:Bagle : winupgro.exe

Logiciel & apps Logiciel Général
1

  • Bonsoir à tous, j’ai maintenant depuis quelques jours un plutôt gros problème avec mon pc, qui semble venir d’un fichier winupgro.exe .
    Je m’explique : Suite au telechargement d’un fichier et après le redemarrage, mon antivirus NOD32 refuse de se lancer (sous pretexte que ce n’est pas une application win32 valide), mon processeur est toujours utilisé entre 70 et 80% au repos, et a un démarrage du pc sur deux j’ai un magnifique écran bleu (je n’ai pas noté l’erreur. J’ai essayé d’installer des versions d’evaluation d’autres antivirus, par exemple kaspersky ou bitdefender, et a chaque fois l’application refuse de s’installer (sous pretexte que je n’ai pas accès a tel ou tel fichier), d’autre logiciels dit de nettoyage refusent de fonctionner (tel que Findykill)… J’ai enfin pensé a faire un scan online sur le site de Bitdefender, et entre autres virus qu’il réussi à supprimer, il me trouve le fichier winupgro.exe , situé dans
    Users/Moi/Appdata/Roaming/Drivers/winupgro.exe , qu’il n’arrive pas a supprimer. Je ne peux moi non plus bien sur pas le supprimer manuellement ! Que faire?

    • Et voila ce qu’en dit le scan :
      Fichier analysé
      Statut
      C:\Users\Pierre\AppData\Roaming\drivers\winupgro.e
      xe
      Infecté par: DeepScan:Generic.Bagle.A5B48DCB
      C:\Users\Pierre\AppData\Roaming\drivers\winupgro.e
      xe
      Echec de la désinfection
      C:\Users\Pierre\AppData\Roaming\drivers\winupgro.e
      xe
      Echec de la suppression
2

Salut,

Désinstalle findykill et fait ceci STP.

ensuite fais ceci stp :

? Rends toi sur ce site :
www.zonavirus.com…
? tout en bas de cette page tu trouveras un outil
à télécharger,clique sur “escargar Elibagla” (le numéro de version change au fur et à mesure des mises à jour)
? installe ce fichier sur le Bureau.
? ensuite double-clic sur Elibagla.exe
? laisse la case “eliminar ficheros automaticamente” coché
? clique sur"explorar"
? laisse-le travailler

? Redémarre en mode sans échec,

*Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

? relance 2 fois elibagla

? redémarre en mode normal

? poste le rapport final qui sera dans c:\infosat.txt

3

D’accord, merci de l’aide je vais le faire. Une fois en mode sans echec je relance deux fois le “explorar”?, puis je redemarre en mode normal et poste le rapport final?

4

Re,

copie la procedure sur ton bloc note et tu fait comme marquer.

Aussi tu as le rapport de findykill option1.

pour moi le passer au concepteur.

@+

5

Elibagla me lance une erreur (dès le premier scan ) : acces refusé au repertoire : "C:\Windows\CSC (16)
edit: de même pour C:\Windows\Registration\CRMlog (16)
Edité le 12/12/2008 à 23:36

6

Re,

Télécharge combofix : download.bleepingcomputer.com…

Avant de telecharger clic sur enregistrer renome le en killbagle et enregistre le sur le bureau

-> Double clique sur killbagle.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d’utiliser ComboFix :

-> Déconnecte toi d’internet et referme les fenêtres de tous les programmes en cours.

Une fois fait, sur ton bureau double-clic sur killbagle.exe.

  • Répond oui au message d’avertissement, pour que le programme commence à procéder à l’analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n’ouvre aucun programmes.

  • En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

  • Un rapport s’ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

7

Re, apparement tu t’es peu être trompé de lien, car le logiciel combofix est en fait le même logiciel que le premier, en espagnol. A tout hasard j’ai fait un test qui , apparement n’a rien donné de concret, voici le rapport :
1er test :
" Fri Dec 12 23:27:30 2008
EliBagle v12.05 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Diciembre del 2008)

Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\USERS\PIERRE\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\PIERRE\APPDATA\ROAMING\M\LIST.OCT --> Eliminado Bagle
Reinicie para Completar la Limpieza. "

Et ensuite j’ai du faire pas mal de texte malencontreusement, voici ce que dit le dernier rapport en date :
"Fri Dec 12 23:48:14 2008
EliBagle v12.05 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Diciembre del 2008)

Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
C:\USERS\PIERRE\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza."

