Infecté par Spyware.RealSpy ; comment l'enlever ?

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Infecté par Spyware.RealSpy ; comment l'enlever ?

Messagede dupont33 » 22 Nov 2005, 11:12

Bonjour à tous,

J'ai XP sp2 mis à jour, Outpost Free, Avast 4.6, et divers antispyware Spybot, Ad-Aware et Pestpatrol qui me détecte "Spyware.RealSpy" alors que je ne suis pas allé sur des sites douteux ou téléchargé quoi que ce soit de bizaroïde!

Pestpatrol le détecte au démarrage du Pc, je détruis mais il réapparait au redémarrage.

JJ'ai donc redémarré en mode sans échec, ouvert le compte administrateur, scané et détruit "Spyware.RealSpy", j'ai fait la même chose avec le compte utilisateur mais au scan y'a plus rien.
J'ai redémarré et Pestpatrol me retrouve en scna de mémoire cette cochonnerie! en plus j'ai un message d'Avast qui me demande de redémarrer mon PC et ce ç chaque démarrage.

merci de m'éclairer de vos lumières!
dupont33
 


Messagede Aleph33 » 22 Nov 2005, 12:17

Bonjour,

A mon avis il faudrait comparer les ex et dll, ... etc donnés par la base de données de PP, avec ceux indiqués par PP et Avast lors du scan pour voir ou cela se niche :)

Sincèrement
Aleph 33 :wink:
XP Home Officiel SP2, ZAFree, e Trust EZAV 8.3, BitDefender Free Edition 7, Ad Aware SE Personnal, Spybot sans tea-timer, SpywareBlaster, ProcessGuard v3.1 FullVersion, RegistryProt, DropMyRights, XP-AntiSpy, Safe XP, Firefox, MozBackup et SyncBack, CCleaner, RegCleaner, modem-routeur DLink WiFi
Aleph33
 
Messages: 152
Inscription: 07 Oct 2005, 21:49
Localisation: Pamiers à 68 km de Toulouse ou Bordeaux (France)

Messagede dupont33 » 22 Nov 2005, 12:24

Merci de ta réponse mais comme je ne suis pas super informaticien peux-tu stp me donner un peu plus de détails?
A ton avis il faufrait comparer les fichiers exe et dll des résultats des scans de PP et Avast?
dupont33
 

Messagede Aleph33 » 22 Nov 2005, 13:07

Re,

Moi non plus je suis pas un super informaticien, simplement un débutant . Ce que je voulais dire en attendant qu'un pro du site passe,
c'est de regarder dans PP au résultat du scan l'adresse du fichier incriminé et de comparer avec les éléments du lien que tu as donné.

Les dernières fois ou cela s'est produit les adresses des fichiers incriminés en C: ne correspondaient pas à ceux du supposé malware indiqués dans la base de données. Ils s'agissaient de processus légitimes et donc de "faux positifs".

Mais un pro va surement passer.

Sincèrement
Aleph 33 :wink:
XP Home Officiel SP2, ZAFree, e Trust EZAV 8.3, BitDefender Free Edition 7, Ad Aware SE Personnal, Spybot sans tea-timer, SpywareBlaster, ProcessGuard v3.1 FullVersion, RegistryProt, DropMyRights, XP-AntiSpy, Safe XP, Firefox, MozBackup et SyncBack, CCleaner, RegCleaner, modem-routeur DLink WiFi
Aleph33
 
Messages: 152
Inscription: 07 Oct 2005, 21:49
Localisation: Pamiers à 68 km de Toulouse ou Bordeaux (France)

Messagede Jim Rakoto » 22 Nov 2005, 14:31

Salut

il est repris dans la base de données de Pestpatrol depuis le 16/11
http://www.pestpatrol.com/spywarecenter ... =453096402

Si les fichiers décrits dans la fiche sont présents et notamment cette clé :
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\real spy monitor_is1 alors PP ne devrait pas se tromper.

Pour vérifier registre aller dans Démarrer > exécuter > taper regedit puis descendre dans l'arborescence HKLM.

Tu pourrais faire un essai de nettoyage avec PP en désactivant la restauration système.

Si cela persiste, alors , application de la Mini Manip
http://assiste.forum.free.fr/viewtopic.php?t=2109
puis poster un log Hijackthis dans le forum ad hoc.

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede dupont33 » 22 Nov 2005, 17:56

Apparemment, au démarrage du Pc je n'ai plus la détection du spyware avec Pestpatrol MemChek, il se trouvait dans :
C:\WINDOWS\system32\actskin4.ocx

je n'ai pas de clé HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\real spy monitor_is1 dans la bdr mais par contre j'ai une alarm Ad-Watch une clé tenterait de s'ajouter :

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
valeur : aswactskin4.ocx
nouvelles données : "C:\Program Files\Alwil Software\Avast4\AswRegSvr.exe" "C:\WINDOWS\system32\actskin4.ocx"

et me demande d'accepter ou de bloquer.

Et j'ai une boite de dialogue d'Avast qui me dit qu'il a besoin de redémarrer le système ou non.

Enfin après vérification je n'ai aucun des fichiers nommés dans la base de données de PP concernant Spyware.RealSpy.
dupont33
 

Messagede le gromleux » 22 Nov 2005, 19:54

bonsoir,

ce fil de Dupont33 rejoint CELUI de Charlie14

via le fichier "actskin4.ocx" qui , décidément fait réagir PestPatrol en ce moment! :wink:

@+
XP + Firefox 22.0 + Look'n'stop 2.07
Avatar de l’utilisateur
le gromleux
Modérateur
 
Messages: 2525
Inscription: 09 Mai 2004, 17:56
Localisation: Naoned

Messagede tigre » 23 Nov 2005, 08:52

Bonjour tout le monde
ça faisait longtemps que j'avais pas parlé!!!

Bon, dupont33, j'ai le meme probleme que toi, exactement le meme (avast qui demande un redémarrage après suppression)
Je pense à un faux positif, mais je ne suis pas expert en sécurité

D'autre part, si tu fais clic droit sur ton icone d'avast dans la barre des taches, puis "a propos d'avast", tu verras qu'il y est indiqué les versions des différents modules, dont "active skin version ..." en service.

J'ai cherché sur le forum d'avast, en vain.

Je pense à faire une requete sur leur forum, en anglais, bref c'est pas gagné :cry:
Si ton labeur est dur, que les résultats sont minces, n'oublie pas que le grand chene a été un gland comme toi
tigre
 
Messages: 28
Inscription: 23 Avr 2005, 10:18

Messagede Jim Rakoto » 23 Nov 2005, 09:49

Salut

Pour ceci : C:\Program Files\Alwil Software\Avast4\AswRegSvr.exe" "C:\WINDOWS\system32\actskin4.ocx"

Il suffit d'accepter comme le préconise Avast.

Q: I have installed 'avast! 4 Home' and everytime I try to open it, I get an error message stating: "unknown error message", "Application cannot load skin. Function usiGetSkin Failed". How can I fix this?

A:
Démarrer > exécuter ..
Entrer la commande suivante

If you have Windows NT or 2000:C:\WINNT\SYSTEM32\REGSVR32.EXE ACTSKIN4.OCX
If you have Windows 95, 98 or ME:C:\WINDOWS\SYSTEM\REGSVR32.EXE ACTSKIN4.OCX
If you have Windows XP:C:\WINDOWS\SYSTEM32\REGSVR32.EXE ACTSKIN4.OCX

Taper OK (ou Enter).

A message saying that the file was successfully registered should appear.


A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 31 invités