Virus ISTsvc ?

fabani -  
 alou38 -
Bonjour à tous,
Je ne sais pas si c'est parce que je suis moi-même concerné en ce moment, mais j'ai comme l'impression qu'il y a une Recrudescence des virus...Bref, quoi qu'il en soit, j'ai de gros problèmes avec internet explorer qui m'ouvre des pages (parfois cochones!) alors que je ne lui ais rien demandé...J'ai télécharger hijackthis, et voilà ce qu'il a trouvé (merci d'avance à celui ou celle qui pourra m'aider) :

Logfile of HijackThis v1.97.7
Scan saved at 22:38:31, on 08/05/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\SysUpd.exe
D:\Program Files\ISTsvc\istsvc.exe
D:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
D:\Program Files\QuickTime\qttask.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\System32\wpabaln.exe
D:\Program Files\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://if.searchcentrix.com/sidecat.jsp?p=98567&appid=21&id=001250816424856
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=132047
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=132047
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://if.searchcentrix.com/sidecat.jsp?p=98567&appid=21&id=001250816424856
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - D:\WINDOWS\bi.dll
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - D:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-DFF7-EC6BF4D5FA7D} - D:\WINDOWS\gsim.dll
O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - D:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - D:\WINDOWS\wsem217.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - D:\WINDOWS\Downloaded Program Files\bridge.dll
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - D:\WINDOWS\nem216.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Program Files\ISTbar\istbar.dll (file missing)
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - D:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
O4 - HKLM\..\Run: [SysUpd] D:\WINDOWS\SysUpd.exe
O4 - HKLM\..\Run: [IST Service] D:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "D:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] D:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006_cracks.cab
O16 - DPF: {69432678-2906-2705-1128-068943397621} -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/7d90ae05585062/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/new/bridge.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} (MoneyTree Dialer) - http://cdn.climaxbucks.com/internet-optimizer/080703/UniDistIOcrack.CAB

28 réponses

  • 1
  • 2
  1. bernie61
     
    Bonsoir
    A lire ceci
    http://www.liutilities.com/products/wintaskspro/processlibrary/istsvc/
    tu peux faire FIX mais aussi effacer le pgm suivant sur ton ordi
    D:\Program Files\ISTsvc\istsvc.exe
    Mais pour être sur fais un zip de ce fichier avant de n'effacer que le exe, par après si tout tourne tu effaces le zip aussi sinon tu pourras tjs le récupérer
    et FIX pour ceci
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://if.searchcentrix.com/sidecat.jsp?p=98567&appid=21&id=001250816424856
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=132047
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=132047
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://if.searchcentrix.com/sidecat.jsp?p=98567&appid=21&id=001250816424856
    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00CO2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
    O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - D:\WINDOWS\2_0_1browserhelper2.dll
    04FD64497} - (no file)
    O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Program Files\ISTbar\istbar.dll (file missing)
    mais là pour le dernier tu fais aussi recherche ISTBAR sur ton ordi et tu effaces
    voilà en fais c'est donc 2 trojan Istbar et Istsvc
    A+
    0
  2. titus
     
    vla mois aussi j ai se probleme et j ai les virus suivant; xxxtoolbar,elitebar,ISTsvc et je n arrive pas a les enlever comment faire ????
    0
    1. nrv2000
       
      ISTscv c'est un espion qui observe tes habitudes online. Tu peu le virer dans programme files\ISTsvc..et windows\ISTsvc.log
      Le mode sans echec est une solution pour les virer de la corbeille.

      pour ma part il est imediatement revenu lorsque je me suis connecte a wanadoo\jeux classiques
      0
    2. Fred
       
      Faites une recherche de istsvc dans la base de registres HKLM et vous tomberez sur tous les liens qui s'auto-activent à la première connexion IE
      0
  3. alain
     
    je suis débutant et j'ai chopé istsvc. comment m'en débarasser?
    merci car là ça rame trop sur internet.
    0
  4. Kstela
     
    Moi aussi, j'ai été infecté depuis le 29/12
    j'ai trouvé une solution, qui semble fonctionné. A défaut d'autres choses, la voici