Voilà, merci déjà de l’attention que tu portes à mon cas, pour ma part je pars me coucher, je regarderais tes réponses eventuelles demain matin. Si quelqu’un d’autre a une idée, qu’il n’hésite pas.
Merci d’avance.

8

Re,

Vire ellibagla et fait ceci maintenant:

2-Pour les utilisateurs de =>VISTA<=

[b]Désactive l’UAC[b] (contrôle des comptes utilisateurs) :
-Menu démarrer --> -panneau de configuration–> -comptes utilisateurs --> -activer ou -désactiver le controle des comptes utilisateur --> -décoche la case “utiliser le contrôle…” Puis redémarre ton ordinateur.

Puis lance FindyKill en faisant -un clic-droit et en choisissant “-Exécuter en temps qu’administrateur” (pas en faisant un double-clic)

3- Télécharges- FindyKill de Chiquitine29 :

FindyKill de Chiquitine29

Enregistres le sur ton bureau et pas ailleurs !

!! Déconnectes toi et fermes toute applications en cours !!
( Si ton anti-virus s’affolle au moment de l’enregistrement ou de l’utilisation de l’outil , ignore l’alerte …)

http://forum.zebulon.fr/style_images/1/folder_post_icons/icon11.gif Cliques sur "-FindyKill.exe pour lancer l’installe de l’outil . Ne touche surtout pas aux paramètres d’installation.

Notes importantes :

  • si tu as le prg Elibagla sur ton PC , supprimes le ( risque de conflit entre les deux outils ) .

http://forum.zebulon.fr/style_images/1/folder_post_icons/icon11.gifDouble cliques sur le raccourci " FindyKill " qui est sur ton bureau .

http://forum.zebulon.fr/style_images/1/folder_post_icons/icon11.gifchoisis l’option 1 ( recherche ) . Puis laisses travailler l’outil sans rien toucher …

Une fois terminé, postes le rapport FindyKill.txt qui est généré …

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

PS : “Process.exe”, une composante de l’outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s’agit pas d’un virus, mais d’un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall…) d’où l’alerte émise par ces antivirus

9

FindyKill est bloqué, comme quoi je n’ai pas l’acces autorisé ou autre, bref tout comme tous les autres logiciels de nettoyage : voici néanmoins le rapport :

----------------- FindyKill V4.709 ------------------

  • User : Pierre - PC-DE-PIERRE
  • Emplacement : C:\Program Files\FindyKill
  • Outils Mis a jours le 10/12/08 par Chiquitine29
  • Recherche effectuée à 22:53:26 le 12/12/2008
  • Windows Vista - Internet Explorer 7.0.6000.16757

((((((((((((((((( *** Recherche *** ))))))))))))))))))

--------------- [ Processus actifs ] ----------------

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\PSIService.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Steam\steam.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Users\Pierre\AppData\Roaming\drivers\winupgro.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Common Files\Steam\SteamService.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
F:\setup.exe
C:\Program Files\Mumble\mumble.exe
C:\Program Files\Mumble\dbus-daemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\BitComet\BitComet.exe
C:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe

--------------- [ Processus infectieux stoppés ] ----------------

“C:\Users\Pierre\AppData\Roaming\drivers\winupgro.exe” (2688)

--------------- [ Fichiers/Dossiers infectieux ] ----------------

»»»» Presence des fichiers dans C:

Je ne peux toujours pas éxécuter la plupart des logiciels de sécurité…

10

Re,

il est pas complet ton rapport.VIRE TON OU TES CRACKS .
Télécharge combofix : download.bleepingcomputer.com…

Avant de telecharger clic sur enregistrer renome le en killbagle et enregistre le sur le bureau

-> Double clique sur killbagle.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d’utiliser ComboFix :

-> Déconnecte toi d’internet et referme les fenêtres de tous les programmes en cours.

Une fois fait, sur ton bureau double-clic sur killbagle.exe.

  • Répond oui au message d’avertissement, pour que le programme commence à procéder à l’analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n’ouvre aucun programmes.

  • En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

  • Un rapport s’ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Edité le 13/12/2008 à 15:10