winupgro.exe se place à l'ouverture d'un logiciel

[Norimael]

Ah ben la suppression va être rapide, je ne les ai pas ces dll...

[Mark]

Je te vois au bas...

 

Autre chose à tenter, si ça ne marche toujours pas (ActiveSync) :

 

>> Débranche tout ce qui est en USB et retente l'installation d'ActiveSync. Très important si tu as des trucs du genre modem USB ou dispositif BlueTooth, par exemple. Tout ce qui est branché, qui utilise un protocol réseau, bloquera toute tentative d'installation ou désintallation d'ActiveSync...

 

À suivre.

[Norimael]

Les .dll sont dans le dossier Samsung... je les supprime ?

 

Je te vois aussi

[Mark]

J'ai dû quitter quelques instants et devrai quitter pour quelques heures là.

 

Non, ne supprime rien du dossier Samsung... je me demande même si ce logiciel n'installerait pas ActiveSync lui-même (possible).

 

Essaie ceci : désinstalle le logiciel Samsung, puis ré-installe-le. Assure-toi qu'il n'y a rien de branché aux ports USB, sauf si le programme d'installation te demande de connecter quelque chose, bien sûr.

 

Je repasse en fin de soirée pour la suite (ton gestionnaire Wi-Fi dans la mire).

 

@+

[Norimael]

En fait Activsync me servait pour la synchro de mon PDA avec le PC et la synchro de mon smartphone avec le PC.

 

Maintenant j'ai un Samsung Jet (qui n'est ni un smartphone ni un PDA) et qui utilise donc ce NewPCStudio pour la synchronisation, sauvegarde répertoire etc.

 

Les deux permettent une synchro avec Outlook, mais pour NPCS, je ne l'utilise pas, mais je l'ai utilisé la première fois.

 

ActiveSync est donc normalement très différent du logiciel Samsung.

 

Vu que je ne synchronise plus ni mon Smartphone ni mon PDA, je n'utilise plus ActiveSync donc...

De toutes façons y'a toujours eu des problèmes avec ActiveSync.

 

Je vais désinstaller NPCS et le remettre alors

 

Ah oui sinon, ça n'a peut-être rien à voir, mais il y a une semaine/10 jours, j'ai du redémarrer mon PC (je l'éteins rarement en fait) pour je ne sais plus quelle raison... La suppression complète de l'ancienne version de NPCS je crois bien, avec un nettoyage du registre avec Glary Utilities.

 

Et mon PC n'a jamais voulu redémarrer, il me manquait le fichier Hal.dll

 

Heureusement, j'ai trouvé un tuto , ICI, qui m'a permis de retrouver mon PC.

 

Donc un rapport ou pas avec tout ça ?...

Modifié le 3 décembre 2009 par Norimael

[Mark]

Ah là je vois, pour le Samsung.

 

Non, ne le désinstalle pas... surtout s'il fonctionne bien.

 

Là je dois filer >>>>>>>>>>

[Norimael]

Ah ben trop tard, je l'ai désinstallé

 

Pas grave, je vais le remettre...

 

Par contre j'ai fait une recherche de MicrosoftActiveSync 4.0.msi et je l'ai trouvé, non pas là : C:/Windows/Installer/Microsoft Activesync 4.0.msi, mais là C:/Windows/Downloaded Installer/"plein de lettres"/Microsoft Activesync 4.0.msi

 

J'ai donc supprimé ce dossier et, sans trop y croire, relancé l'installation d'ActiveSync 4.5.

 

Eh bien... j'avais raison de ne pas y croire !

 

Message d'erreur : Erreur au niveau du réseau lors de la tentative de lecture du fichier C:/Windows/Installer/Microsoft Activesync 4.0.msi

 

Microsoft Activesync 4.0.msi n'existe pourtant plus nulle part (enfin ça ça voudrait dire qu'il existe ), n'existe plus donc, sur mon PC

 

Bon...

 

Peut-être faut-il installer la version 4 avant la version 4.5 ???

 

[Edit] J'ai lancé l'installation d'activeSync 4.2 et ça a fonctionné.

 

Pourquoi on a fait tout ça déjà ?

 

Ah oui, pour récupérer le wcescomm.exe.

 

Mais comment savoir qu'il ne va pas reêtre infecté vu tout ce qu'a trouvé Antivir et que je n'ai pas laissé corriger ?

