Spy Axe (ou spyaxe)

Titus · Message par **Titus** » 13 déc. 2005, 12:12:47

Salut,

Une crasse du tonnerre qui revient automatiquement peu après le démarrage (et ce, que vous l'ayez nettoyé peu avant).

La solution est SmitFraudFix, un logiciel fait pour éliminer ce spyware (ainsi que d'autres).

Une fois téléchargé, dézippez-le sur le Bureau (ou ailleurs).
Ouvrez le dossier SmitfraudFix et lancez SmitfraudFix.cmd
Choisissez l'option 1 (Recherche)

Pour être vraiment efficace, il est recommandé de l'utiliser en mode sans échec (pour cela : démarrez le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionnez "Mode sans échec" puis appuyez sur la touche ENTER du clavier).

Si vous avez un doute, vous pouvez toujours poster ce rapport dans ce forum, bien que tout ce que ce logiciel trouve puisse normalement être éliminé sans état d'âme.

Pour éliminer les spywares (toujours en "mode sans échec", de préférence), choisissez l'option n°2 (et si vous avez envie de constater la différence, générez un nouveau rapport).

Message par **Nadine** » 13 déc. 2005, 12:47:56

Bonjour Titus

Un des PC de la maison a été infecté hier soir, tout simplement en allant sur un site pour récupérer des java script. Je précise que tous les scripts étaient libres de droit bien sûr.

Pas eu moyen de réparer, avec SmitFraudFix,

Il revenait tjs.
La seule solution trouvée chez moi, redescendre le système, car une sauvegarde de C: avait été faite.

Celà dit, je me pose plusieurs questions:

Spy Axe renvoit à un site spyaxe.net qui existe vraiment et qui propose d'acheter le super logiciel antispy de vos rêves. N'y a t-il pas de recours possible ?

Le PC infecté est derrière une passerelle qui sert de routeur pour internet et de firewall, est-ce ds un des javascript que ce virus se cache ?

Titus · Message par **Titus** » 13 déc. 2005, 13:21:48

Salut,

Je t'avouerai à ma très grande honte que je n'ai pas encore découvert comment il faisait pour infecter la première fois un ordinateur.

Pour le moment, j'en suis encore à examiner les discussions des forums qui en parlent (certains en anglais) et SmitFraudFix est une des solutions ayant fonctionné pour certains.

D'après ce que j'ai lu, le responsable de l'infection serait "svchosts.dll", un fichier n'ayant rien à voir avec Windows, les siens étant des .exe, ce .dll se trouverait dans c:/windows/system32.

Je vais continuer mes recherches et te tiendrai au courant.

Message par **Nadine** » 13 déc. 2005, 13:32:34

Merci Titus

des pistes peut-être:
Le PC infecté navigue sous IE (contrairement au mien sous Mozilla) . IE soit, mais avec toutes les failles crosoft corrigées.
Juste firewall physique avec le routeur, alors que le mien a en plus Kerio.

J'ai avalé beaucoup de pages concernant tout ça hier, mais rien trouvé non plus.

Si ce PC avait eu Kerio en plus du firewall physique, Kerio aurait-il mouchardé avant que le truc ne s'installe ?

patheticcockroach

Salut,

Nadine a écrit :IE soit, mais avec toutes les failles crosoft corrigées.

lol, c'est-à-dire avec "seulement" 22 failles restantes sur les 90 d'origine

... -> http://secunia.com/product/11/

Nadine a écrit :Si ce PC avait eu Kerio en plus du firewall physique, Kerio aurait-il mouchardé avant que le truc ne s'installe ?

Kerio aurait détecté si SpyAxe essaye de se connecter à internet, sinon, non

@+

Titus · Message par **Titus** » 13 déc. 2005, 14:57:34

Salut,

Voici ce que j'en ai tiré, je ne sais pas si cela fonctionera, mais on ne sait jamais.

C'est un lien direct, je ne l'ai pas ecore intégré au site: http://www.titusweb.be/autre/spya.htm

Message par **Nadine** » 13 déc. 2005, 15:21:30

Merci Titus pour ce tuto. Il me semble bien que c'est ce qui a été fait hier, mais comme ce n'est pas moi qui ai essayé le remède....

Reste quand même à savoir comment on attrape cette chose.
Fichier infecté (ds mon cas java script) ? Faille IE ?

Merci patheticcockroach, si c'est encore faille IE, celà me conforte ds mon surf avec Mozilla.

Kerio aurait détecté si SpyAxe essaye de se connecter à internet, sinon, non

Kerio signale connexion sortante ET entrante, et si spyaxe est sur un PC c'est que quelquechose y est entrée. Me trompe-je ?

patheticcockroach

salut,

Nadine a écrit :Kerio signale connexion sortante ET entrante, et si spyaxe est sur un PC c'est que quelquechose y est entrée. Me trompe-je ?

non, tu ne te trompes pas, mais il n'y a probablement pas eu de connexion entrante par SpyAxe (par exemple, s'il est arrivé par une page ouverte avec MSIE), sinon le firewall matériel l'aurait bloqué, c'est pour ça que j'ai juste parlé de connexion sortante (je crois que le firewall matériel ne filtre que les entrées pas les sorties)

Enfin, ce ne sont que des hypothèse, je ne connais pas le fonctionnement de SpyAxe après tout...

