Come eliminare Istbar?

[Vittopizzis]

Salve a tutti, ho un grosso problema.

Il computer della mia ragazza e' stato contagiato da un maledetto spyware chiamato ISTBAR.

Le ho provate tutte, ogni programma...

adaware

spybot

xostspy

microsoft antispyware

TUTTI me lo riconoscono, me lo eliminano, ma ZAC come riavvio ecco che se faccio una scansione lo schifoso e' ancora li !!!

Nel registro non so mettere il naso sinceramente e ho anche paura di fare danni, spero ci sia qualche esperto che abbia la voglia di aiutarmi.

IST.istbar (browser modifier)

e' uno spyware pericoloso ?

GRAZIE MILLE

Modificato August 12, 2005 da simple

[Yusuke]

Stai tranquillo, anch'io moooolto tempo fa me lo presi... Aspetta un po' e ti indico tutte le procedure

[Danix]

Non ti resta che provare Hijackthis

guida

[Yusuke]

Non ti resta che provare Hijackthis 

75886[/snapback]

Danix, Hijackthis è uno strumento molto potente ma non sempre occorre neccesariamente utilizzarlo, a volte basta semplicemente sapere di cche virus/spyware si tratta e seguire le procedure di rimozione dal registro :P

[Danix]

Beh li ha provati tutti.....ha fatto 30, facciamo 31!

Oppure può seguire questa procedura

O scaricare il tool symantec che allego

FxIstbar.exe

[Yusuke]

START/ESEGUI..../REGEDIT

Portati qui:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

ed elimina se c'è, dal pannello destro questo:

aupdate.exe

Portati qui:

HKEY_CLASSES_ROOT\CLSID

ed elimina la chiave/cartella:

{69550BE2-9A78-11D2-BA91-00600827878D}

Portati qui:

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Explorer Bars

ed elimina le chiavi/cartelle che trovi.

In caso non ci fosse più crea la chiave/cartella "toolbar" in:

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer

click col destro in uno spazio vuoto in mezzo ad una delle chiavi/cartelle contenute all'interno della medesima sopra.

Scegli nuovo/key e chiamala toolbar

Riavvia il computer, vai su RISORSE DEL COMPUTER/STRUMENTI/OPZIONI CARTELLA/VISUALIZZA/VISUALIZZA I FILE NASCOSTI...

Vai su START/CERCA o TROVA/e digita:

aupdate.exe <--- se la trova eliminala

aupdate.conf <--- se la trova eliminala

aupdate.trk <--- se la trova eliminala

aupdate_uninstall.exe <--- se la trova eliminala

Apri Internet Explorer/Opzioni Internet/Programmi/Ripristina impostazioni web...

Questa qui è una delle varianti, se trovi molte di queste cose e riesci ad eliminarle la barra non ti dovrebbe più comparire altrimenti proviamo con un'altra variante

Fammi sapere....

[vipertre]

Anche io avevo preso due virus denominati IST.istbar,uno chiamato power scan.Poi con spybot sono stati eliminati.Consiglio dalla mia esperienza di installarti

Vittopizzis,uno potente spybot ed anche un firewall,se non lo hai installato,visto che non ti fai più sentire,facci sapere,pechè vorremo risolvere i tuoi problemi ,io in minor modo,perchè non sono un esperto o un moderatore,ma sono un utetente che con quetsi problemi convive ogni giorno.ciao e a presto.

[Vittopizzis]

scusate se non mi sono fatto sentire, ma sono andato a letto e mi sono svegliato ora.

Provo subito le procedure da voi elencate.

Per la cronaca, ho ANTIVIR come antivirus e OUTPOST PRO 2.6 come firewall.

Il kit della symantec l=avevo scaricato anche io, ma ni dava "istbar non rilevato" MOOOOOOOLTO STRANA STA COSA !!!!

Su internet explorer, non mi compare questa schifosa barra, lo vedo solo nel momento in cui faccio una scansione con gli antis[yware.

Cmq ringrazio tutti per i consigli e mi metto al lavoro.

Grazie mille !

Ottimo forum !

[vipertre]

non ti preoccupare,che anche io sto ancora dormendo ,infatti non avevo visto l'ora della discussione .ciao e facci sapere.

[Vittopizzis]

Allora andando a spulciare nel registro tutto era in ordire, nessuna traccia di quanto indicatomi.

Anche cercando i file aupdate.exe ecc... non mi trova nulla.