 

... Bon ben non, Antivir dit que le wcescomm.exe est ok. Bon ben je reste à la version 4.2, vu que je l'utilise pas pour l'instant...

 

J'attends donc les prochaines instructions pour tout ce qu'avait trouvé AntiVir et l'histoire de mon EOUWiz.exe.

 

D'ailleurs, pour retracer l'historique, EOUWiz.exe faisait partie du menu démarrage.

Et un jour, à l'allumage de mon PC, j'ai eu la demande pour exécuter EOUWiz.exe. Comme je savais que c'était mon Wifi, j'ai accepté. Je crois que j'avais eu en même temps la demande pour winupgro.exe mais là j'avais refusé.

 

Suite à l'acceptation pour EOUWiz, j'ai perdu ma connexion. Et l'icône de mon gestionnaire de Wifi dans le systray m'a alors annoncé qu'un autre utilitaire gérait mon wifi et "qu'il ne pouvait rien pour moi" !

 

Je suis alors allée dans msconfig, j'ai décoché EOUWiz.exe au démarrage, j'ai redémarré mon PC et j'ai re-eu l'accès au net géré par le logiciel d'Acer, EOUWiz

 

Comme je suis habituée à ce qu'il m'arrive des trucs qui n'arrivent jamais aux autres et que tout fonctionnait bien à nouveau, j'ai cessé de chercher à comprendre

 

Et donc là, j'ai le wifi, mais plus mon icône... et je me dis que comme winupgro.exe est plus là, ben EOUWiz.exe est "redevenu" ok et qu'il faut donc bien qu'il soit réactivé dans msconfig pour que je vois l'icône dans le systray ?

Je vais essayer pour voir si j'ai bon

 

Je reviens

 

[Edit..]

 

Ah ben voilà.

J'ai testé EOUWiz via Antivir qui m'a encore dit qu'il contenait Bagle. J'ai donc mis en quarantaine.

Puis j'ai lancé "réparer" depuis le driver Acer de mon WLAN et j'ai bien récupéré le bon EOUWiz et mes icônes et ma connexion. Yeepee !

 

Bon ben pour le reste je t'attends, ne sachant pas ce que je dois dire à Antivir pour les quelques 32 autres endroits où il a trouvé des traces du Bagle :s

Modifié le 3 décembre 2009 par Norimael

[Norimael]

Ah et autre chose... En rapport ou pas ?

 

Quand je démarre le PC, ou parfois quand j'ouvre le poste de travail, le PC se met à 100% de CPU, la "torche" cherche, cherche... et c'est toujours rundll32.exe qui prend tout et il me suffit de le "killer" dans le gestionnaire de périph pour que le PC se calme et que tout redevienne normal.

 

Le comble je trouve pour un rundll32 qui est censé permettre au PC d'aller plus vite non ?

 

J'ai trouvé hier l'utilité de Process Explorer que j'ai maintenant mis en remplaçant du gestionnaire de périph.

 

J'ai lu qu'on pouvait du coup avoir des infos sur l'usage d'un processus.

 

Et donc, quand le rundll32.exe s'est lancé à nouveau, je suis allée voir dessus en faisant "Properties" et "Threads"

 

Et ça donne ça :

 

TID 1252

CSwitchDelta 100

Start Adress voice pad32.dll + Ox1b80

 

et

 

TID 1248

CSwitchDelta

Start Adress rundll32.exe + Ox1bdc

 

 

Un truc qui devrait pas être ?

Modifié le 3 décembre 2009 par Norimael

[Mark]

Dis donc, tu ne chômes pas, toi ?

 

Héhé. Bien joué pour ActiveSynch, même si tu ne l'utilises plus. Je garde l'astuce au chaud, si jamais.

 

Pour répondre à tes questions, enfin j'espère pouvoir le faire. Dans le désordre le plus complet :

 

Cette histoire de Hal.dll manquant suite à la désinstallation du logiciel, suivie d'un "nettoyage" par Glary Utilities... Je ne le dirai jamais assez souvent :

les nettoyeurs de registre sont dangereux.

