Comment supprimer ISTBAR Hijacker?

Résolu/Fermé
lou_orbea64 Messages postés 38 Date d'inscription mercredi 15 avril 2009 Statut Membre Dernière intervention 27 juin 2013 - 10 mai 2011 à 09:01
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 11 mai 2011 à 08:46
Bonjour,

Depuis quelques temps quand je fais un nettoyage avec "Glary Utilities", il apparaît un logiciel malveillant du nom de ISTBar Hijacker. J'ai essayer d'aller jusque dans le registre pour le supprimer mais rien à faire il est toujours là. Mieux, j'ai utilisé "Symantec Adware.Istbar / Trojan.ISTsvc Removal Tool 1.1.0" spécialement conçu pour détecter et éradiquer ce trojan et il ne me le détecte pas.
J'en appelle à ceux qui ont eu ce problème, au champions de l'informatique et autres de m'indiquer comment me débarrasser de ce vers qui de plus se lance au démarrage de windows et quand j'essais de refuser le démarrage rien n'y fait il n'est jamais supprimer et se lance tout de même.

Je suis sous windows xp sp3 avec AVAST pour anti virus et Comodo pour parefeu.
Merci à tous par avance.

A voir également:

13 réponses

Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
10 mai 2011 à 09:10
Bonjour,

il est pas jeune celui-là.

===

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes ' Anti-Malware (MBAM) et enregistre le sur ton Bureau.

choisis la version free.

hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

===
Fais redémarrer l'ordi.

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.
0
lou_orbea64 Messages postés 38 Date d'inscription mercredi 15 avril 2009 Statut Membre Dernière intervention 27 juin 2013
10 mai 2011 à 11:57
Bonjour et merci Lyonnais 92 pour votre rapidité et votre dextérité.

J'ai suivi vos directives à la lettre mais Malwarebytes n'a rien détecté. J'ai donc recommencé une analyse avec l'examen complet et là toujours rien.
Voici le rapport :


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6543

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10/05/2011 10:16:27
mbam-log-2011-05-10 (10-16-27).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 244579
Temps écoulé: 33 minute(s), 38 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


De plus le téléchargement de ZHPDiag ne se fait pas. Donc pour le moment je suis bloqué au téléchargement de ce logiciel.

C'est tout de même bizzare que Glary Utilities détecte ISTBar Hijacker. De plus j'ai suivi le chemin dans le registre et j'aterri sur une fichier appelé autoupdater dont le chemin est :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: AutoUpdater

et nommé par Glary : IstBar Hijacker
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
10 mai 2011 à 12:27
Re,

bizarre que le téléchargement ne se fasse pas.

Il ne serait pas bloqué par le parefeu ? ou par le navigateur ?

Tu n'as pas un message qui s'affiche ?
0
lou_orbea64 Messages postés 38 Date d'inscription mercredi 15 avril 2009 Statut Membre Dernière intervention 27 juin 2013
10 mai 2011 à 13:07
Re,

j'ai effectivement Comodo en parefeu et j'utilise Chrome comme navigateur.
Par contre j'ai réussi à virer ISTBar Hijacker en utilisant "Navilog1" en utilisant le la fonction de recherche manuelle et non adaware.
Je vais essayer de télécharger ZHPDiag en fermant Comodo et je vous dirais ce qu'il en est. De plus je finirais aussi les manip que vous m'avez indiquées et je transmettrais le rapport.

Merci beaucoup.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
lou_orbea64 Messages postés 38 Date d'inscription mercredi 15 avril 2009 Statut Membre Dernière intervention 27 juin 2013
10 mai 2011 à 15:35
J'ai essayé de télécharger ZHPDiag en ayant fermé parefeu, antivirus et adaware mais rien n'y fait. Le logiciel refuse de se télécharger.
Je pense que le problème peut venir du site ou du serveur, non?
0
lou_orbea64 Messages postés 38 Date d'inscription mercredi 15 avril 2009 Statut Membre Dernière intervention 27 juin 2013
10 mai 2011 à 18:24
Bon voilà.

