Origine

– Fiche Créée le 11/10/2013 par Nicolas Coolman.
– Fiche modifiée le 16/12/2013.

Caractéristiques

– Il appartient à une famille de logiciels légitimes mais superflus.
– Vendeur : PUP.Optional

Actions principales

– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il s’installe en tant que service pour être lancé à chaque démarrage du système (O23),(SS/SR),
– Il démarre une tâche planifiée en automatique (O39),
– Il s’installe en tant que programme (O42),
– Il crée de multiples cl&´s de Registre « Software »,
– Il crée des dossiers supplémentaires (O43),
– Il crée de multiples fichiers utilisateurs (O61),
– Il crée dans le Registre une clé Legacy pointant sur un service malware (O64),

Aperçu ZHPDiag

—\\ Processus lancés
[MD5.E9986E9ADB8D65B6CA30D80103F1F53C] – (.Cherished Technololgy LIMITED – WPM Service.) — C:\Documents and Settings\All Users\Application Data\WPM\wprotectmanager.exe [499856] [PID.504]

—\\ Liste des services NT non Microsoft et non désactivés (O23)
O23 – Service: Wpm Service (Wpm) . (.Cherished Technololgy LIMITED – WPM Service.) – C:\ProgramData\WPM\wprotectmanager.exe

—\\ Tâches planifiées en automatique (O39)
[MD5.00000000000000000000000000000000] [APT] [wp_update] (…) — C:\Users\Coolman\AppData\Roaming\~nlbcpxi.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [wp_update] (…) — C:\Users\Michel\AppData\Roaming\~ivyrujx.exe (.not file.) [0]

—\\ Logiciels installés (O42)
O42 – Logiciel: WPM17.8.0.3159 – (.Cherished Technololgy LIMITED.) [HKLM][64Bits] — WPM
O42 – Logiciel: WPM17.8.0.3297 – (.Cherished Technololgy LIMITED.) [HKLM][64Bits] — WPM

—\\ HKCU & HKLM Software Keys
[HKLM\Software\Wow6432Node\supWPM]

—\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 – CFD: 03/12/2013 – 12:26:11 – [0,477] —-D C:\Documents and Settings\All Users\Application Data\WPM
O43 – CFD: 08/12/2013 – 14:51:30 – [0] —-D C:\Users\Dominique\AppData\Roaming\wp_update

—\\ Derniers fichiers modifiés ou crées (Utilisateur) (O61)
O61 – LFC: 08/12/2013 – 23:54:12 —A- . (…) — C:\Users\Coolman\AppData\Roaming\wp_update\currentVersion.txt [1]

—\\ Liste les services legacy du registre (LALS) (O64)
O64 – Services: CurCS – 03/12/2013 – C:\Documents and Settings\All Users\Application Data\WPM\wprotectmanager.exe (Wpm) .(.Cherished Technololgy LIMITED – WPM Service.) – LEGACY_WPM

—\\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)
SR – | Auto 02/12/2013 499856 | (Wpm) . (.Cherished Technololgy LIMITED.) – C:\ProgramData\WPM\wprotectmanager.exe
SR – | Auto 03/12/2013 499856 | (Wpm) . (.Cherished Technololgy LIMITED.) – C:\Documents and Settings\All Users\Application Data\WPM\wprotectmanager.exe

—\\ Scan Additionnel (O88 )
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WPM]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\WPM]
[HKLM\SYSTEM\CurrentControlSet\Services\Wpm]
[HKLM\Software\Wow6432Node\supWPM]
C:\ProgramData\WPM
C:\ProgramData\WPM\wprotectmanager.exe
C:\Documents and Settings\All Users\Application Data\WPM
C:\Documents and Settings\All Users\Application Data\WPM\wprotectmanager.exe

Alias :

PUP.Optional.WpManager.A [Malwarebytes]

Liens :

malwaretips.com
www.im-infected.com

Supprimer (Remove) :

– Supprimer le logiciel « WPM » via le panneau de configuration Windows,
Nettoyer avec ZHPCleaner