Trojan IDP Program récalcitrantRésolu/Fermé

Question

Bonjour à vous tous,
Je reviens vous voir. En fait j'ai AVG antivirus avec le parefeu Windows. XP Pro SP3.
Dernièrement mon ordi n'allait pas trop bien : lenteur pour activer l'ouverture de fichiers, pubs  qui s'inséraient dans des pages particulières suivant mes réglages, barres pour Internet,... J'ai attrapé plusieurs virus dont IDP Progran D1B0A5C0 qui résiste.
 
J'avais tous mes dossiers à jour. Premier problème MsiInstaller. Il est bloqué en manuel démarré. Auparavant je l'avais arrangé en suivant quelques explications Internet et ca remarchait. 
Donc j'ai rentré Adwcleaner qui a sortir tout un tas de clés de registre, nettoyé IE8 et Mozilla firefox, et autres.
Toutefois, j'ai essayé de charger de nouveaux programmes dont Ccleaner que j'avais enlevé. Maintenant il ne veut pas s'installer. Il déclenche toujours une alerte de l'antivirus. On dirait que bien que l'antivirus le trouve et l'enlève, il reste des particules qui se réactivent. Cela est toujours situé dans un dossier temporaire C:\DOCUME-1\UTILIS-1\locals-1....
Je ne trouve plus ce dossier.

Qui pourrait m'expliquer quoi faire ? Merci à tous de m'aider.
Etolyne

g3n-h@ckm@n · Answer

salut

execute ceci :

http://security-helpzone.com/gen-hackman/pre_scan-2/canned-speech/

etolyne · Answer

Bonsoir g3n-h,
Merci beaucoup pour une si rapide réponse.
J'ai pris du temps pour l'exécution malgré la simplicité de celle-ci.
J'ai lancé le dossier sans problème mais il s'est arrêté plusieurs fois sans redémarrer. De ce fait je suis intervenue et il est reparti sûrement en mode particulier puisque le fichier était toujours présent à l'écran. La dernière fois j'ai laissé l'ordi au repos un moment et je l'ai rallumé. 
Tout s'est bien passé. La seule chose constatée pour le moment c'est la présence d'une deuxième icône d'IE8, d'une icône pour le poste de travail et une pour les favoris réseau que je n'avais pas sur le bureau. 
Normalement je peux les effacer mais pour la connexion Internet peut-être vaut-il mieux conserver la nouvelle ?
Pour information voici le lien à suivre https://www.cjoint.com/?0Hdxkkh1tl8
En tout cas merci pour l'aide précieuse que je reçois. A bientôt
Etolyne

g3n-h@ckm@n · Answer

re

clique sur ouvrir au lieu de faire double-clic 

sur quel navigateur est-tu ?

etolyne · Answer

Bonjour,
J'utilise plus volontier Mozilla-firefox question de sécurité.
Voici le nouveau lien : https://www.cjoint.com/?0HeoTmGxRmM

Merci

g3n-h@ckm@n · Answer

tu m'as envoyé l'executable au lieu du rapport

etolyne · Answer

Merci pour le renseignement. Le souci dès le départ c'est que je ne peux pas le basculer sur Cjoint. Je fais bien OUVRIR après l'avoir sélectionner mais il ne passe pas sur Cjoint puisque tous les fichiers sont détaillés à l'écran dans la boîte à l'écran.

g3n-h@ckm@n · Answer

clic droit dessus , envoyer vers => dossiers compressés puis essaye d'heberger l'archive

etolyne · Answer

Bonsoir,
Bientôt je ne vais plus oser demander quoi que ce soit. Je n'arrive toujours Pas à l'enregistrer. Il est trop gros par rapport à la limite de Cjoint : taille 9.78 Mo compressé.
J'ai cherché à le fractionner pour le compresser mais cela ne peut pas se faire. L'ordi signale qu'il est vide.
Je dois dire que l'antivirus vient encore de détecter un autre virus lorsque j'étais sur Internet.

