Se connecter / S'enregistrer
Votre question

[Résolu] Infection par Email-Worm.Win32.Tanatos.b.dam2 sous MS Win98

Tags :
  • Kaspersky
  • Sécurité
Dernière réponse : dans Sécurité et virus
25 Août 2007 17:19:41

Bonjour sous le soleil retrouvé à toutes et tous :) 

C'est ma fin de semaine "nettoyage de printemps" :ange: 
et je suis en train de travailler sur un autre ordinateur,
équipé de MS Windows 98se (oui, oui, je sais ;)  ) et infecté
par Email-Worm.Win32.Tanatos.b.dam2 dont je ne sais
pas me défaire.

Je poste ici le rapport établi par Kaspersky :

--
KASPERSKY ON-LINE SCANNER REPORT
Saturday, August 25, 2007 4:39:00 PM
Système d'exploitation : Microsoft Windows 98 SE
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 25/08/2007
Enregistrements dans la base antivirus Kaspersky : 365662


Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
a:\
c:\
d:\
e:\

Statistiques de l'analyse
Total d'objets analysés 18599
Nombre de virus trouvés 1
Nombre d'objets infectés 1 / 0
Nombre d'objets suspects 0
Durée de l'analyse 01:28:04

Nom de l'objet infecté Nom du virus Dernière action
c:\WINDOWS\SYSTEM\gudurpo.0ll Infecté : Email-Worm.Win32.Tanatos.b.dam2 ignoré

c:\WINDOWS\All users\Application Data\Grisoft\Avg7Data\avg7log.log.lck L'objet est verrouillé ignoré

c:\WINDOWS\All users\Application Data\Grisoft\Avg7Data\avg7log.log L'objet est verrouillé ignoré

c:\WINDOWS\WIN386.SWP L'objet est verrouillé ignoré

c:\WINDOWS\Application Data\AVG7\Log\emc.log L'objet est verrouillé ignoré

c:\WINDOWS\SchedLog.Txt L'objet est verrouillé ignoré

c:\WINDOWS\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

c:\WINDOWS\Cookies\index.dat L'objet est verrouillé ignoré

c:\WINDOWS\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

c:\WINDOWS\Local Settings\Application Data\Microsoft\Internet Explorer\MSIMGSIZ.DAT L'objet est verrouillé ignoré

Analyse terminée.
--

Je vous remercie par avance pour vos conseils et pistes.

Autres pages sur : resolu infection email worm win32 tanatos dam2 win98

25 Août 2007 18:08:13

Re,

En complément, le rapport HijackThis :

--
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:04:27, on 25/08/07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\CMMPU.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\HPZTSB05.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\GRISOFT\AVG7\AVGCC.EXE
C:\PROGRAM FILES\GRISOFT\AVG7\AVGEMC.EXE
C:\PROGRAM FILES\GRISOFT\AVG7\AVGAMSVR.EXE
C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAM FILES\D-LINK\D-LINK AIRPLUS G+ WIRELESS ADAPTER UTILITY\DWLGTI.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\MES DOCUMENTS\AVG FREE\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mozbot.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Update] C:\Program Files\Carpe Diem\MADAMESALOPE.EXE\CDUpdater.exe CD_UPDATER
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVG7\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVG7\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVG7\AVGAMSVR.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRAM FILES\WANADOO\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\Software\..\RunOnce: [^SetupICWDesktop] (User '?')
O4 - HKUS\.DEFAULT\..\Run: [WOOKIT] C:\PROGRAM FILES\WANADOO\GestMaj.exe EspaceWanadoo.exe (User 'Default user')
O4 - .DEFAULT Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Program Files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE (User 'Default user')
O4 - Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Program Files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common...
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin...
O16 - DPF: {946B0485-8F8C-4C35-A6E7-D2115E3B0B4F} -
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_ansi.cab

--
End of file - 3823 bytes
--
28 Août 2007 07:04:59

Bonjour,

Je complète ma description.

Je suis équipé sur cette machine d'AVG Free edition 7.5 qui ne détecte pas le virus. Kaspersky online le détecte, mais ne permet pas de le supprimer.

Quelques recherches sur le forum avec le nom du virus (ici) n'ont rien donné.

