Téléchargement
illégal
Posez votre question Signaler

Uc 100% par zlclient et vsmon apres fakealert [Résolu]

jeanle23 91Messages postés 25 octobre 2004Date d'inscription - Dernière réponse le 30 août 2007 à 15:58
Bonsoir, je fais encore appel a vous. malgre un parcours rapide des discussions, j'ai quand meme decidé d'ouvrir celle-ci.
J'ai été infecté aujourd"hui par un trojan fakealert dans win32, avec des .exe supprimés par avast et d'autres bloqués par zone alarm. (mes pare-feu et antivirus)
Donc, trojans supprimés, mais messages d'alerte de avast recurants. Un coup d'hijackthis, je supprime ce qui ne va pas. Nickel.
Apres, je remarque que dans mon gestionnaire de tache, mon uc est utilisé à 100% par zlcient.exe et vsmon.exe, deux processus zone alarm ! J'ai supprimé zone alarm vite fait pour le reinstaller. Mais ca continue. Alors d'apres ce que j'ai pu lire, c'est que je suis infecté...
J'ai passé regseeker, hijackthis, cwshredder, ad-awareSE, fait un scan avec avast (un trojan dans restore) et suis en train de faire un scan en ligne chez secuser ; avec mon petit ventilo qui s'affole.
Que dois-je faire ? Re supprimer/reinstaller zone alarm y fera qq chose ? je vous ecoute et attends vos solutions avec impatience. Merci.
Lire la suite 

Uc 100% par zlclient et vsmon apres fakealert »

11 réponses
Réponse
+0
moins plus
jeanle23 91Messages postés 25 octobre 2004Date d'inscription 3 mars 2007 à 22:09
scan en ligne terminé avec felicitations, pas de virus...

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
salwa5 7457Messages postés 30 novembre 2006Date d'inscription 14 février 2012Dernière intervention 3 mars 2007 à 22:12
bonsoir telecharge SmitfraudFix

http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.


a++

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
jeanle23 91Messages postés 25 octobre 2004Date d'inscription 3 mars 2007 à 22:16
Sur un autre post, il y avait fixwareout, je l'ai fait, c'est bon ou je fais le tien ?

Fixwareout Last edited 2/11/2007
Post this report in the forums please
...
»»»»»Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="csyxn.exe"
Service: "Windows Management Service" = C:\WINDOWS\System32\dmhxj.exe

»»»»» System restarted

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ruins "}FBEF6EB8F879-5B89-C0F4-CAFD-D49152D1{" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ruins "}BF33B1D4A983-CA18-8114-B7AA-8DABDC87{" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ruins "rrkmd" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "0mdm" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "1mdm" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\_r "}28FBEA4D76E1-3888-30F4-8C62-31D5E7B9{" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\_r "jxhmd" Deleted
....
»»»»» Misc files.
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.



Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or http://virusscan.jotti.org/

»»»»» Other
C:\WINDOWS\Temp\csyxn.ren 52810 03/03/2007
C:\WINDOWS\Temp\dmhxj.ren 57903 18/09/2002



»»»»» Current runs
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdaptecDirectCD"="\"C:\\Program Files\\Roxio\\Easy CD Creator 5\\DirectCD\\DirectCD.exe\""
"ATIModeChange"="Ati2mdxx.exe"
"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"Zone Labs Client"="\"C:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
jeanle23 91Messages postés 25 octobre 2004Date d'inscription 3 mars 2007 à 22:38
Je vous colle aussi mon rapport hijack,
j'ai passé ccleaner, comme vu sur un autre post,
analyse, reparer les erreurs, recherche des erreurs et reparer jusqu'a ce qu'il n'y ait plus d'erreurs trouvées.
et apparement mon uc est redevenu normal.

Logfile of HijackThis v1.99.1
Scan saved at 22:34:50, on 03/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\jean-balthazar\Mes documents\logiciels\HijackThis\HijackThisv.1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
salwa5 7457Messages postés 30 novembre 2006Date d'inscription 14 février 2012Dernière intervention 3 mars 2007 à 22:39
fait quand meme un scan smitfraud..

a+++

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
jeanle23 91Messages postés 25 octobre 2004Date d'inscription 3 mars 2007 à 22:52
Voila mon petit rapport :)
SmitFraudFix v2.147

Rapport fait à 22:51:26,91, 03/03/2007
Executé à partir de C:\Documents and Settings\jean-balthazar\Mes documents\logiciels\Security\Smitfraud\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jean-balthazar


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jean-balthazar\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\JEAN-B~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
salwa5 7457Messages postés 30 novembre 2006Date d'inscription 14 février 2012Dernière intervention 3 mars 2007 à 23:11
aparement le raport est propre , as tu d'autre dysfonctionement?

a++++

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
jeanle23 91Messages postés 25 octobre 2004Date d'inscription 3 mars 2007 à 23:16
apparement plus.
Donc
hijackthis, j'ai emlevé les lignes qu'il n'etait pas sencées y etre, ccleaner (c'est lui qui a regler mon probleme de uc a 100%)
et smitfraud
voila le quatuor qui m'a sauvé ce soir !
Si vous cherchez le quatrieme c'est salwa5 ! Merci salwa5 !

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
salwa5 7457Messages postés 30 novembre 2006Date d'inscription 14 février 2012Dernière intervention 3 mars 2007 à 23:19
ok tien moi au courant :)

a+++

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
jeanle23 91Messages postés 25 octobre 2004Date d'inscription 3 mars 2007 à 23:22
Je dois rajouter aussi fixwareout parce qu'il y a contribué aussi, notamment, en effacant dmkrr.exe, un exe que j'avais noté lors de sa suppression pour faire des recherche sur google.
Nota, il est ecrit a l'envers dans le rapport.
Tchao a tous et encore merci. A la prochaine !

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
logico 30 août 2007 à 15:58
fixwarerout édited le 2 du 11 .2007 !!!!!!!Configuration: Windows XP Internet Explorer 7.0

 Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « uc 100% par zlclient et vsmon apres fakealert » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?