    Tout ce qui suit a été réalisé sur un système XP familial – SP1 – IE 6.0 – SP1
    En ce qui concerne "Elite Toolbar" j'ai réussi à la supprimer, mais je n'ai pas noté la procèdure.
    Elle est positionnée dans C:\WINDOWS\ISTbar

    Le compte rendu complet des suppressions est assez long, aussi, je ne donne ici que l'essentiel

    1) Démarrer l'ordinateur en mode sans échec
    2) Ouvri une session
    3) Ouvrir l'explorateur Windows, vérifier si les fichiers ou les dossiers suivants sont existant et si oui supprimer.
    a) c:\ADJAD.exe
    b) c:\FADJAD.exe
    c) c:\RTADJD.exe
    d) c:\program files\ISTSVC\* (tous le dossier)
    e) c:\windows\KHVTM.exe (qui semble avoir un lien avec le reste)
    f) c:\windows\prefetch\ (Note : les numéros peuvent différents)
    GASJAD.EXE-0439E8D4
    ISTSVC.EXE-3AC062C6
    RTADJD.EXE-0E918DA9
    KHVTM.EXE-2F4DB2F0
    FADJAD.EXE
    4) Lancer REGEDIT
    a) HKEY_LOCAL_MACHINE\SOFTWARE\ISTsvc (Supprimer tous à partir de ce niveau)
    b) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ISTsvc (Supprimer tous à partir de ce niveau)
    c) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    1. IST Service (supprimer)
    2. valeur qui pointe sur c:\windows\KHVTM.exe (supprimer)
    d) HKEY_LOCAL_MACHINE`SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc
    e) HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603
    1. valeur 000 qui pointe sur KHVTM (supprimer)
    f) HKEY_LOCAL_MACHINE\SOFTWARE\ohbbackup (supprimer, ne doit contenir EliteToolBar

    Si vous voulez vraiment faire propre supprimer tous ce qui se trouve dans
    1. C:\TEMP (pour ceux qui ont modifié les variables TMP et TEMP) sinon dans C:\WINDOWS\TEMP
    2. C:\WINDOWS\system32\config\systemprofile\Cookies\* (tout le contenu)
    3. C:\Documents and Settings\< les utilisteurs du micros >\Cookies\*

    Voilà, je crois que je n'ai rien oublié.
    Cela semble fonctionner sur mon micro, jusqu'à la prochaine fois !!!
    Du courage

    Mots CLES = Vous pouvez utiliser ces mots clés pour faire des recherches soit avec l'explorateur
    ou dans la base de registre, ça aide !
    ist
    xxxtoolbar
    ISTsvc
    Khvtm
    Adjad
    Fadjad
    Rtadjd
    Elite toolbar
    Porn.bmp
    Porn.ico
    sexlist
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Louis LAURENT
     
    Bonjour,
    Il semble que pour une fois BILL s'intéresse aux failles de ses produits et développe actuellement un éradiqueur de Spyware qui promet.
    Aller à l'URL suivante et télécharger la version Béta de Microsoft Antispyware.
    http://www.microsoft.com/athome/security/spyware/software/default.mspx
    L'installer sur votre machine et utiliser le soft.
    Normalement il supprime ISTSVC et bien d'autres saletés.
    PS : Malheureusement pour les non anglophone, le produit est encore en anglais.
    Bonne chance
    @+
    0
    1. ANUBIS
       
      Merci pour le lien anti-spywar microsoft car il é trop fort tout ce ki ma enlever dont istsvc et plein dotre ouahouuuuuuuuuuuu trop content!!
      0
  7. genie
     
    il faut executer "c:\program files\istsvc istsvc" /remove
    et virer apres tout ce qui concerne istsvc dans la base de registre et enfin supprimer c:\program files\istsvc
    0
  8. alou38
     
    j'ai installé comme prog a-squared gard et il empèche ISTsvc de s'executer
    0
  9. kaysun
     
    moi, j'ai fait les différente solution et istsvc reste encore!!
    0
  10. Seba
     
    Voici commen retire

    istsvc.exe

    executer la commande suivante

    "X:\Program Files\ISTsvc\istsvc.exe" /remove

    X= le disque ou il est
    0
  11. alou38
     
    merci c simpat
    mé mintenant lol j'ai <strong>IC<strong/> je croi que c un trojan putain :-( lol)-:
    0
  12. virus
     
    J'ai eu plusieurs fois les visites de istsvc istbar en me demandant comment il avait bien pu attérir chez moi.

