: Examen rapide

Eléments examinés: 104974

Temps écoulé: 5 minute(s), 2 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 3

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

C:\Documents and Settings\Flo\Application Data\drivers\downld (Worm.Bagle) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\Documents and Settings\Flo\Application Data\drivers\winupgro.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Program Files\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.

 

Maintenant je dois laisser mon PC se redémarrer pour terminer la procédure...

 

A plus tard alors ou à demain pour la suite, merci et bonne soirée

 

[EDIT] J'ai relancé le logiciel Samsung et tout est revenu (du moins le dossier "drivers" avec winupgro.exe et le dossier "downl").

Je n'ai pas relancé Malwarebytes pour voir si le reste aussi.

Modifié le 2 décembre 2009 par Norimael

[Mark]

Wow. Du jamais vu pour moi. Il semble vraiment y avoir un lien avec ce logiciel Samsung, mais j'ai toujours un petit doute. On va regarder ça de plus près...

Je vais te demander de m'expédier une copie de ce truc (Samsung) et je vais tester ici.

Le logiciel est sur un CD alors il faudra bidouiller un brin

 

- Place le CD du logiciel dans le lecteur : s'il veut s'exécuter automatiquement, clique "Annuler".

- Ouvre le Poste de Travail, puis fais un clic droit sur le lecteur CD et choisis "Explorer" ;

- Une fenêtre s'ouvrira avec le contenu du CD (les fichiers) ;

- Repère le fichier d'installation du logiciel (quelque chose comme "Install.exe" ou "Setup.exe") ;

- Fais un "Copier/Coller" de ce fichier vers ton Bureau.

 

Fais maintenant un clic droit sur le fichier en question, qui est sur le Bureau, et choisis : "Envoyer vers" > "Dossier compressé"

Un nouveau fichier .zip sera créé au même endroit où se trouve le fichier, avec le même nom et extension ".zip"

 

Va maintenant sur le site de Senduit (hébergeur de fichiers gratuit) >>

http://www.senduit.com/

 

- Clique sur "Parcourir...", puis navigue vers le fichier (.zip) puis double-clique dessus pour le sélectionner ;

- Avant de cliquer sur "Upload", modifie l'option "Expire in:" à "3 days"

- Clique maintenant sur "Upload" et patiente ;

- Lorsque l'upload sera complété, une adresse (URL) apparaîtra (en bleue) ;

- Copie/colle cette adresse dans un fichier du Bloc notes pour la conserver.

- Ensuite, envoie-moi un message perso (via mon profil) et refile-moi ce lien s'il te plaît. On ne le met pas en public simplement parce qu'il s'agit (probablement) d'une bestiole.

 

=============

 

Tu peux déjà repasser Malwarebytes' (MBAM).

 

Question : utilises-tu toujours ClamWin ? Si oui, il faut le virer. Mets AntiVir à la place et fais un scan complet (après MBAM). Ne t'en fais pas pour AntiVir, les problèmes de mises à jour que tu as eus en Octobre sont maintenant derrière nous.

 

@bientôt,

[Norimael]

Bonjour

 

Voilà, MP envoyé.

 

Je vais reessayer pour antivir

 

[Edit] Voilà, Malwarebytes repassé et Antivir installé et actif

Modifié le 3 décembre 2009 par Norimael

[Norimael]

J'ai lancé le logiciel Samsung en étant sous Antivir et j'ai eu cette alerte :

 

Dans le fichier 'C:\Program Files\Microsoft ActiveSync\wcescomm.exe'

un virus ou un programme indésirable 'TR/Dldr.Bagle.bho' [trojan] a été détecté.

Action exécutée : Déplacer le fichier en quarantaine

 

J'ai donc mis en quarantaine (je ne sais pas s'il faut faire ça ou supprimer ou refuser l'accès ?) et du coup le dossier drivers ne s'est pas installé et il n'y a donc pas eu la demande d'exécution du winupgro.exe, c'est déjà une bonne chose

 

En ouvrant juste mon dossier "Logiciels" dans lequel je stocke les logiciels que je télécharge, j'ai eu les évènements suivants :

 

- Celui là, je sais pas pourquoi ? J'ai mis "refuser l'accès"

Dans le fichier 'D:\Disque Dur Flo\Logiciels\DivXPro511Adware.exe'

un virus ou un programme indésirable 'DR/Gator.3202' [dropper] a été détecté.

Action exécutée : Refuser l'accès

 

- Celui là, c'est un vieux "fond d'écran" que je n'utilise jamais, j'ai mis "supprimé"

Dans le fichier 'D:\Disque Dur Flo\Logiciels\24-fr.exe'

un virus ou un programme indésirable 'TR/Agent.1348229' [trojan] a été détecté.