g3n-h@ckm@n · Answer

heberge-le ici :

https://forums-fec.be/upload/

etolyne · Answer

Voici enfin le lien : https://forums-fec.be/upload/www/?a=d&i=8996093327

J'espère que cela va aller cette fois. A bientôt

g3n-h@ckm@n · Answer

je te demande un rapport tu me donnes un dossier.....

relance-le en mode sans echec

g3n-h@ckm@n · Answer

ok relance l'outil , clique sur diag , héberge le rapport c:\pre_diag_xx_xx_xx.txt sur https://www.cjoint.com/ et donne le lien

g3n-h@ckm@n · Answer

execute ceci directement en suppression

http://www.security-helpzone.com/blog/adwcleaner_supprimer_les_adwares_spywares_toolbars_hijackers-news-13.html
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

g3n-h@ckm@n · Answer

tu peux m'expliquer pourquoi tu modifies le nom de tous les programmes que tu installes ? tu crois que c'est bon pour le système ? et Mozilla ca prend 2 "L" !
je comprends pourquoi ton pc plante , le systeme ne sait meme plas où aller chercher ce dont il a besoin hors windows , t'as renommé plus de la moitié des dossiers dans Programmes...

==

stinger tu peux le virer il sert à rien
desinstalle aussi Java 6 Update 37 
desinstalle aussi  Java 2 Runtime Environment, SE v1.4.2_03 

==

sélectionne ce texte , puis CTRL + C :

Kill::

Key::
[HKU\S-1-5-21-776561741-1425521274-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Toolbar]|[Locked]
[HKU\S-1-5-21-776561741-1425521274-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Toolbar]|[Theater] 
[HKU\S-1-5-21-776561741-1425521274-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{08C06D61-F1F3-4799-86F8-BE1A89362C85}]     
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}] 
[HKCR\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA}]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]   
[HKCR\Applications\firefox.exe]
[HKLM\Software\BrowserChoice]     
[HKLM\Software\omigaplusSvc]     
[HKLM\Software\DealPlyLive] 
[HKLM\Software\Savings Wave Plugin] 
[HKLM\Software\winzipersvc] 
[HKLM\Software\{1146AC44-2F03-4431-B4FD-889BC837521F}]     
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[1900:UDP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[2869:TCP]
[HKCR\AppId\DealPlyLive.exe]

File|Fold::
C:\1e0843e3791b5ffc6dc82eabfe222e 
C:\dfb9b4402ceeef71a2029b6dda44ab48 
C:\962200d7056aa74981aaff58ae9a98 
C:\9156b9c7c3284461c036 
C:\b9943742e48c9bb3ddb8 
C:\8b0ae07ac4146269f803e3d3 
C:\741becf9a43eddf010480e0d25 
C:\bc53155b47836dae94aea775b8 
C:\WINDOWS\*.tmp     
C:\WINDOWS\ie8(2) 
C:\WINDOWS\Windows KB894541 
C:\WINDOWS\Windows Installer MAJ 2012 
C:\WINDOWS\Installer\{6084C211-01A1-464E-97A0-09772E122B50}
C:\Documents and Settings\All Users\Application Data\NOS(2) 
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Software 
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Savings Wave Plugin 
C:\WINDOWS\Tasks\ROC_REG_JAN_DELETE.job 

Driver::
DEALPLYLIVE
MFEHIDK
MFERKDET
MFEVTP
VTOOLBARUPDATER15.2.0
dealplylivem

cmd::
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\standardprofile\authorizedapplications\list" /v "C:\WINDOWS\system32\sessmgr.exe" /t "REG_SZ" /d "C:\WINDOWS\system32\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019" 

MBR::

Clean::

Reboot::

Attention !!! pense à re-désactiver tes protections


Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

g3n-h@ckm@n · Answer

bonsoir

ok ben la suite 
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

g3n-h@ckm@n · Answer

tu peux faire le script qui est au dessus ?

