Spy Axe (ou spyaxe)

Astuces et infos sur la sécurité informatique, les virus, ... (Comment supprimer tel ou tel virus ?, Description de tel ou tel virus, ...)

Modérateur : Modérateurs

Répondre
Titus
Modérateur
Modérateur
Messages : 7275
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Bruxelles
Contact :

Spy Axe (ou spyaxe)

Message par Titus » 13 déc. 2005, 12:12:47

Salut,

Une crasse du tonnerre qui revient automatiquement peu après le démarrage (et ce, que vous l'ayez nettoyé peu avant).

La solution est SmitFraudFix, un logiciel fait pour éliminer ce spyware (ainsi que d'autres).

Une fois téléchargé, dézippez-le sur le Bureau (ou ailleurs).
Ouvrez le dossier SmitfraudFix et lancez SmitfraudFix.cmd
Choisissez l'option 1 (Recherche)

Pour être vraiment efficace, il est recommandé de l'utiliser en mode sans échec (pour cela : démarrez le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionnez "Mode sans échec" puis appuyez sur la touche ENTER du clavier).

Si vous avez un doute, vous pouvez toujours poster ce rapport dans ce forum, bien que tout ce que ce logiciel trouve puisse normalement être éliminé sans état d'âme.

Pour éliminer les spywares (toujours en "mode sans échec", de préférence), choisissez l'option n°2 (et si vous avez envie de constater la différence, générez un nouveau rapport).
A+
Image
Ma configuration est ici, employez Google.

Nadine
Modérateur Civique
Modérateur Civique
Messages : 1821
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Nantes, France

Message par Nadine » 13 déc. 2005, 12:47:56

Bonjour Titus

Un des PC de la maison a été infecté hier soir, tout simplement en allant sur un site pour récupérer des java script. Je précise que tous les scripts étaient libres de droit bien sûr.

Pas eu moyen de réparer, avec SmitFraudFix, :-x Il revenait tjs.
La seule solution trouvée chez moi, redescendre le système, car une sauvegarde de C: avait été faite.

Celà dit, je me pose plusieurs questions:

Spy Axe renvoit à un site spyaxe.net qui existe vraiment et qui propose d'acheter le super logiciel antispy de vos rêves. N'y a t-il pas de recours possible ?

Le PC infecté est derrière une passerelle qui sert de routeur pour internet et de firewall, est-ce ds un des javascript que ce virus se cache ?
Image

Image

Titus
Modérateur
Modérateur
Messages : 7275
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Bruxelles
Contact :

Message par Titus » 13 déc. 2005, 13:21:48

Salut,

Je t'avouerai à ma très grande honte que je n'ai pas encore découvert comment il faisait pour infecter la première fois un ordinateur.

Pour le moment, j'en suis encore à examiner les discussions des forums qui en parlent (certains en anglais) et SmitFraudFix est une des solutions ayant fonctionné pour certains.

D'après ce que j'ai lu, le responsable de l'infection serait "svchosts.dll", un fichier n'ayant rien à voir avec Windows, les siens étant des .exe, ce .dll se trouverait dans c:/windows/system32.

Je vais continuer mes recherches et te tiendrai au courant.
A+
Image
Ma configuration est ici, employez Google.

Nadine
Modérateur Civique
Modérateur Civique
Messages : 1821
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Nantes, France

Message par Nadine » 13 déc. 2005, 13:32:34

Merci Titus

des pistes peut-être:
Le PC infecté navigue sous IE (contrairement au mien sous Mozilla) . IE soit, mais avec toutes les failles crosoft corrigées.
Juste firewall physique avec le routeur, alors que le mien a en plus Kerio.


J'ai avalé beaucoup de pages concernant tout ça hier, mais rien trouvé non plus.