J'ai enfin réussi à insérer le fichier dans "cijoint" mais pas sans mal.

voici donc le lien :

http://www.cijoint.fr/cjlink.php?file=cj201105/cijOtl1OXW.txt

Merci encore pour tout.
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
10 mai 2011 à 20:59
Bonsoir,

Réactive la restauration système.

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

[HKCU\Software\Agence-Exclusive]
[HKCU\Software\Grand Virtual]
O43 - CFD: 16/04/2011 - 01:00:00 - [671360] ----D- C:\Documents and Settings\THIERRY\Application Data\Agence-Exclusive
[HKCU\Software\Agence-Exclusive]
C:\Documents and Settings\THIERRY\Application Data\Agence-Exclusive
O69 - SBI: SearchScopes [HKCU] {D3D5C564-51DD-4678-85FC-04507A8F5678} - (Lycos) - http://www.lycos.fr
O64 - Services: CurCS - E:\CDriver.sys (.not file.) - MSICDSetup (MSICDSetup)  .(...) - LEGACY_MSICDSETUP



Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.
0
lou_orbea64 Messages postés 38 Date d'inscription mercredi 15 avril 2009 Statut Membre Dernière intervention 27 juin 2013
11 mai 2011 à 00:18
Voilà j'ai suivi vos directives à la lettre et j'ai redémarré le pc. Au redémarrage, il m'a été demandé de réctiver sous 3 jours ma version de windows.
Voici le rapport de ZHPFix :


Rapport de ZHPFix 1.12.3282 par Nicolas Coolman, Update du 06/05/2011
Fichier d'export Registre :
Run by THIERRY at 11/05/2011 00:05:56
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
HKCU\Software\Agence-Exclusive => Clé supprimée avec succès
HKCU\Software\Grand Virtual => Clé supprimée avec succès
O69 - SBI: SearchScopes [HKCU] {D3D5C564-51DD-4678-85FC-04507A8F5678} - (Lycos) - http://www.lycos.fr => Clé supprimée avec succès
O64 - Services: CurCS - E:\CDriver.sys (.not file.) - MSICDSetup (MSICDSetup) .(...) - LEGACY_MSICDSETUP => Clé supprimée avec succès

========== Dossier(s) ==========
C:\Documents and Settings\THIERRY\Application Data\Agence-Exclusive => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\documents and settings\thierry\application data\agence-exclusive => Fichier absent


========== Récapitulatif ==========
4 : Clé(s) du Registre
1 : Dossier(s)
1 : Fichier(s)


End of the scan


Encore merci pour tout.
Vous êtes vraiment compétent.
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
11 mai 2011 à 00:45
Bonsoir,

tu as réactivé ton Windows ?

===


Supprime la version 22 de java (Panneau de configuration, Ajout/suppression de programmes).

Mets à jour OpenOffice (version 3.2)

Mets à jour Avast (version 6)

Réactive la restauration système :

Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.
0
lou_orbea64 Messages postés 38 Date d'inscription mercredi 15 avril 2009 Statut Membre Dernière intervention 27 juin 2013
11 mai 2011 à 01:09
Voilà,

je crois tout est ok. J'ai suivi vos directives à la lettre, windows est réactivé j'ai supprimé la V22 de Java, etc, etc....
J'ai pris une sacrée leçon de nettoyage.
Pouvez vous me préciser si il y a encore des manipulations à faire, juste pour savoir si je peux clôturer le sujet.

Encore merci beaucoup.

@+
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
11 mai 2011 à 01:15
Re,

de rien pour l'aide, ce fut avec plaisir.

Il reste à nettoyer "les outils" :

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

===

Pour le reste, Windows et le reste des logiciels à jour,

des logiciels légitimes,

réfléchir avant de cliquer (plus ça brille, plus c'est suspect),

tu utilises MBAM de temps en temps après mise à jour.

Bon surf.

===

Tu peux mettre en résolu.
0
lou_orbea64 Messages postés 38 Date d'inscription mercredi 15 avril 2009 Statut Membre Dernière intervention 27 juin 2013
11 mai 2011 à 02:15
Voilà c'est tout clair.

Encore un grand merci.

Cordialement.

@+
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
11 mai 2011 à 08:46
Bonjour,

de rien pour l'aide, ce fut avec plaisir.
0