uc 100% par zlclient et vsmon apres fakealert Résolu/Fermé

Question

Bonsoir, je fais encore appel a vous. malgre un parcours rapide des discussions, j'ai quand meme decidé d'ouvrir celle-ci. 
J'ai été infecté aujourd"hui par un trojan fakealert dans win32, avec des .exe supprimés par avast et d'autres bloqués par zone alarm. (mes pare-feu et antivirus) 
Donc, trojans supprimés, mais messages d'alerte de avast recurants. Un coup d'hijackthis, je supprime ce qui ne va pas. Nickel. 
Apres, je remarque que dans mon gestionnaire de tache, mon uc est utilisé à 100% par zlcient.exe et vsmon.exe, deux processus zone alarm ! J'ai supprimé zone alarm vite fait pour le reinstaller. Mais ca continue. Alors d'apres ce que j'ai pu lire, c'est que je suis infecté... 
J'ai passé regseeker, hijackthis, cwshredder, ad-awareSE, fait un scan avec avast (un trojan dans restore) et suis en train de faire un scan en ligne chez secuser ; avec mon petit ventilo qui s'affole. 
Que dois-je faire ? Re supprimer/reinstaller zone alarm y fera qq chose ? je vous ecoute et attends vos solutions avec impatience. Merci.

jeanle23 · Answer

scan en ligne terminé avec felicitations, pas de virus...

salwa5 · Answer

bonsoir telecharge SmitfraudFix

http://siri.urz.free.fr/Fix/SmitfraudFix.zip   
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport 
Copie/colle le sur le poste stp. 


a++

jeanle23 · Answer

Sur un autre post, il y avait fixwareout, je l'ai fait, c'est bon ou je fais le tien ? 

Fixwareout Last edited 2/11/2007
Post this report in the forums please 
...
»»»»»Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="csyxn.exe"
Service: "Windows Management Service" = C:\WINDOWS\System32\dmhxj.exe 

»»»»» System restarted
 
»»»»» Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "system"="" 
....
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ruins "}FBEF6EB8F879-5B89-C0F4-CAFD-D49152D1{"  Deleted 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ruins "}BF33B1D4A983-CA18-8114-B7AA-8DABDC87{"  Deleted 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ruins "rrkmd"  Deleted 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "0mdm"  Deleted 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "1mdm"  Deleted 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\_r "}28FBEA4D76E1-3888-30F4-8C62-31D5E7B9{"  Deleted 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\_r "jxhmd"  Deleted 
....
»»»»» Misc files. 
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection. 



Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or https://virusscan.jotti.org/

»»»»» Other
C:\WINDOWS\Temp\csyxn.ren 52810 03/03/2007 
C:\WINDOWS\Temp\dmhxj.ren 57903 18/09/2002 



»»»»» Current runs 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdaptecDirectCD"="\"C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe\""
"ATIModeChange"="Ati2mdxx.exe"
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe"
"QuickTime Task"="\"C:\Program Files\QuickTime\qttask.exe\" -atboottime"
"TkBellExe"="\"C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe\"  -osboot"
"Zone Labs Client"="\"C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe\""
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»

jeanle23 · Answer

Je vous colle aussi mon rapport hijack, 
j'ai passé ccleaner, comme vu sur un autre post, 
analyse, reparer les erreurs, recherche des erreurs et reparer jusqu'a ce qu'il n'y ait plus d'erreurs trouvées. 
et apparement mon uc est redevenu normal.  

Logfile of HijackThis v1.99.1
Scan saved at 22:34:50, on 03/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\jean-balthazar\Mes documents\logiciels\HijackThis\HijackThisv.1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

salwa5 · Answer

fait quand meme un scan smitfraud..

a+++

jeanle23 · Answer

Voila mon petit rapport :) 
SmitFraudFix v2.147

Rapport fait à 22:51:26,91, 03/03/2007
Executé à partir de C:\Documents and Settings\jean-balthazar\Mes documents\logiciels\Security\Smitfraud\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jean-balthazar


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jean-balthazar\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\JEAN-B~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

salwa5 · Answer

aparement le raport est propre , as tu d'autre dysfonctionement?

a++++

jeanle23 · Answer

apparement plus. 
Donc 
hijackthis, j'ai emlevé les lignes qu'il n'etait pas sencées y etre, ccleaner (c'est lui qui a regler mon probleme de uc a 100%)
et smitfraud 
voila le quatuor qui m'a sauvé ce soir ! 
Si vous cherchez le quatrieme c'est salwa5 ! Merci salwa5 !

salwa5 · Answer

ok tien moi au courant :)

a+++

jeanle23 · Answer

Je dois rajouter aussi fixwareout parce qu'il y a contribué aussi, notamment, en effacant dmkrr.exe, un exe que j'avais noté lors de sa suppression pour faire des recherche sur google. 
Nota, il est ecrit a l'envers dans le rapport. 
Tchao a tous et encore merci. A la prochaine !

logico · Answer

fixwarerout édited le 2 du 11 .2007 !!!!!!!

Uc 100% par zlclient et vsmon apres fakealert

11 réponses

Discussions similaires