Si ce PC avait eu Kerio en plus du firewall physique, Kerio aurait-il mouchardé avant que le truc ne s'installe ?
Image

Image

patheticcockroach
Membre hyperactif
Membre hyperactif
Messages : 700
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Paris
Contact :

Message par patheticcockroach » 13 déc. 2005, 14:43:05

Salut,
Nadine a écrit :IE soit, mais avec toutes les failles crosoft corrigées.
lol, c'est-à-dire avec "seulement" 22 failles restantes sur les 90 d'origine :P ... -> http://secunia.com/product/11/
Nadine a écrit :Si ce PC avait eu Kerio en plus du firewall physique, Kerio aurait-il mouchardé avant que le truc ne s'installe ?
Kerio aurait détecté si SpyAxe essaye de se connecter à internet, sinon, non

@+
PatheticCockroach - Mes configurations - Wiki4Games, the free video game wiki

Titus
Modérateur
Modérateur
Messages : 7275
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Bruxelles
Contact :

Message par Titus » 13 déc. 2005, 14:57:34

Salut,

Voici ce que j'en ai tiré, je ne sais pas si cela fonctionera, mais on ne sait jamais.

C'est un lien direct, je ne l'ai pas ecore intégré au site: http://www.titusweb.be/autre/spya.htm
Modifié en dernier par Titus le 14 déc. 2005, 19:15:17, modifié 1 fois.
A+
Image
Ma configuration est ici, employez Google.

Nadine
Modérateur Civique
Modérateur Civique
Messages : 1821
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Nantes, France

Message par Nadine » 13 déc. 2005, 15:21:30

Merci Titus pour ce tuto. Il me semble bien que c'est ce qui a été fait hier, mais comme ce n'est pas moi qui ai essayé le remède....

Reste quand même à savoir comment on attrape cette chose.
Fichier infecté (ds mon cas java script) ? Faille IE ?

Merci patheticcockroach, si c'est encore faille IE, celà me conforte ds mon surf avec Mozilla.
Kerio aurait détecté si SpyAxe essaye de se connecter à internet, sinon, non
Kerio signale connexion sortante ET entrante, et si spyaxe est sur un PC c'est que quelquechose y est entrée. Me trompe-je ? :o
Image

Image

patheticcockroach
Membre hyperactif
Membre hyperactif
Messages : 700
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Paris
Contact :

Message par patheticcockroach » 13 déc. 2005, 15:47:14

salut,
Nadine a écrit :Kerio signale connexion sortante ET entrante, et si spyaxe est sur un PC c'est que quelquechose y est entrée. Me trompe-je ? :o
non, tu ne te trompes pas, mais il n'y a probablement pas eu de connexion entrante par SpyAxe (par exemple, s'il est arrivé par une page ouverte avec MSIE), sinon le firewall matériel l'aurait bloqué, c'est pour ça que j'ai juste parlé de connexion sortante (je crois que le firewall matériel ne filtre que les entrées pas les sorties) ;) Enfin, ce ne sont que des hypothèse, je ne connais pas le fonctionnement de SpyAxe après tout... :-?
Nadine a écrit :Merci patheticcockroach, si c'est encore faille IE, celà me conforte ds mon surf avec Mozilla
Attention quand même, Firefox a aussi des failles... mais beaucoup moins -> http://secunia.com/product/4227/

@+
PatheticCockroach - Mes configurations - Wiki4Games, the free video game wiki

alain51
Membre hyperactif
Membre hyperactif
Messages : 1991
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Châlons en Champagne

Message par alain51 » 13 déc. 2005, 18:02:32

Salut,

Les 2 entrées qu'il met dans la base de registre :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72} Reload Browse

HKCU\Software\Classes\CLSID\{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}\InProcServer32
(default) <Windows system folder>\svchosts.dll

Ses alias : Hoax.Win32.Renos.ae et Troj/FakeVir-B

eser
Modérateur
Modérateur
Messages : 2558
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Lyon
Contact :

Message par eser » 13 déc. 2005, 21:37:15

A propos de Kerio, il ne se contente pas de signaler les connexions au net; mais aussi les modifs de fichiers (remplacements de ".exe", lancement d'un log ou d'une action par un autre log,...) ;)
Image

Nadine
Modérateur Civique
Modérateur Civique
Messages : 1821
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Nantes, France

Message par Nadine » 13 déc. 2005, 22:10:10

Donc les phrases que j'entends parfois chez moi, du genre "mais pourquoi tu laisses ton Kerio, puisqu'il y a le routeur qui fait office de firewall ? " Je fais comme si je n'avais rien entendu ? C'est ça hein eser ?
Image

Image

patheticcockroach
Membre hyperactif
Membre hyperactif
Messages : 700
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Paris
Contact :

Message par patheticcockroach » 13 déc. 2005, 22:13:37

Nadine a écrit :Donc les phrases que j'entends parfois chez moi, du genre "mais pourquoi tu laisses ton Kerio, puisqu'il y a le routeur qui fait office de firewall ? " Je fais comme si je n'avais rien entendu ? C'est ça hein eser ?
oui, je ne savais pour la surveillance des exe, mais même sans ça le firewall logiciel sert à quelque chose : connexions sortantes avec un contrôle détaillé des programmes, éventuelles rares connexions entrantes qui passeraient le firewall matériel - ça m'est arrivé plus d'une fois.

