Bonjour,
j'ai scanné mon PC avec TREND MICRO qui a détecté un trojan : "troj ISTBAR.K" et pas possible de l'éliminer avec ce programme. J'ai également essayé avec "spybot search & destroy" et "spyware remover" qui ne le détectent pas. Je n'ai actuellement aucun problème avec mon PC mais j'aimerais savoir comment faire pour le "nettoyer". Il se trouve dans programme files; dois-je simplement éliminer le programme ? mais s'il a des ramifications ???
merci pour votre aide

fais la même chose en mode sans échec il devrait le virer
 
edit Symantec dit ça :

 
donc faut se mettre en sans échec, scanner et virer tout ce que l'antivirus dit puis peut-être enlever à la main dans la base de registre les clés données ci-dessus

Je ne suis pas  pro ! c'est quoi "en mode sans échec" en détails please dans des termes compréhensibles pour quelqu'un de novice !
merci !
 

tu as quoi comme windows? si c'est 2000 ou XP regarde la suite
 
La procédure c'est qu'il faut redémarrer ton pc. Et à un moment tu dois appuyer sur la touche F8 (en fait au tout début du chargement de windows). Là il te proposera un menu dans lequel tu pourras choisir 'mode sans échec'
 
ensuite tu arriveras sous windows (pas très beau sans doute) . Tu lances ton antivirus. et il devrait supprimer le virus.  
 
Fais ça d'abord et dis moi si c'est bon.

j'ai windows XP donc je dois lancer mon anti-virus de Norton pas le programme de recherche d'espion ?
OK je vais essayer ce soir merci!

oui essaye d'abord l'antivirus en mode sans échec.
 
De toute façon faut aussi de temps en temps passer un coup d'anti-espion style Ad-Aware ou SPybot par exemple

aussi en mode sans échec ?

pourquoi pas. c'est pas plus mal.
 
tiens moi au courant ce soir

ben c'est raté ! j'ai scanné mon PC en mode sans échec avec Norton, Spy search & destroy et spyware adware remover : rien trouvé. Je l'ai ensuite scanné en mode "normal" avec Trendmicro et là il a tj détecté mon trojan Istbar.k et il est toujours "non cleanable". Je ne me suis pas lancée dans ce que tu m'as envoyé de Sysmantec car cela me parait compliqué !

déja, as-tu ce répertoire sur ton pc? C:\Program Files\ISTsvc

oui : "ISTsvc.ex$" exactement

Fais un Hijackthis : http://www.spywareinfo.com/~merijn/downloads.html
http://download.softpedia.com:8080 [...] ckthis.zip
http://membres.lycos.fr/aricop/forum/HijackThis.exe
 
Fais scan puis save log et colle le contenu du fichier texte qui s'affiche sans rien faire d’autre
Procedure détaillée:  
 
-Cliques sur le bouton "scan" en bas à gauche - un ensemble de données s'affiche  
-Cliques sur le même bouton qui vient de changer de nom - ceci permet d'enregistrer les données dans un fichier au format texte et celui-ci est immédiatement ouvert avec le Bloc-Notes de Windows  
Dans le bloc-notes, faites Edition > Sélectionner tout > Edition > Copier  
 
-Dans une réponse, sur le forum, fais clic droit > coller puis envoie la réponse.  
 
Sans rien faire d'autre.

 
bizarre que ton norton ne le trouve pas alors    
 
fais toujours un Hijack qu'on voit ça mais je suis sceptique

Avec Hijackthis, je suis sur qu'on le trouvera.

je suis sceptique sur le fait que l'antivirus ne le trouve pas alors qu'il est répertorié dans sa base de données

Ah, excuse moi pour la mécompréhension ....

spa grave

Cool !  
 
On attend le log d'Hijackthis !

j'ai dû le télécharger par un autre site car aucun des 3 ne fonctionnait, je l'ai chargé, j'ai eu immédiatement un message d'erreur lors du scan mais voici je que j'ai obtenu : Logfile of HijackThis v1.98.0
Scan saved at 22:49:37, on 12/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Media Manager\airsvcu.exe
c:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\USB Storage RW\shwicon.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\TLCHAR~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Tiscali
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {230C3D02-DA27-11D2-8612-00A0C93EEA3C} (SAXFile FileUpload ActiveX Control) - http://www.wistiti.fr/AlbumsPerso/ActiveX/SAXFile.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe [...] scan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3513CFB-99E9-4F13-BB9F-43962C272A35}: NameServer = 62.235.14.4 62.235.13.199
 

bon déja faut essayer de virer le virus car il n'apparait pas dans le log de HIjack.
 
Alors faut refaire un scan sur trenmicro en ligne avec le pc en "mode sans échec avec prise en charge du réseau". J'espère qu'il pourra le virer cette fois.
 
pour le log , y a rien de bien spécial
 
dans les processus y kbd.exe mais c'est un truc pour HP donc si tu as c'est normal.
 
idem dans les clés RUN : igfxtray et hkcmd.exe qui servent aux touches de fonctions d'un clavier. Donc si tu utilises ça c'est normal
 
le adsltaskbar me gêne un peu. as-tu une icone pour l'adsl en bas à droite de ton écran? Après une petite recherche sur le web il semblerait que ce soit mis par tele2 mais j'ai tele2adsl et j'ai pas ça.  
 
le 012 plugin for .mp3 me semble inutile
 
Voila j'ai rien vu de méchant. Pour les trucs donnés ci-dessus ben si tu t'en sers pas tu peux virer sans crainte.

je ne suis pas chez moi je ferai tout ce soir mais j'ai l'icone de connection en bas à droite si je me souviens c. à d. les 2 écrans de PC qui clignotent; je ne suis pas chez tele2 comme fournisseur mais chez tiscali donc rien à voir avec tele2; suite ce soir merci pour les conseils !

non l'icone des deux écrans est normale.
 
bon ben pense à cocher adsltaskbar dans Hijack et clique sur "fix"

ok mais au fait,ce virus représente-t-il un danger ou il est inoffensif ?

pas méchant pour ton pc directement:
 
    * Installs an Internet Explorer toolbar
    * Acts as a Home page and search hijacker
    * Pops up advertisements, often pornographic in nature
 
mais bon faut le virer quand même

je ne sais pas me connecter à internet en mode sans échec pourtant je fais démarrer, exécuter, MSconfig, je vais dans boot.ini, je coche safeboot et network et aucune connection à internet possible !

je peux pas t'aider la dessus car je connais pas très bien XP.
 
mais si tu appuies sur la touche F8 pendant que ton ordi démarre ilte proposera dans un menu : mode sans échec avec prise en charge réseau.

cela ne fonctionne pas avedc F8,je suis allée sur le site de microsoft et j'ai suivi leur conseil, le fait de cocher "network" cela signifie  mode sans échec avec prise en charge du réseau mais....pas de connection

bizarre même en cherchant sur le web ils parlent bien de la touche F8 au démarrage. Faut appuyer dessus juste après que toutes les infos correspondant au BIOS se soient affichées.

je sais j'ai ça au boulot mais ici,justement il n'y a aucune info concernant le bios avec mon XP j'ai essayé à plusieurs reprises de pousser sur F8 probablement pas au bon moment car je n'ai pas de repère il passe de l'écran bleu windows directement au choix de la session

je sais j'ai ça au boulot mais ici,justement il n'y a aucune info concernant le bios avec mon XP j'ai essayé à plusieurs reprises de pousser sur F8 probablement pas au bon moment car je n'ai pas de repère il passe de l'écran bleu windows directement au choix de la session

c'est vraiment pas cool ça
 
ton Norton est à jour? parce que ça m'étonne qu'il ne trouve pas ce trojan
 
edit : ah non tu as NAV et il ne détecte pas les "extended threats" donc c'est normal que nav ne le trouve pas

bon j'ai trouvé ce lien. Lis-le pour l'éradication.
 
http://assiste.free.fr/p/internet_ [...] istbar.php
 
Vois ce que tu peux comprendre et demain si tu veux je t'aide à le virer ok?
 
edit : essaye tout d'abord de télécharger les fichiers suivants :
 
cleanup engine (exe + clup) et suit les instructions
 
http://www.idepro.fr/kaspersky/inf [...] ?id_net=68

tu as une issue de secours pour moi ?

oups j'ai édité mon précédent message avec ça  
 

OK car il est tard !

bonne nuit et à demain

Trop tard tu doit appuyer aussi tôt que tu voit l'ordinateur alumé
quand ilfait les tests mémoire + disque. Et au moment ou il va charcher le boot il va te donner le mode sans echec avec réseux.  
Pour que ça marche en mode sans échec t'a besion du nom_d_utilisateur et de ton mot_de_passe internet.(modem usb ou réseau).

ne regardé pas le fautes...

c'est ce que j'ai fait pourtant mais aucun test n'est visible comme je l'ai dit plus haut; j'essaierai encore ce soir

t'embête pas pour le moment. Essaye directement le nettoyeur fait par Kaspersky
 
télécharge le fichier Cleaner.zip
 
décompresse le dans un répertoire juste pour lui. Tu dois avoir un fichier exe et un fichier de définition qui va avec (.clup)
 
tu lances l'exe et normalement il doit te trouver le trojan et l'éliminer. tu rebootes et scan chez Trend pour voir si il te le trouve encore.
 
si ça il n'arrive pas à le virer. esaaye d'abord de désactiver la restauration système d'XP et refait tout.