etolyne · Answer

Bonsoir,
J'ai l'impression qu'il se passe de drôles de faits. Je ne peux plus utiliser correctement le fichier Pre-Scan.
A l'ouverture il me signale qu'il ne trouve pas c:\Pre-Scan\Save\ERUNT.EXE 
J'ai pris une autre version en.gif il me semble. Mais le problème est le même.
En plus j'ai bien l'impression que toutes les actions sont encore plus lentes pour s'exécuter.  
Je commence à trouver très dur toutes ces manips en tant que néophyte. La connaissance serait un gros avantage.

g3n-h@ckm@n · Answer

tu dois pas desactiver l'antivirus et il doit bloquer 

quoi qu'il en soit tu peux faire "continuer" tout de meme

etolyne · Answer

Bonjour,
Voici le nouveau résultat :
https://www.cjoint.com/?0HiiWHCczWR
A bientôt

g3n-h@ckm@n · Answer

essaie de faire attention à ce que tu fais sinon on va pas s'en sortir

etolyne · Answer

Merci pour le retour. Es-ce par rapport à ce que tu m'as déjà dit ? 
J'ai bien pris conscience de mes lacunes et difficultés. J'espère m'y prendre un peu mieux par la suite.
En tout cas merci encore.
Sincèrement, Etolyne

g3n-h@ckm@n · Answer

pourquoi tu me renvoies un executable au lieu du rapport que je demande ?

ca fait la deuxieme fois lol !

etolyne · Answer

Bonjour
En premier lieu, je viens m'excuser de ce long silence. Je me suis absentée pour raison de famille.
Pour ce que tu demandes, si j'ai compris il me faut refaire l'opération "kill" en laissant l'antivirus en marche ? Si c'est cela je n'obtiens pas de résultats écrits.
Il devrait se trouver à la racine de "C" comme les autres je suppose. Même sur le bureau je ne vois rien de plus.
Merci de m'expliquer. A bientôt.

g3n-h@ckm@n · Answer

bonsoir nan relis 
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10...Tiranium Antivirus Attention => Fake

etolyne · Answer

Bonsoir,
Tout à l'heure j'ai mal écrit le nom du fichier que j'ai à l'écran. Il s'agit de Pré-script sans extension avec en date de création du 14 août.
A bientôt.

g3n-h@ckm@n · Answer

oui c'est celui-ci

g3n-h@ckm@n · Answer

ca ne correspond pas au script demandé plus haut

g3n-h@ckm@n · Answer

non c'est le meme rapport , regarde si y en a pas un autre dans c:\

g3n-h@ckm@n · Answer

je parle de celui-ci

https://forums.commentcamarche.net/forum/affich-28411455-trojan-idp-program-recalcitrant?full#17

g3n-h@ckm@n · Answer

impossible rien ne correspond

regarde le script et regarde les suppressions

g3n-h@ckm@n · Answer

refais le script en mode sans echec MAIS CELUI D'EN HAUT , PAS CELUI DE JE NE SAIS OU

g3n-h@ckm@n · Answer

essaie de répondre à la suite ca devient le foutoir ....

precise exactement ce qu il se passe

g3n-h@ckm@n · Answer

ok vire les restes de McAfee avec ca :

sers-toi de ce tuto :

https://www.pcastuces.com/pratique/astuces/2695.htm

g3n-h@ckm@n · Answer

execute ceci 

https://www.security-helpzone.com/2013/04/17/malwarebytes-anti-malware-mbam-detecteur-generaliste-de-menaces/

g3n-h@ckm@n · Answer

je peux avoir le rapport comme demandé ?

g3n-h@ckm@n · Answer

ok quels soucis persistent ?

g3n-h@ckm@n · Answer

je vois pas quoi faire de plus

g3n-h@ckm@n · Answer

fais ce grand menage ce fera le boulot à ta place

http://security-helpzone.com/gen-hackman/nettoyage-en-fin-de-desinfection/

Trojan IDP Program récalcitrant

38 réponses

Discussions similaires

Newsletters