Alerte virus troyen ISTbar.BarObj, Pugi, Ysb, etc impossible à supprimer

Bonjour,

Vendredi dernier mon PC tournant XP Home Ed a été attaqué par un virus
Troyen ITBar, Pugi.PugiObj.1, Ysb. Obj, etc et quelques autres venant de
http://217.170.4.137/_vti_bin/index.html
Il copie 15-20 fichiers en local dans c: dont gr.exe ou grdh.exe et dans
c:windows dont symantec.hmtl, update-sp3.html, symantec.css, y.bat,
z.bart,

za.reg, pskill.exe, quelques gif, etc.

Non seulement il delete des fichiers sous c:windows, il reste présent
dans

vos fichiers temporaires Internet, mais grace à des commandes ActiveX il
contamine entre 40 et 200 fichiers, il delete et remplace des entrées dans
la registry pour ajouter une barre d'outil à Iexplorer et faire un peu de
pub pour des solutions antivirus pour Symantec et Microsoft (il charge des
pages locales sauvées en c:windows). Pire, il kill le shell (process)
lsass.exe qui force un shutdown du PC en 1 minute.

Il profite de la commande ftp et cmd pour transférer les fichiers dont il
a

besoin.

J'ai deleté la partition, reformatté en ntfs, réinstallé, rien à faire.
Par

2x. Le virus est toujours là et apparaît à la première installation d'un
driver modem (non verolé) ou connexion à Internet.

Problème:
Est-il resté dans le MBR ? Sous XP il n'y a plus de commande fdisk /mbr.
En

placant la sécurité trop haut sous Explorer ou le système, même si vous
deletez, renommez cmd.exe et ftp.exe, XP les recrée. Même en indiquant
l'IP

dans la zone interdite, (http://217.. ou ftp://217... il passe à travers.
J'ai même esayé de créer un répertoire c:gr.exe ou c:grdh.exe et même
y.bat, etc, pas mieux, le PC finit tout de même par être bloqué. Ca m'a
déjà

coûté 10h de travail, en vain ! (sans en restant en local, hors d'Internet
ou connecté durant 1 minute max avec la main sur le fil d'alim) !
Je pourrais bien travailler en mode user mais cela me pose des problèmes
ou

à mes applicationspour accéder à certains fichiers ini par exemple.

Ce troyen bloque aussi l'activité des programmes antivirus et finalement
tous les process du PC endéans 1 minute. Dans ce cas on éteint et on
rallume

sans se connecter à Internet et tout remarche. Mais le virus troyen est
tjs

là.

Je suis donc obligé de couper mon modem (cablemodem) dès que je vois un
accès sur http://217...
Seule méthode pour l'arrêter.

J'utilise à ce qu'on dit le meilleur propduit, PCTools Spyware doctor. Il
le

voit une fois qu'il a commencé sale oeuvre mais pas en cours d'attaque
(lors

du téléchargement) ou juste après la copie des 20 fichiers sur disque.
Rien.

C'est pas mieux ou pire pour le produit AntiSpyware Bêta de Microsoft ou
son

Anti malware et BitDefender voit un peu moins de chose que Spyware.
Toutes

ces versions sont bien sur à jour avec les derniers update.

Que faire à part acheter un nouveau disque dur et profiter ainsi d'un peu
plus d'espace ?

A défaut de pouvoir le supprimer j'ai posé la question à PCTools en
espérant

un fix.
Quelqu'un a-t-il une idée de la manière dont on peut le supprimer

Merci
Thierry

Bonjour,

Vendredi dernier mon PC tournant XP Home Ed a été attaqué par un virus
Troyen ITBar, Pugi.PugiObj.1, Ysb. Obj, etc et quelques autres venant de
http://217.170.4.137/_vti_bin/index.html
Il copie 15-20 fichiers en local dans c: dont gr.exe ou grdh.exe et dans
c:windows dont symantec.hmtl, update-sp3.html, symantec.css, y.bat,
z.bart,

za.reg, pskill.exe, quelques gif, etc.

Non seulement il delete des fichiers sous c:windows, il reste présent
dans

vos fichiers temporaires Internet, mais grace à des commandes ActiveX il
contamine entre 40 et 200 fichiers, il delete et remplace des entrées dans
la registry pour ajouter une barre d'outil à Iexplorer et faire un peu de
pub pour des solutions antivirus pour Symantec et Microsoft (il charge des
pages locales sauvées en c:windows). Pire, il kill le shell (process)
lsass.exe qui force un shutdown du PC en 1 minute.

Il profite de la commande ftp et cmd pour transférer les fichiers dont il
a

besoin.

