Salut,
Voila ce qui revient fréquemment sur mon PC lorsque je fais des analyses Ad-Aware ou Spybot… L’IST ne peut-pas être supprimé par Spybot visiblement…
Je précise que je n’ai pas de problèmes de page de démarrage…
Le Search Assistant est constamment présent dans mon menu Ajout/Suppression de Programmes même si je le désinstalle, il réapparaît…
Rien de grâve je pense mais si le problème pouvait être résolu…
Donc si vous avez des pistes…
Merci d’avance!
Regarde ici et bon courage
http://www.echu.org/portail/modules/sections/index.php?op=viewarticle&artid=23
Ouais cool!
Est-ce que tu aurais aussi le lien vers les tomes 2 et3??
;]
tu le supprimes la restauration système désactivée et en mode sans échec?
est ce que tu as vérifié que tu n’es pas ce programme dans programme files + actif au démarrage (voir msconfig)
[Windows SA] C:\Program Files\WindowsSA[b]omniscient.exe [/b]
Process File: omniscient or omniscient.exe
Process Name: Search Assistant adware
http://www.liutilities.com/products/wintaskspro/processlibrary/omniscient/
Tu peux faire un log hijackthis pour vérifier exactement son implantation (tu sais le tome 2 & 3 … :whistle: )
Merci pour ces infos…
Effectivement, je n’ai pas fait de désinstall’ en mode sans échec…
Par contre, Windows SA, je ne le trouve pas dans mon répertoire. J’ai Windows NT mais SA non…
:oui: fait un log hijack (bis)
C’est fait: voici donc mon ‘log’:
Bonne lecture!
Logfile of HijackThis v1.99.1
Scan saved at 20:46:57, on 07/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\McAfee.com\SpamKiller\SpamKiller.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\FV\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = 69.61.38.52
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM…\Run: [MBM 5] “C:\Program Files\Motherboard Monitor 5\MBM5.EXE”
O4 - HKLM…\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM…\Run: [Jet Detection] “C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe”
O4 - HKLM…\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM…\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe files\mcafee.com\agent\mcagent.exe
O4 - HKLM…\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\mcupdate.exe
O4 - HKLM…\Run: [VSOCheckTask] “c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe” /checktask
O4 - HKLM…\Run: [VirusScan Online] “c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe” /disabled
O4 - HKLM…\Run: [CloneCDTray] “C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe” /s
O4 - HKLM…\Run: [3ulfW] C:\WINDOWS\hcofcfxs.exe
O4 - HKLM…\Run: [¢¸u04C
}ïÁzî[8C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\hcofcfxs.exe
O4 - HKLM…\Run: [¢¸u0Ô@ÔÁß]ú"üüiC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\hcofcfxs.exe
O4 - HKLM…\Run: [¢¸u0ÔÁß]ú"üüigÝC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\hcofcfxs.exe
O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe”
O4 - HKLM…\Run: [¢¸u04C
}ïÁzîigÝC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\hcofcfxs.exe
O4 - HKCU…\Run: [McAfee Instant Update Monitor] “C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe” /STARTMONITOR
O4 - Startup: McAfee.com SpamKiller.lnk = C:\Program Files\McAfee.com\SpamKiller\SpamKiller.exe
O4 - Startup: ePrompter.lnk = C:\Program Files\ePrompter\ePrompter.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Assistant d’Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM32\spool\drivers\w32x86\3\E_SRCV02.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O13 - WWW. Prefix: http://ehttp.cc/?
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/fr/4,0,0,83/mcinsctl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/fr/1,0,0,20/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip…{542EF22D-7B54-409C-99FE-E042B5374154}: NameServer = 80.118.192.112 80.118.196.42
O20 - Winlogon Notify: ComPlusSetup - C:\WINDOWS\System32\catsrvut.dll
O21 - SSODL: eplrr - {51522693-FD0B-48A1-A7F0-AF03BA5F63D6} - C:\WINDOWS\System32\eplrr3.dll (file missing)
O21 - SSODL: mtklefap - {A50CBB46-B351-4623-E9AE-FC5764607018} - C:\WINDOWS\System32\ghzio32.dll
O21 - SSODL: mtkle - {C259CE6F-DF1C-44F8-46BD-7D356096F502} - C:\WINDOWS\System32\ueug32.dll
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = 69.61.38.52 <-- fixe + vérifie ton fichier host
(Déplie) C:–>\windows–>\system32–>\drivers…–>Host<–ouvrir avec le bloc-notes/Edition : “sélectionner”/Supprimer - possible que tu trouves une url stype "ie/ou/search.msn.com
R3 - Default URLSearchHook is missing
les lignes 04
1) ctrl/alt/supp : arrête ces processus
2) tu repasses sur le log hijack et tu fixes
O4 - HKLM…\Run: [3ulfW] C:\WINDOWS\hcofcfxs.exe
O4 - HKLM…\Run: [¢¸u04C
}ïÁzî[8C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\hcofcfxs.exe
O4 - HKLM…\Run: [¢¸u0Ô@ÔÁß]ú"üüiC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\hcofcfxs.exe
O4 - HKLM…\Run: [¢¸u0ÔÁß]ú"üüigÝC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\hcofcfxs.exe
O4 - HKLM…\Run: [¢¸u04C
}ïÁzîigÝC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\hcofcfxs.exe
O13 - WWW. Prefix: http$://ehttp.cc/?
