Contents
Origine
– Fiche Créée le 11/10/2013 par Nicolas Coolman.
– Fiche modifiĂ©e le 16/12/2013.
Caractéristiques
– Il appartient Ă une famille de logiciels lĂ©gitimes mais superflus.
– Vendeur : PUP.Optional
Actions principales
– Il s’installe en tant que processus lancĂ© au dĂ©marrage du système (RP),
– Il s’installe en tant que service pour ĂŞtre lancĂ© Ă chaque dĂ©marrage du système (O23),(SS/SR),
– Il dĂ©marre une tâche planifiĂ©e en automatique (O39),
– Il s’installe en tant que programme (O42),
– Il crĂ©e de multiples cl&´s de Registre « Software »,
– Il crĂ©e des dossiers supplĂ©mentaires (O43),
– Il crĂ©e de multiples fichiers utilisateurs (O61),
– Il crĂ©e dans le Registre une clĂ© Legacy pointant sur un service malware (O64),
Aperçu ZHPDiag
—\\ Processus lancĂ©s
[MD5.E9986E9ADB8D65B6CA30D80103F1F53C] – (.Cherished Technololgy LIMITED – WPM Service.) — C:\Documents and Settings\All Users\Application Data\WPM\wprotectmanager.exe [499856] [PID.504]
—\\ Liste des services NT non Microsoft et non dĂ©sactivĂ©s (O23)
O23 – Service: Wpm Service (Wpm) . (.Cherished Technololgy LIMITED – WPM Service.) – C:\ProgramData\WPM\wprotectmanager.exe
—\\ Tâches planifiĂ©es en automatique (O39)
[MD5.00000000000000000000000000000000] [APT] [wp_update] (…) — C:\Users\Coolman\AppData\Roaming\~nlbcpxi.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [wp_update] (…) — C:\Users\Michel\AppData\Roaming\~ivyrujx.exe (.not file.) [0]
—\\ Logiciels installĂ©s (O42)
O42 – Logiciel: WPM17.8.0.3159 – (.Cherished Technololgy LIMITED.) [HKLM][64Bits] — WPM
O42 – Logiciel: WPM17.8.0.3297 – (.Cherished Technololgy LIMITED.) [HKLM][64Bits] — WPM
—\\ HKCU & HKLM Software Keys
[HKLM\Software\Wow6432Node\supWPM]
—\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 – CFD: 03/12/2013 – 12:26:11 – [0,477] —-D C:\Documents and Settings\All Users\Application Data\WPM
O43 – CFD: 08/12/2013 – 14:51:30 – [0] —-D C:\Users\Dominique\AppData\Roaming\wp_update
—\\ Derniers fichiers modifiĂ©s ou crĂ©es (Utilisateur) (O61)
O61 – LFC: 08/12/2013 – 23:54:12 —A- . (…) — C:\Users\Coolman\AppData\Roaming\wp_update\currentVersion.txt [1]
—\\ Liste les services legacy du registre (LALS) (O64)
O64 – Services: CurCS – 03/12/2013 – C:\Documents and Settings\All Users\Application Data\WPM\wprotectmanager.exe (Wpm) .(.Cherished Technololgy LIMITED – WPM Service.) – LEGACY_WPM
—\\ Etat gĂ©nĂ©ral des services non Microsoft (EGS) (SR=Running, SS=Stopped)
SR – | Auto 02/12/2013 499856 | (Wpm) . (.Cherished Technololgy LIMITED.) – C:\ProgramData\WPM\wprotectmanager.exe
SR – | Auto 03/12/2013 499856 | (Wpm) . (.Cherished Technololgy LIMITED.) – C:\Documents and Settings\All Users\Application Data\WPM\wprotectmanager.exe
—\\ Scan Additionnel (O88 )
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WPM]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\WPM]
[HKLM\SYSTEM\CurrentControlSet\Services\Wpm]
[HKLM\Software\Wow6432Node\supWPM]
C:\ProgramData\WPM
C:\ProgramData\WPM\wprotectmanager.exe
C:\Documents and Settings\All Users\Application Data\WPM
C:\Documents and Settings\All Users\Application Data\WPM\wprotectmanager.exe
Alias :
PUP.Optional.WpManager.A [Malwarebytes]
Liens :
malwaretips.com
www.im-infected.com
Supprimer (Remove) :
– Supprimer le logiciel « WPM » via le panneau de configuration Windows,
– Nettoyer avec ZHPCleaner