    La première fois, j'ai réussi assez laborieusement à le supprimer et je pense avoir des souvenirs comment il a pu attérir chez moi. Tous les soirs à la minute près j'avais un truc qui arrivait "installer........... (site de confiance)) je refusais mais ça me revenait une deuxième fois. Par contre je sais pas comment il a fait pour finir par s'installer.

    Par contre la deuxième fois, j'étais très étonnée de l'avoir attrapé.
    Or actuellement je viens de visiter mon firewall norton et j'ai vu avec grande stupeur que dans le contrôle des programmes géré par norton, istsvc était en "tout autoriser" donc je suis pas étonnée qu'il soit revenu tout seul.

    Par contre ça me fait un peu plus peur car je pense qu'il s'est déguisé sous une forme d'un autre programme pour que j'autorise son accès.

    Voilà si ça peut aider quelqu'un.
    0
  13. 0ri0n
     
    Alors, je me suis bien cassé la tete avec ce probleme, et n'ayant pas trouvé la solution sur le net, j'ai fini par la trouver moi meme :

    Dejà je vous conseille de lancer, spybot, et antispyware de microsft, ainsi que votre reg edit, vous devez etre déconnecté d'internet.

    scanner avec spybot et détruisez, pour celles que vous n'arrivez pas a détruire faites le avec regedit en recherchant les clefs, idem scannez avec antispyware, bref virez tout !

    Et c'est là le plus important, ne vous reconnectez surtout pas desuite, car a votre connection ist reviendra avec ses amis power scan, sidefind etc... Il vous reste un worm sur votre pc, la soluce est d'installer un firewall comme tiny (freeware) et de scrupter les programmes et les ports ouverts, vous trouverez le worms (qui a un nom plutot bizarre), il ne restera qu'a faire un fin de tache dessus pour aller le détruire, et hop le tour et joué. (je ne vous conseille pas d'installer le firewall avant car apparement ist aurait des tendances a le rendre fou).

    En tout cas j'ai réussi a m'en débarasser, j'espere que vous y parviendez, bravo aux développeurs de cette saloperie :s
    0
  14. Leondit
     
    Salut.
    Décidément, c'est une sacré saloperie ! Après de multiples tentatives en utilisant spybot S&D, ainsi que a2free, je ne suis pas parvenu à éradiquer ce bordel. J'ai répété la manip plusieurs fois, enmode normal ainsi qu'en mode sans échec, mais rien n'y a fait. Vraiment agaçant ce truc.
    Finalement, jai tenté la commande :
    "C:\Program Files\ISTsvc\istsvc.exe" /remove
    que j'ai trouvé sur ce forum et, magie, la saloperie semble effectivement être partie. Un grand merci aux contributeurs qui ont suggéré cette manip !
    0
  15. alex
     
    Oui merci g enfin viré ce salopard qui me mettait toujours du porno en page d'acceuil !
    A+
    0
  16. tralala
     
    "C:\Program Files\ISTsvc\istsvc.exe" /remove

    CA MARCHE !!!
    Il faut ensuite nettoyer la base de registre, via Ad-aware par exemple
    0
  17. Klo
     
    Bonjour à tous
    effectivement "c:\program files\ISTsvc\istsvc.exe" /remove... ça marche !!!
    Je passe ad-aware pour killer le reste.
    Merci pour les infos
    0
  18. francis
     
    Salut a tous.
    Moi j’ai tous simplement fait panneau de configuration, ajout et suppression de programmes
    Et désinstaller (ISTSVC.EXE).
    Si par cette manip cela fonctionne COOL non.
    A+
    0
    1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      Bonsoir TOA

      ben disdonc, t'en a mis du temps pour répondre!!!!!!!!!

      rendez-vous dans 6 mois!!!LOL
      0
  • 1
  • 2