Nadine a écrit :Merci patheticcockroach, si c'est encore faille IE, celà me conforte ds mon surf avec Mozilla

Attention quand même, Firefox a aussi des failles... mais beaucoup moins -> http://secunia.com/product/4227/

@+

alain51 · Message par **alain51** » 13 déc. 2005, 18:02:32

Salut,

Les 2 entrées qu'il met dans la base de registre :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72} Reload Browse

HKCU\Software\Classes\CLSID\{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}\InProcServer32
(default) <Windows system folder>\svchosts.dll

Ses alias : Hoax.Win32.Renos.ae et Troj/FakeVir-B

eser · Message par **eser** » 13 déc. 2005, 21:37:15

A propos de Kerio, il ne se contente pas de signaler les connexions au net; mais aussi les modifs de fichiers (remplacements de ".exe", lancement d'un log ou d'une action par un autre log,...)

Message par **Nadine** » 13 déc. 2005, 22:10:10

Donc les phrases que j'entends parfois chez moi, du genre "mais pourquoi tu laisses ton Kerio, puisqu'il y a le routeur qui fait office de firewall ? " Je fais comme si je n'avais rien entendu ? C'est ça hein eser ?

patheticcockroach

Nadine a écrit :Donc les phrases que j'entends parfois chez moi, du genre "mais pourquoi tu laisses ton Kerio, puisqu'il y a le routeur qui fait office de firewall ? " Je fais comme si je n'avais rien entendu ? C'est ça hein eser ?

oui, je ne savais pour la surveillance des exe, mais même sans ça le firewall logiciel sert à quelque chose : connexions sortantes avec un contrôle détaillé des programmes, éventuelles rares connexions entrantes qui passeraient le firewall matériel - ça m'est arrivé plus d'une fois.

PS : au fait, c'est quoi ça, "modérateur civique" ?

eser · Message par **eser** » 13 déc. 2005, 22:49:17

Perso mon routeur fait firewall, mais chui un peu genre parano moi donc je laisse Kerio (mon premier firewall

)

alain51 · Message par **alain51** » 26 févr. 2006, 09:43:50

Salut,

Nadine a écrit : Spy Axe renvoit à un site spyaxe.net qui existe vraiment et qui propose d'acheter le super logiciel antispy de vos rêves. N'y a t-il pas de recours possible ?

Généralement, ces "bestioles" sont des composants d'un autre programme ;
c'est indiqué dans les conditions générales d'utilisation quand on installe un logiciel,
et que l'on accepte en cochant la case "J'accepte les conditions générales..."
Mais peu de personnes les lisent, et cochent la case.
Dans beaucoup de cas, ce sont des "sponsors" qui payent pour être
intégrés à un logiciel, mis en téléchargement sur un site.
C'est pour cette raison qu'il faut toujours télécharger un programme
sur le site de l'éditeur, on est (presque) sûr qu'il est sain.
Il existe un forum spécialisé pour déposer une plainte
contre les auteurs de ces indélicatesses : Malware Complaints France (Il y a tous les pays)
avec un sous-forum Spyaxe.
Ce n'est pas une plainte vis à vis de la justice, mais une information
donnée aux médias, afin de mettre ces malwares au grand jour
pour pouvoir commencer une action légale contre leurs auteurs.

Il existe un grand nombre de ces Desktop Hijack ( Détournement du bureau ) :Smitfraud, Win32.puper, AVGold,
Security iGuard, Spyware Vanisher, quicknavigate.com, updateSearches.com,
startsearches.net, Virtual Maid, SpySheriff, PSGuard, WinHound...

Process.exe, utilitaire de SmitfraudFix, peut-être considéré comme une
infection par votre antivirus.
Ne pas en tenir compte : il est utilisé pour stopper des processus pour la désinfection.
Après utilisation de SmitfraudFix et redémarrage,
le supprimer dans C:\WINDOWS\system32\.

Nadine a écrit : Reste quand même à savoir comment on attrape cette chose.
Fichier infecté (ds mon cas java script) ? Faille IE ?

SmitfraudFix examine le fichier wininet.dll pour voir s'il est infecté.
Cette dll est utilisée pour la connexion et la sécurité sur internet.
Cette dll infectée peut te faire surfer sans sécurité
par exemple en n'affichant pas les boîtes de dialogues ci-dessous.

Exemples de ce qu'elle contient :

Code : Tout sélectionner

STRINGTABLE
LANGUAGE LANG_FRENCH, SUBLANG_FRENCH
&#123;
1800, 	"Vous venez de recevoir un cookie &#40;informations Internet enregistrées sur votre ordinateur&#41; 
de %1\n\nSon contenu est &#58;\n\n%2\n\nIl expire le %3\n\n
Voulez-vous l'accepter ? 
Si vous cliquez sur Non, il est possible que la page que vous essayez de visiter ne s'affiche pas correctement."
1801, 	"Alerte de sécurité"
1802, 	"Oui"
1803, 	"Non"
1804, 	"Fin de session"
1806, 	"Inconnu"
1807, 	"SSL 2.0"
&#125;

Exemples de détournements de bureau :

SpySheriff:

AdwarePunisher:

AlfaCleaner:

Informatique Pratique

Spy Axe (ou spyaxe)

Spy Axe (ou spyaxe)

Qui est en ligne