O21 - SSODL: eplrr - {51522693-FD0B-48A1-A7F0-AF03BA5F63D6} - C:\WINDOWS\System32\eplrr3.dll (file missing)<–trojan Corpse-A
en plus d’IstBar
http://www.sophos.fr/virusinfo/analyses/trojcorpsea.html
O21 - SSODL: mtklefap - {A50CBB46-B351-4623-E9AE-FC5764607018} - C:\WINDOWS\System32\ghzio32.dll
O21 - SSODL: mtkle - {C259CE6F-DF1C-44F8-46BD-7D356096F502} - C:\WINDOWS\System32\ueug32.dll
*ferme TOUSles programmes
*fixe les lignes trouvées dans l’hijack (coche la case & Fix Checked)
*ferme l’hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./accessoires/outils système)
refait un nouveau log après les fix @+
Merci pour ces précisions.
Pour le moment, j’ai fait les manips’ jusqu’à l’étape ‘ligne 4’ [cf ci-dessus]. Lorsque tu me parles d’arrêter les processus en passant par CTRL ALT SUPP, tu parles desquels? Ceux de la ligne 4 justement?
:oui: je te l’ai précisé
les lignes 04
exemple : O4 - HKLM…\Run: [3ulfW] C:\WINDOWS\hcofcfxs.exe
peut apparaitre aussi bien sous “3ulfW” comme sous “hcofcfxs.exe”
repère bien tous les noms des lignes 04 - il se peut que tu ne trouves qu’un seul de ces processus puisqu’ils sont tous communs à IstBar/hcofcfxs.exe
par contre autant de fix que de processus pour les 04!!
istsvc est pas facile à virer … 
Faut le faire à la main et via le mode sans échec …vraiment ch**nt celui là …
yes! bien vicelard: :lol: faut être bien tordu pour se renommer : [¢¸u0Ô@ÔÁß]ú"üü]
tu es inquiet Ricricbe? tu te fais du souci pour double-clic?
je crois qu’il s’est fais ISTremBarré… :lol:
Non je me demandais s’il n’y avait pas une faute d’orthographe dans [¢¸u0Ô@ÔÁß]ú"üü]
[:superguipom]
Et un peu de soucis pour double-clic, pour avoir déjà eu à le virer avec des potes à lui ( ist hein ! , pas double clic [:superguipom] ) il est pas toujours facile à virer totalement …
Mais bon c’est possible … 
Merci pour votre sollicitude les gars, j’apprécie!!!
:]
double-clic, certes! c’est gentil mais tu en es où exactement?
Et c’est là que ça se complique…
Autant je n’ai plus le programme Search Assistant dans Ajout/Suppression de Programmes, autant Spybot trouve toujours ces entrées liées à IST et d’autres [il n’arrive pas à les supprimer]. Ci-jointe, une capture d’écran pour que vous voyez précisemment de quoi il s’agit…
http://putfile.com/pic.php?pic=3/6805224711.jpg&s=x2
Je me demandais [naïvement peut-être] s’il était possible de supprimer manuellement les clés puisque l’on en a les références sur le compte-rendu de Spybot?
Sinon, je n’ai pas encore suivi la procédure à partir de la ligne 4 de Hijack mais je vais devoir m’y mettre…
Merci pour vos infos toujours!
p.s: IST est-il ‘dangereux’ au fait?
http://putfile.com/pic.php?pic=3/6805224711.jpg&s=x2 <-- marche pas chez moi
tu peux refaire un nouveau log et le copier à nouveau?
McAfee ne trouve rien?
tu as essayé de faire un scan online?
désactive ton antivirus le temps de faire le scan et copie/colle le résultat avec le bloc-notes si résultat il y a …
[quote=“double-clic”]
Et c’est là que ça se complique…
…
p.s: IST est-il ‘dangereux’ au fait?[/citation]
Lit ceci, tu auras toutes les infos que tu désires : http://www.pestpatrol.com/pest_info/fr/i/istbar.asp