À moins d'avis contraire (pas d'anecdotes, please..), c'est Glary qui t'a planté ta machine. Heureusement que tu as trouvé ce tuto, pour bootcfg via la Console, sinon c'était le formatage avec perte de tout-tout. Je ne pointe pas que Glary là : tous les nettoyeurs de registre sont dangereux, CCleaner et toute la bande compris, Free ou payants. La raison est simple : le registre de Windows est trop complexe, il y a trop de dépendances... Aucun soft ne peut le nettoyer sécuritairement. Ce genre de problème n'est pas nécessairement fréquent, mais il existe et j'en vois plus ou moins régulièrement sur les forums. Oké je me calme là...

 

Le cas de EOUWiz.exe : c'est bizarre, il n'était pas infecté lors de ton passage en Octobre. On dirait qu'il y aurait eu réinfection suite à ton passage, ce qui n'est pas impossible vu la présence de Bagle dans ActiveSync. C'est pas compliqué : dès que winupgro est autorisé à se lancer, il remplace tout de suite un processus légitime, lancé au démarrage, pris au hasard, alors EOUWiz.exe a été remplacé après ta visite d'Octobre.

Autre chose au sujet de Bagle vs le Wi-Fi : l'infection désactive le Wi-Fi sur les machines infectées et ceci n'a rien à voir avec le réinfecteur. Après nettoyage, il faut réactiver le Wi-Fi. Mais bon tout est réglé pour toi maintenant, alors on passe à autre chose.

 

Les détections d'AntiVir : je t'avais pourtant spécifié dès le départ que tu devrais tout mettre en quarantaine. Chose que tu n'as pas faite ; soit parce qu'il y avait des softs précieux dans le lot, soit parce que tu as lu un peu vite

Bref, tout ce qu'a trouvé AntiVir peut être mis en quarantaine. Ne pas le faire, c'est jouer avec le feu.

 

Pour rundll32 : j'ai regardé dans tes rapports d'Octobre vs ce que montre Process Explorer :

S2 voicepad32;Microsoft IME;c:\windows\system32\rundll32.exe voicepad32.dll,edif --> c:\windows\system32\rundll32.exe voicepad32.dll,edif [?]

 

..et dans un autre rapport :

R2 voicepad32;Microsoft IME; voicepad32.dll,edif []

 

Tantôt arrêté, tantôt en marche, plutôt furtif. Ça sent vraiment pas bon ce truc. Peux-tu me faire une recherche pour le fichier ?

voicepad32.dll

Je pense qu'il se trouvera dans C:\WINDOWS\System32. Si tu le trouves... note son emplacement, puis fais ceci :

 

- Il faut tout d'abord démasquer les fichiers cachés :

 

1. Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau.
   
2. Double-clique sur le Poste de Travail
   
3. Du menu Outils, clique Options des dossiers...
   
4. De la nouvelle fenêtre, choisis l'onglet Affichage
   
5. Sous Fichiers et dossiers, coche la case Afficher le contenu des dossiers système
   
6. Sous Fichiers et dossiers cachés, clique le bouton Afficher les fichiers et dossiers cachés
   
7. Décoche la case Masquer les extensions des fichiers dont le type est connu
   
8. Décoche la case Masquer les fichiers protégés du système d'exploitation (recommandé)
   
9. Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail.
   

 

Ensuite...

 

Va sur le site de VirusTotal >>

http://www.virustotal.com/fr/

 

- Clique "Parcourir..."

- Retrouve le fichier voicepad32.dll à l'endroit noté ;

- Double-clique dessus pour le sélectionner

- Clique maintenant sur le bouton "Envoyer le fichier"

- Possible que tu sois mis en file d'attente ; il faut alors patienter

- Possible qu'on te dise que le fichier ait déjà été analysé ; si c'est le cas, choisis une nouvelle analyse.

- Les résultats d'analyse apparaîtront progressivement ; cela ne prend qu'une ou deux minutes.

- Lorsque terminé, copie/colle le rapport ici, dans ta réponse.