PS : au fait, c'est quoi ça, "modérateur civique" ? :D
PatheticCockroach - Mes configurations - Wiki4Games, the free video game wiki

eser
Modérateur
Modérateur
Messages : 2558
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Lyon
Contact :

Message par eser » 13 déc. 2005, 22:49:17

Perso mon routeur fait firewall, mais chui un peu genre parano moi donc je laisse Kerio (mon premier firewall :love )
Image

alain51
Membre hyperactif
Membre hyperactif
Messages : 1991
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Châlons en Champagne

Message par alain51 » 26 févr. 2006, 09:43:50

Salut,
Nadine a écrit : Spy Axe renvoit à un site spyaxe.net qui existe vraiment et qui propose d'acheter le super logiciel antispy de vos rêves. N'y a t-il pas de recours possible ?
Généralement, ces "bestioles" sont des composants d'un autre programme ;
c'est indiqué dans les conditions générales d'utilisation quand on installe un logiciel,
et que l'on accepte en cochant la case "J'accepte les conditions générales..."
Mais peu de personnes les lisent, et cochent la case.
Dans beaucoup de cas, ce sont des "sponsors" qui payent pour être
intégrés à un logiciel, mis en téléchargement sur un site.
C'est pour cette raison qu'il faut toujours télécharger un programme
sur le site de l'éditeur, on est (presque) sûr qu'il est sain.
Il existe un forum spécialisé pour déposer une plainte
contre les auteurs de ces indélicatesses : Malware Complaints France (Il y a tous les pays)
avec un sous-forum Spyaxe.
Ce n'est pas une plainte vis à vis de la justice, mais une information
donnée aux médias, afin de mettre ces malwares au grand jour
pour pouvoir commencer une action légale contre leurs auteurs.

Il existe un grand nombre de ces Desktop Hijack ( Détournement du bureau ) :Smitfraud, Win32.puper, AVGold,
Security iGuard, Spyware Vanisher, quicknavigate.com, updateSearches.com,
startsearches.net, Virtual Maid, SpySheriff, PSGuard, WinHound...

Process.exe, utilitaire de SmitfraudFix, peut-être considéré comme une
infection par votre antivirus.
Ne pas en tenir compte : il est utilisé pour stopper des processus pour la désinfection.
Après utilisation de SmitfraudFix et redémarrage,
le supprimer dans C:\WINDOWS\system32\.
Nadine a écrit : Reste quand même à savoir comment on attrape cette chose.
Fichier infecté (ds mon cas java script) ? Faille IE ?
SmitfraudFix examine le fichier wininet.dll pour voir s'il est infecté.
Cette dll est utilisée pour la connexion et la sécurité sur internet.
Cette dll infectée peut te faire surfer sans sécurité
par exemple en n'affichant pas les boîtes de dialogues ci-dessous.

Exemples de ce qu'elle contient :

Image

Image

Image

Code : Tout sélectionner

STRINGTABLE
LANGUAGE LANG_FRENCH, SUBLANG_FRENCH
&#123;
1800, 	"Vous venez de recevoir un cookie &#40;informations Internet enregistrées sur votre ordinateur&#41; 
de %1\n\nSon contenu est &#58;\n\n%2\n\nIl expire le %3\n\n
Voulez-vous l'accepter ? 
Si vous cliquez sur Non, il est possible que la page que vous essayez de visiter ne s'affiche pas correctement."
1801, 	"Alerte de sécurité"
1802, 	"Oui"
1803, 	"Non"
1804, 	"Fin de session"
1806, 	"Inconnu"
1807, 	"SSL 2.0"
&#125;
Exemples de détournements de bureau :

SpySheriff:

Image

AdwarePunisher:

Image

AlfaCleaner:

Image

Répondre

Retourner vers « Astuces Virus / Sécurité »

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 6 invités