Action exécutée : Supprimer le fichier

 

- Celui là je ne sais pas ce que c'est, j'ai mis "refuser l'accès"

Dans le fichier 'D:\Disque Dur Flo\Logiciels\TubeMaster.exe'

un virus ou un programme indésirable 'DR/Hupigon.frdu' [dropper] a été détecté.

Action exécutée : Refuser l'accès

Modifié le 3 décembre 2009 par Norimael

[Mark]

Bonjour Norimael

 

Excellent boulot !

 

Merci pour le logiciel Samsung, qui est clean. J'ai cru un moment que ça pouvait être lui, mais ce n'était pas du tout logique. Un logiciel officiel, d'une grande marque, ne peut pas être vecteur d'infection ; surtout pas pour une bestiole de ce genre... J'avais supposé que tu avais peut-être gravé le truc toi-même sur CD et que Bagle l'avait injecté au passage, etc... Non-non, ce n'est pas lui. J'avais aussi regardé ton sujet d'Octobre, en espérant y voir le réinfecteur ; je ne l'ai pas vu, hier, mais là je le vois (d'Octobre) :

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]

C:\Program Files\Microsoft ActiveSync\wcescomm.exe [2009-10-18 901120]

 

La taille du fichier ne ment pas, c'est Bagle, qui a remplacé le fichier de synchro de Windows par son infecteur principal (winupgro.exe)

Je ne l'ai pas repéré avant maintenant car tu l'avais désactivé via msconfig après avoir été infectée, donc il a échappé à tout le monde, même aux outils... Comme tu n'avais pas réussi à mettre AntiVir à jour en Octobre, le réinfecteur est resté sur ta machine tout ce temps-là, pour ensuite être réactivé lors du lancement du soft de synchro, à l'installation du logiciel Samsung.

 

Intéressant, non ?

========================

 

Oké, avant de lancer une analyse complète avec AntiVir, je vais te demander de passer un autre outil, juste au cas où tu aurais des fichiers .zip infectés par Bagle. À noter : tu pourras laisser AntiVir mettre tout ce qu'il trouve en quarantaine, y compris ce TubeMaster.exe

Mais pas tout de suite ; ceci d'abord :

 

* Désactive le bouclier d'AntiVir temporairement, sinon il pourrait te bouffer des fichiers .zip si l'outil ci-bas en repère. Pour désactiver : clic droit sur le parapluie, près de l'horloge, et clique une fois sur "Activer AntiVir Guard". Ceci décochera la ligne = bouclier inactif et le parapluie se refermera.

 

Télécharge Zip_Scan (par Eric_71) du lien suivant et sauvegarde-le sur ton Bureau :

http://eric71.geekstogo.com/beta/ZSc.exe

• Lance l'outil ZSc.exe par double-clic et accepte son exécution.
  
• Clique maintenant sur le bouton "Scan", au bas à gauche.
  
• Zip_Scan va maintenant rechercher les fichiers .zip infectés, spécifiques à cette infection;
  
• Lorsque l'analyse sera complétée, un rapport apparaîtra à l'écran; ce rapport est également sauvegardé sur ton Bureau (scan.txt)
  
• Copie/colle le contenu intégral de ce rapport ici, dans ta réponse.
  
• Tu dois maintenant fermer l'outil en cliquant sur le bouton "Exit", au bas à droite.
  
• Ne clique surtout pas sur "Disinfect" avant d'en être avisé, au cas où un faux positif serait détecté lors de l'analyse.
  

 

* Réactive le bouclier d'AntiVir : même méthode que pour sa désactivation et le parapluie va s'ouvrir.

 

Si Zip_Scan trouve quelque chose, poste son rapport ici s'il te plaît, et je te donnerai la suite des manipulations. S'il ne trouve rien, lance une analyse complète avec AntiVir tout de suite, puis poste son rapport dans ta réponse.

 

Edit : j'allais oublié... un petit détail. La synchro ne fonctionnera plus, car Bagle a détruit wcescomm.exe

Il faudra te trouver une copie de ce fichier, pour remplacer. On s'en reparle...

 

@toute

 

Mark

Modifié le 3 décembre 2009 par Mark

[Norimael]

M'arrive de ces trucs moi !

 

On me dit souvent que je devrais être bêta-testeuse car tout ce qui n'arrive jamais, à moi, ça m'arrive

 

ZScan n'a rien trouvé, je lance une analyse d'Antivir