J'ai deleté la partition, reformatté en ntfs, réinstallé, rien à faire.
Par

2x. Le virus est toujours là et apparaît à la première installation d'un
driver modem (non verolé) ou connexion à Internet.

Problème:
Est-il resté dans le MBR ? Sous XP il n'y a plus de commande fdisk /mbr.
En

placant la sécurité trop haut sous Explorer ou le système, même si vous
deletez, renommez cmd.exe et ftp.exe, XP les recrée. Même en indiquant
l'IP

dans la zone interdite, (http://217.. ou ftp://217... il passe à travers.
J'ai même esayé de créer un répertoire c:gr.exe ou c:grdh.exe et même
y.bat, etc, pas mieux, le PC finit tout de même par être bloqué. Ca m'a
déjà

coûté 10h de travail, en vain ! (sans en restant en local, hors d'Internet
ou connecté durant 1 minute max avec la main sur le fil d'alim) !
Je pourrais bien travailler en mode user mais cela me pose des problèmes
ou

à mes applicationspour accéder à certains fichiers ini par exemple.

Ce troyen bloque aussi l'activité des programmes antivirus et finalement
tous les process du PC endéans 1 minute. Dans ce cas on éteint et on
rallume

sans se connecter à Internet et tout remarche. Mais le virus troyen est
tjs

là.

Je suis donc obligé de couper mon modem (cablemodem) dès que je vois un
accès sur http://217...
Seule méthode pour l'arrêter.

J'utilise à ce qu'on dit le meilleur propduit, PCTools Spyware doctor. Il
le

voit une fois qu'il a commencé sale oeuvre mais pas en cours d'attaque
(lors

du téléchargement) ou juste après la copie des 20 fichiers sur disque.
Rien.

C'est pas mieux ou pire pour le produit AntiSpyware Bêta de Microsoft ou
son

Anti malware et BitDefender voit un peu moins de chose que Spyware.
Toutes

ces versions sont bien sur à jour avec les derniers update.

Que faire à part acheter un nouveau disque dur et profiter ainsi d'un peu
plus d'espace ?

A défaut de pouvoir le supprimer j'ai posé la question à PCTools en
espérant

un fix.
Quelqu'un a-t-il une idée de la manière dont on peut le supprimer

Merci
Thierry

Bonjour,

Vendredi dernier mon PC tournant XP Home Ed a été attaqué par un virus
Troyen ITBar, Pugi.PugiObj.1, Ysb. Obj, etc et quelques autres venant de
http://217.170.4.137/_vti_bin/index.html

Grâce à Kaspersky, http://www.claymania.com/KASFX.EXE

J'ai trouvé le toyen en question : Trojan-Downloader.Win32.lstBar.lu et
toute sa clique.

NB. Seul ce produit a pu le trouver dès le départ, contraiement aux outils
de PCTools, Bitdefender (qui aurait dû) ou Microsoft.

Morale : rien ne vaut un vrai anti-virus réputé et installer un firewall.

Thierry wrote:

Grâce à Kaspersky, http://www.claymania.com/KASFX.EXE

Ah.. c'est l'anti virus Kapersky ca ? Hum... moi je vois un site
d'hebergement, avec un fichier en exe dont le nom n'a rien à voir avec
ce que l'on trouve sur le site officiel

J'ai trouvé le toyen en question : Trojan-Downloader.Win32.lstBar.lu et
toute sa clique.

Tu l'as trouvé sur le site de kapersky dans la base de connaissance ?

NB. Seul ce produit a pu le trouver dès le départ, contraiement aux
outils

de PCTools, Bitdefender (qui aurait dû) ou Microsoft.

Tu as du avoir un avertissement comme quoi il était dangereux
d'installer l'activeX...

Morale : rien ne vaut un vrai anti-virus réputé et installer un
firewall.

Morale : Rien ne vaut d'arreter d'aller sur des sites foireux, de
télécharger n'importe quoi n'importe ou, et surtout d'aller chercher des
antivirus ailleurs que sur le site officiel

Télécharger un KASFX.EXE... alors là...

Thierry wrote:

Bonjour,

Vendredi dernier mon PC tournant XP Home Ed a été attaqué par un virus
Troyen ITBar, Pugi.PugiObj.1, Ysb. Obj, etc et quelques autres venant
de

http://217.170.4.137/_vti_bin/index.html

Ben tu n'as pas été attaqué, c'est toi qui a dit "oui" pour accepter ce
que l'on te proposait sur ce site...(un active X proposé)
En fait tu as dit 'oui" pour être vérolé en allant sur un site (douteux ?)