Mes recherches sur Internet m'ont amené ici, ou il est question d'une variante de "W32.Bugbear.B", mais l'outil de nettoyage de Symantec n'a rien trouvé.

Je suis donc sec pour faire le ménage.

Merci par avance de vos pistes et lumières :D 
Contenus similaires
2 Septembre 2007 20:46:21

Bonsoir,

Le nouveau rapport Kaspersky donne ceci :

KASPERSKY ON-LINE SCANNER REPORT
Sunday, September 02, 2007 8:40:15 PM
Système d'exploitation : Microsoft Windows 98 SE
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 2/09/2007
Enregistrements dans la base antivirus Kaspersky : 402578


Paramètres d'analyse
Analyser avec la base antivirus suivante étendue
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
a:\
c:\
d:\
e:\

Statistiques de l'analyse
Total d'objets analysés 17745
Nombre de virus trouvés 0
Nombre d'objets infectés 0 / 0
Nombre d'objets suspects 0
Durée de l'analyse 01:17:21

Nom de l'objet infecté Nom du virus Dernière action
c:\WINDOWS\All users\Application Data\Grisoft\Avg7Data\avg7log.log.lck L'objet est verrouillé ignoré

c:\WINDOWS\All users\Application Data\Grisoft\Avg7Data\avg7log.log L'objet est verrouillé ignoré

c:\WINDOWS\WIN386.SWP L'objet est verrouillé ignoré

c:\WINDOWS\Application Data\AVG7\Log\emc.log L'objet est verrouillé ignoré

c:\WINDOWS\SchedLog.Txt L'objet est verrouillé ignoré

c:\WINDOWS\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

c:\WINDOWS\Cookies\index.dat L'objet est verrouillé ignoré

c:\WINDOWS\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

c:\WINDOWS\Local Settings\Application Data\Microsoft\Internet Explorer\MSIMGSIZ.DAT L'objet est verrouillé ignoré

Analyse terminée.
4 Septembre 2007 18:54:59

Bonsoir,

Une nouvelle vérification avec Symantec donne ceci :
Citation :

Vérification du 04/09/2007

Etat des virus : En sécurité.
Votre ordinateur ne contient pas de menaces connues.

17680 fichiers analysés, 0 fichier(s) infecté(s) sur vos lecteurs de disque.

Aucun virus n'a été détecté en mémoire.

Votre ordinateur ne contient pas de menaces connues. La détection de virus ne vérifie pas les fichiers compressés.

Votre ordinateur semble à présent en sécurité. Pour bénéficier d'une protection en temps réel contre les virus, les pirates et le vol d'informations, effectuez une mise à niveau vers Norton Internet Security™.


D'ou je déduis que les problèmes sont résolus. Comment ai-je fait ? Et
bien j'ai supprimé manuellement tous les fichiers indiqués en erreur, vu
qu'ils n'étaient pas du système.

Toutefois, en temps passé, j'aurais mieux fait de formater et réinstaller
mon PC ;) 

Je suis vraiment content que tout aille bien.

Pour finir, le dernier rapport Hijackthis :

--
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:52:42, on 04/09/07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\CMMPU.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\HPZTSB05.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\GRISOFT\AVG7\AVGCC.EXE
C:\PROGRAM FILES\GRISOFT\AVG7\AVGEMC.EXE
C:\PROGRAM FILES\GRISOFT\AVG7\AVGAMSVR.EXE
C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAM FILES\D-LINK\D-LINK AIRPLUS G+ WIRELESS ADAPTER UTILITY\DWLGTI.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\MES DOCUMENTS\AVG FREE\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mozbot.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVG7\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVG7\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVG7\AVGAMSVR.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunOnce: [GrpConv] GrpConv.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\Software\..\RunOnce: [^SetupICWDesktop] (User '?')
O4 - HKUS\.DEFAULT\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User 'Default user')
O4 - .DEFAULT Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Program Files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE (User 'Default user')
O4 - Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Program Files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common...
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin...
O16 - DPF: {946B0485-8F8C-4C35-A6E7-D2115E3B0B4F} -
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_ansi.cab

--
End of file - 3748 bytes

--

Juste un doute sur la ligne suivante, si quelqu'un veut bien m'aider :
Citation :

O4 - HKUS\Software\..\RunOnce: [^SetupICWDesktop] (User '?')


A bientôt pour de nouvelles aventures.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS