troj istbar.k - Sécurité - Windows & Software
Marsh Posté le 11-07-2004 à 13:35:11
fais la même chose en mode sans échec il devrait le virer
edit Symantec dit ça :
Citation : # Creates the folder, C:\Program Files\ISTsvc, and copies itself to this folder as ISTsvc.exe. |
donc faut se mettre en sans échec, scanner et virer tout ce que l'antivirus dit puis peut-être enlever à la main dans la base de registre les clés données ci-dessus
Marsh Posté le 11-07-2004 à 14:18:15
Je ne suis pas pro ! c'est quoi "en mode sans échec" en détails please dans des termes compréhensibles pour quelqu'un de novice !
merci !
minipouss a écrit : fais la même chose en mode sans échec il devrait le virer
|
Marsh Posté le 11-07-2004 à 14:29:11
tu as quoi comme windows? si c'est 2000 ou XP regarde la suite
La procédure c'est qu'il faut redémarrer ton pc. Et à un moment tu dois appuyer sur la touche F8 (en fait au tout début du chargement de windows). Là il te proposera un menu dans lequel tu pourras choisir 'mode sans échec'
ensuite tu arriveras sous windows (pas très beau sans doute) . Tu lances ton antivirus. et il devrait supprimer le virus.
Fais ça d'abord et dis moi si c'est bon.
Marsh Posté le 12-07-2004 à 07:56:48
j'ai windows XP donc je dois lancer mon anti-virus de Norton pas le programme de recherche d'espion ?
OK je vais essayer ce soir merci!
Marsh Posté le 12-07-2004 à 09:09:37
oui essaye d'abord l'antivirus en mode sans échec.
De toute façon faut aussi de temps en temps passer un coup d'anti-espion style Ad-Aware ou SPybot par exemple
Marsh Posté le 12-07-2004 à 12:12:57
pourquoi pas. c'est pas plus mal.
tiens moi au courant ce soir
Marsh Posté le 12-07-2004 à 21:02:07
ben c'est raté ! j'ai scanné mon PC en mode sans échec avec Norton, Spy search & destroy et spyware adware remover : rien trouvé. Je l'ai ensuite scanné en mode "normal" avec Trendmicro et là il a tj détecté mon trojan Istbar.k et il est toujours "non cleanable". Je ne me suis pas lancée dans ce que tu m'as envoyé de Sysmantec car cela me parait compliqué !
Marsh Posté le 12-07-2004 à 21:18:32
déja, as-tu ce répertoire sur ton pc? C:\Program Files\ISTsvc
Marsh Posté le 12-07-2004 à 21:44:35
Fais un Hijackthis : http://www.spywareinfo.com/~merijn/downloads.html
http://download.softpedia.com:8080 [...] ckthis.zip
http://membres.lycos.fr/aricop/forum/HijackThis.exe
Fais scan puis save log et colle le contenu du fichier texte qui s'affiche sans rien faire dautre
Procedure détaillée:
-Cliques sur le bouton "scan" en bas à gauche - un ensemble de données s'affiche
-Cliques sur le même bouton qui vient de changer de nom - ceci permet d'enregistrer les données dans un fichier au format texte et celui-ci est immédiatement ouvert avec le Bloc-Notes de Windows
Dans le bloc-notes, faites Edition > Sélectionner tout > Edition > Copier
-Dans une réponse, sur le forum, fais clic droit > coller puis envoie la réponse.
Sans rien faire d'autre.
Marsh Posté le 12-07-2004 à 22:02:47
calimerette a écrit : oui : "ISTsvc.ex$" exactement |
bizarre que ton norton ne le trouve pas alors
fais toujours un Hijack qu'on voit ça mais je suis sceptique
Marsh Posté le 12-07-2004 à 22:04:40
Avec Hijackthis, je suis sur qu'on le trouvera.
Marsh Posté le 12-07-2004 à 22:10:39
je suis sceptique sur le fait que l'antivirus ne le trouve pas alors qu'il est répertorié dans sa base de données
Marsh Posté le 12-07-2004 à 22:13:23
Ah, excuse moi pour la mécompréhension ....
Marsh Posté le 12-07-2004 à 22:16:12
Cool !
On attend le log d'Hijackthis !
Marsh Posté le 12-07-2004 à 22:51:53
j'ai dû le télécharger par un autre site car aucun des 3 ne fonctionnait, je l'ai chargé, j'ai eu immédiatement un message d'erreur lors du scan mais voici je que j'ai obtenu : Logfile of HijackThis v1.98.0
Scan saved at 22:49:37, on 12/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Media Manager\airsvcu.exe
c:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\USB Storage RW\shwicon.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\TLCHAR~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Tiscali
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {230C3D02-DA27-11D2-8612-00A0C93EEA3C} (SAXFile FileUpload ActiveX Control) - http://www.wistiti.fr/AlbumsPerso/ActiveX/SAXFile.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe [...] scan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3513CFB-99E9-4F13-BB9F-43962C272A35}: NameServer = 62.235.14.4 62.235.13.199
Marsh Posté le 13-07-2004 à 11:04:24
bon déja faut essayer de virer le virus car il n'apparait pas dans le log de HIjack.
Alors faut refaire un scan sur trenmicro en ligne avec le pc en "mode sans échec avec prise en charge du réseau". J'espère qu'il pourra le virer cette fois.
pour le log , y a rien de bien spécial
dans les processus y kbd.exe mais c'est un truc pour HP donc si tu as c'est normal.
idem dans les clés RUN : igfxtray et hkcmd.exe qui servent aux touches de fonctions d'un clavier. Donc si tu utilises ça c'est normal
le adsltaskbar me gêne un peu. as-tu une icone pour l'adsl en bas à droite de ton écran? Après une petite recherche sur le web il semblerait que ce soit mis par tele2 mais j'ai tele2adsl et j'ai pas ça.
le 012 plugin for .mp3 me semble inutile
Voila j'ai rien vu de méchant. Pour les trucs donnés ci-dessus ben si tu t'en sers pas tu peux virer sans crainte.
Marsh Posté le 13-07-2004 à 11:57:23
je ne suis pas chez moi je ferai tout ce soir mais j'ai l'icone de connection en bas à droite si je me souviens c. à d. les 2 écrans de PC qui clignotent; je ne suis pas chez tele2 comme fournisseur mais chez tiscali donc rien à voir avec tele2; suite ce soir merci pour les conseils !
Marsh Posté le 13-07-2004 à 12:02:53
non l'icone des deux écrans est normale.
bon ben pense à cocher adsltaskbar dans Hijack et clique sur "fix"
Marsh Posté le 13-07-2004 à 13:15:55
ok mais au fait,ce virus représente-t-il un danger ou il est inoffensif ?
Marsh Posté le 13-07-2004 à 13:22:25
pas méchant pour ton pc directement:
* Installs an Internet Explorer toolbar
* Acts as a Home page and search hijacker
* Pops up advertisements, often pornographic in nature
mais bon faut le virer quand même
Marsh Posté le 13-07-2004 à 19:08:19
je ne sais pas me connecter à internet en mode sans échec pourtant je fais démarrer, exécuter, MSconfig, je vais dans boot.ini, je coche safeboot et network et aucune connection à internet possible !
Marsh Posté le 13-07-2004 à 19:24:54
je peux pas t'aider la dessus car je connais pas très bien XP.
mais si tu appuies sur la touche F8 pendant que ton ordi démarre ilte proposera dans un menu : mode sans échec avec prise en charge réseau.
Marsh Posté le 13-07-2004 à 22:01:44
cela ne fonctionne pas avedc F8,je suis allée sur le site de microsoft et j'ai suivi leur conseil, le fait de cocher "network" cela signifie mode sans échec avec prise en charge du réseau mais....pas de connection
Marsh Posté le 13-07-2004 à 22:11:12
bizarre même en cherchant sur le web ils parlent bien de la touche F8 au démarrage. Faut appuyer dessus juste après que toutes les infos correspondant au BIOS se soient affichées.
Marsh Posté le 13-07-2004 à 22:40:23
je sais j'ai ça au boulot mais ici,justement il n'y a aucune info concernant le bios avec mon XP j'ai essayé à plusieurs reprises de pousser sur F8 probablement pas au bon moment car je n'ai pas de repère il passe de l'écran bleu windows directement au choix de la session
Marsh Posté le 13-07-2004 à 22:41:29
je sais j'ai ça au boulot mais ici,justement il n'y a aucune info concernant le bios avec mon XP j'ai essayé à plusieurs reprises de pousser sur F8 probablement pas au bon moment car je n'ai pas de repère il passe de l'écran bleu windows directement au choix de la session
Marsh Posté le 13-07-2004 à 22:42:30
c'est vraiment pas cool ça
ton Norton est à jour? parce que ça m'étonne qu'il ne trouve pas ce trojan
edit : ah non tu as NAV et il ne détecte pas les "extended threats" donc c'est normal que nav ne le trouve pas
Marsh Posté le 13-07-2004 à 22:47:13
bon j'ai trouvé ce lien. Lis-le pour l'éradication.
http://assiste.free.fr/p/internet_ [...] istbar.php
Vois ce que tu peux comprendre et demain si tu veux je t'aide à le virer ok?
edit : essaye tout d'abord de télécharger les fichiers suivants :
cleanup engine (exe + clup) et suit les instructions
http://www.idepro.fr/kaspersky/inf [...] ?id_net=68
Marsh Posté le 13-07-2004 à 22:50:00
oups j'ai édité mon précédent message avec ça
Citation : edit : essaye tout d'abord de télécharger les fichiers suivants : |
Marsh Posté le 14-07-2004 à 00:46:27
calimerette a écrit : je sais j'ai ça au boulot mais ici,justement il n'y a aucune info concernant le bios avec mon XP j'ai essayé à plusieurs reprises de pousser sur F8 probablement pas au bon moment car je n'ai pas de repère il passe de l'écran bleu windows directement au choix de la session |
Trop tard tu doit appuyer aussi tôt que tu voit l'ordinateur alumé
quand ilfait les tests mémoire + disque. Et au moment ou il va charcher le boot il va te donner le mode sans echec avec réseux.
Pour que ça marche en mode sans échec t'a besion du nom_d_utilisateur et de ton mot_de_passe internet.(modem usb ou réseau).
Marsh Posté le 14-07-2004 à 08:06:39
c'est ce que j'ai fait pourtant mais aucun test n'est visible comme je l'ai dit plus haut; j'essaierai encore ce soir
Marsh Posté le 14-07-2004 à 09:43:47
t'embête pas pour le moment. Essaye directement le nettoyeur fait par Kaspersky
télécharge le fichier Cleaner.zip
décompresse le dans un répertoire juste pour lui. Tu dois avoir un fichier exe et un fichier de définition qui va avec (.clup)
tu lances l'exe et normalement il doit te trouver le trojan et l'éliminer. tu rebootes et scan chez Trend pour voir si il te le trouve encore.
si ça il n'arrive pas à le virer. esaaye d'abord de désactiver la restauration système d'XP et refait tout.
Marsh Posté le 11-07-2004 à 13:31:40
Bonjour,
j'ai scanné mon PC avec TREND MICRO qui a détecté un trojan : "troj ISTBAR.K" et pas possible de l'éliminer avec ce programme. J'ai également essayé avec "spybot search & destroy" et "spyware remover" qui ne le détectent pas. Je n'ai actuellement aucun problème avec mon PC mais j'aimerais savoir comment faire pour le "nettoyer". Il se trouve dans programme files; dois-je simplement éliminer le programme ? mais s'il a des ramifications ???
merci pour votre aide