Dalla scansione con microsoft antispyware compare questo:

HKEY LOCAL MACHINE/SOFTWARE/istbar

HKEY LOCAL MACHINE/SOFTWARE/istbar/historyfiles C:/program files/istbar/xml istbat. xml1

HKEY LOCAL MACHINE/SOFTWARE/istbar/historyfiles C:/program files/istbar/imagemap_normal.bmp1

HKEY LOCAL MACHINE/SOFTWARE/istbar/historyfiles C:/program files/istbar/imagemap_over.bmp1

HKEY LOCAL MACHINE/SOFTWARE/istbar/historyfiles C:/program files/istbar/version.txt1

Che mi dite ragazzi ??

Stiamo scoprendo qualcosa ?

java script:emoticon(':blink:')

smilie

[Kuma]

Pare che le voci siano nel registro, allora da START\ESEGUI digita regedit, portati alle chiavi indicate ed elimina (dal pannello di destra) le voci in rosso:

HKEY LOCAL MACHINE/SOFTWARE/istbar

HKEY LOCAL MACHINE/SOFTWARE/istbar/historyfiles C:/program files/istbar/xml istbat. xml1

HKEY LOCAL MACHINE/SOFTWARE/istbar/historyfiles C:/program files/istbar/imagemap_normal.bmp1

HKEY LOCAL MACHINE/SOFTWARE/istbar/historyfiles C:/program files/istbar/imagemap_over.bmp1

HKEY LOCAL MACHINE/SOFTWARE/istbar/historyfiles C:/program files/istbar/version.txt1

Portati quindi in C:/program files e controlla se hai una cartella chiamata "istbar"

[Vittopizzis]

ok ragazzi devo scappare ora stasera provo.

grazie

[Kuma]

[ot]

Volevo anche aggiungere che questa IstBar (come molto altro malware) non si installa da sola... a volte basta leggere attentamente quello che abbiamo scaricato (come in questo esempio)

oppure il link dove stiamo cliccando (attenzione a chi offre suonerie, Mp3 e sfondi gratis)

chiaramente scaricando Crack o KeyGenerator saremo molto più esposti a queste infezioni quindi EVITATELO e come ripetuto più volte il miglior antivirus è quello seduto sulla poltrona davanti al monitor (B)

Modificato August 12, 2005 da Kuma

[Vittopizzis]

Allora, ecco il punto della situazione.

Ieri ho avuto una pesante giornata di lavoro e non ho potuto lavorare.

Ho provato a cancellare le voci dal registro, ma non mi lascia eliminarle.

Stavo ora pensando di provare a cancellarle in modalita' provvisoria.

Dite che e' una cosa fattibile ?

Sinceramente navigando, e usando firefox non ho nessun tipo di problema a causa di ISTBAR, ma mi secca che se faccio una scansione antispyware quello e' sempre li'.

Speriamo...

fatemi sapere se avete novita'.

Grazie

[Kuma]

Stavo ora pensando di provare a cancellarle in modalita' provvisoria.

Dite che e' una cosa fattibile ?

Sembrerebbe che le chiavi siano in uso.... prova quindi dalla modalità provvisoria, controlla comunque con il task manager di non avere nessun nome di quelli presenti nelle chiavi.

Senti mi viene un dubbio.... visto che non te le lascia cancellare le chiavi sono in uso, ma dici che Spybot li ha eliminati... tutto è molto strano <_<

Hai impostato il Pc per visualizzare cartelle e file nascosti e hai provato a vedere lo stesso percorso indicato dalle chiavi ????

Dovrebbe essere tutto in C:/program files/istbar

Poi un'altra cosa... hai per caso la versione esatta del Malware ????

_________________________________________________________________

Se ancora dovessi fallire, il tool della Sophos dovrebbe rimuovere tutto (chiavi comprese) devi però usarlo seguenso la procedura indicata:

Scarica questo tool:

Sav32 CLI

Estri il file in una cartella e copia tutta la cartella che contiene i file estratti in un supporto protetto da scrittura (CD-RW)

Riavviail Pc in Modalità Provvisoria con Prompt dei comandi

Ora non ricordo se XP abbia questa opzione, penso comunque che usando la console (opzione "R") sia la stessa cosa ...

Inserisci il CD (la lettera D: è solo un esempio ...usa la lettera del tuo lettore)

Al prompt dei comandi digita: D: [+invio]

Quando sarai nell'unità digita: CD SAV32CLI ( dove "SAV32CLI" è il nome della cartella che hai sul CD)

Quindi digita questo comando: SAV32CLI -REMOVE -P=C:\LOGFILE.TXT

rispetta gli spazi...

Un log file verrà creato nella radice C:\ del tuo disco fisso, postalo che vediamo che cosa ha rimosso....

____________________________________

usando firefox non ho nessun tipo di problema a causa di ISTBAR

Io penso allora che la colpa sia di un ACTIVEX ... tecnica usata da alcune versioni di ISTbar (Non caricando Active X firfox non carica nemmeno il malware....)