 

@+

[Norimael]

Bonjour

 

le fichier est dans system32

 

Voici le rapport :

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.43 2009.12.04 Trojan-Proxy.Win32.Dorando!IK

AhnLab-V3 5.0.0.2 2009.12.04 -

AntiVir 7.9.1.92 2009.12.03 -

Antiy-AVL 2.0.3.7 2009.12.03 -

Authentium 5.2.0.5 2009.12.02 W32/Dorando.A.gen!Eldorado

Avast 4.8.1351.0 2009.12.03 -

AVG 8.5.0.426 2009.12.03 -

BitDefender 7.2 2009.12.04 Trojan.Crypt.GH

CAT-QuickHeal 10.00 2009.12.04 -

ClamAV 0.94.1 2009.12.04 -

Comodo 3103 2009.12.01 -

DrWeb 5.0.0.12182 2009.12.04 -

eSafe 7.0.17.0 2009.12.03 -

eTrust-Vet 35.1.7156 2009.12.03 -

F-Prot 4.5.1.85 2009.12.03 W32/Dorando.A.gen!Eldorado

F-Secure 9.0.15370.0 2009.12.03 Trojan.Crypt.GH

Fortinet 4.0.14.0 2009.12.04 W32/Glukelira.NEG!tr

GData 19 2009.12.04 Trojan.Crypt.GH

Ikarus T3.1.1.74.0 2009.12.04 Trojan-Proxy.Win32.Dorando

Jiangmin 13.0.900 2009.12.02 -

K7AntiVirus 7.10.910 2009.12.03 -

Kaspersky 7.0.0.125 2009.12.04 -

McAfee 5821 2009.12.03 Suspect-02!EBD34349CF9B

McAfee+Artemis 5821 2009.12.03 Suspect-02!EBD34349CF9B

McAfee-GW-Edition 6.8.5 2009.12.04 -

Microsoft 1.5302 2009.12.03 TrojanProxy:Win32/Dorando.gen!A

NOD32 4659 2009.12.04 -

Norman 6.03.02 2009.12.03 -

nProtect 2009.1.8.0 2009.12.04 -

Panda 10.0.2.2 2009.12.03 -

PCTools 7.0.3.5 2009.12.04 -

Prevx 3.0 2009.12.04 -

Rising 22.24.04.04 2009.12.04 Trojan.Spy.Win32.Undef.nd

Sophos 4.48.0 2009.12.04 Mal/Pukish-B

Sunbelt 3.2.1858.2 2009.12.04 -

Symantec 1.4.4.12 2009.12.04 -

TheHacker 6.5.0.2.084 2009.12.03 -

TrendMicro 9.100.0.1001 2009.12.04 -

VBA32 3.12.12.0 2009.12.03 BScope.Trojan-Dropper.Inject

ViRobot 2009.12.4.2071 2009.12.04 -

VirusBuster 5.0.21.0 2009.12.03 -

Information additionnelle

File size: 11776 bytes

MD5...: ebd34349cf9b6fd208e9cfccca9ea688

SHA1..: 5e1d6db466b858f5c0e2bfd98d70b0b648b464d4

SHA256: 81dcadc7acd98f3dac189671594ee06e999e00b11cdd060d5b072ac06b7d2f12

ssdeep: 192:3jiJAKDEwjpOOrJCoWbjNXCRhn4s1nmI+GMjdodEEhZWuGWp:3mbDEwwOrJC

oWvxCRAGwdmLWuGW

PEiD..: -

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x9120

timedatestamp.....: 0x49c6827f (Sun Mar 22 18:25:03 2009)

machinetype.......: 0x14c (I386)

 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0x6000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0x7000 0x3000 0x2400 7.78 c458b7e36f76ae36f9c685b469dcf4da

.rsrc 0xa000 0x1000 0x600 2.84 7c3f72d28bdf5dcec6fe57dfba59f8f7

 

( 2 imports )

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree

> ole32.dll: CoInitialize

 

( 1 exports )

edif

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: Win64 Executable Generic (52.5%)

UPX compressed Win32 Executable (18.7%)

Win32 EXE Yoda's Crypter (16.3%)

Win32 Executable Generic (5.2%)

Win32 Dynamic Link Library (generic) (4.6%)

sigcheck:

publisher....: Microsoft Corporation

copyright....: © Microsoft Corporation. All rights reserved.

product......: Microsoft_ Windows_ Operating System

description..: Microsoft IME

original name: n/a

internal name: n/a

file version.: 6.7.8.5

comments.....: Microsoft IME

signers......: -

signing date.: -

verified.....: Unsigned

packers (Kaspersky): PE_Patch.UPX, UPX

packers (F-Prot): UPX