Posta anche il log di Hijack che vediamo cosa si carica

[Vittopizzis]

ok allora provo hijackthis e posto.

In modalita' provvisoria non ho risolto il problema.

[Vittopizzis]

Ecco il log:

Ah ho anche controllato i file nascosti, nel registro nulla e nemmeno in c/program files/ istbar ... la cartella non esiste proprio.

Cmq spybot nn lo cancella...mi fa riavviare il computer ma poi nn lo elimina.

Gli altri programmi sembrano eliminarlo, ma alla fine compare di nuovo.

Edit: modificato il messaggio mettendo il log come allegato, come da regolamento di sezione. Sei pregato, la prossima volta, di allegare il file di log e di non fare un semplice copia - incolla. Lo Staff.

log.txt

Modificato August 13, 2005 da Lorenz

[Lorenz]

Vittopizzis, dovresti avere un trojan ed un worm sul tuo PC, per prima cosa, scarica e lancia da modalità provvisoria Stinger, e poi, segui la procedura indicata da Kuma e lancia il tool di Sophos SAV32CLI, che ti dovrebbe ripulire dal trojan, fatto questo, rilancia Hijackthis e posta di nuovo il log, MI RACCOMANDO come allegato, trovi tutte le istruzioni in alto quando invii il messaggio di risposta.

[Vittopizzis]

Chiedo umilmente scusa per il log file...dalla fretta non avevo notato le indicazioni...!

Cmq nel frattempo ho lanciato il Sophos SAV32CLI ed effettivamente mi ha trovato un trojan...

Allego il log di SOPHOS...

e speriamo...

ora eseguo un altra scansione con hijackthis e postero' il log anche di quello...

GRAZIE A TUTTI PER IL TEMPO CHE MI STATE CONCEDENDO...

logfile_2.txt

[Vittopizzis]

Ecco anche il nuovo log di hijackthis...

hijackthis.log

[Lorenz]

Vittopizzis, il log non mi pare molto diverso da prima... il riferimento a msupdate32 è rimasto, e anche gli altri, prova a lanciare anche Stinger che ti ho linkato poco più su, e ripeti la solita trafila, riallega il log di Hijackthis.

[Yusuke]

Fai una scansione online con Panda: http://www.pandasoftware.com/products/acti...n_principal.htm

e allegami qui il rapporto

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disattiva il RIPRISTINO DI CONFIGURAZIONE su tutte le unità

(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo un paio di giorni da questa procedura)

Avvia il sistema in modalità provvisoria

Avvia Hijack e clicca su “do a system scan only”

Metti la spunta a queste voci e clicca su “fix checked”

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [yahoo inc.] ypages.exe

O4 - HKLM\..\Run: [microsft Updates] msupdate32.exe

O4 - HKLM\..\RunServices: [microsft Updates] msupdate32.exe

O4 - HKLM\..\RunServices: [yahoo inc.] ypages.exe

O4 - HKCU\..\Run: [yahoo inc.] ypages.exe

START/ESEGUI..../digita REGEDIT

Portati qui:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess

Nel pannello di destra modifica il valore di questa stringa e riportalo a "2"

"Start" = "4"

Portati qui:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Nel pannello di destra modifica il valore di questa stringa e riportalo a "0"

"restrictanonymous" = "1"

Portati qui:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\

parameters

Nel pannello di destra modifica il valore di queste stringhe e riportalo a "1"

"AutoShareWks" = "0"

"AutoShareServer" = "0"

Portati qui:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\

parameters

Nel pannello di destra modifica il valore di queste stringhe e riportalo a "1"

"AutoShareWks" = "0"

"AutoShareServer" = "0"

# Navigate to the subkey:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Nel pannello di destra modifica il valore di questa stringa e riportalo a "0"

"DoNotAllowXPSP2" = "1"

Esci dal registro di sistema

Collegati col WINDOWS UPDATE dal menù START e installa il service pack 2 che offre una maggiore e migliore protezione

Adesso la cosa più importante è che tu faccia la scansione con panda così vediamo dove si alloca questo worm poi ripostami anche il log

[Vittopizzis]

Ho lanciato anche STINGER...

ecco il log

hijackthis.log

[Vittopizzis]

Guardando nel firewall ho scoperto che il MSUPDATE32 era tra le applicazioni consentite...ora l'ho bloccato...magari serve...voi che dite ?

per la cronaca sto eseguendo lo scan con panda...

dopo vi dico...

[Vittopizzis]

Questo e' il log di panda...non mi piace per nulla a vederlo cosi'...

Activescan.txt