Tanatos.M / Heur

Résolu
NinhoHiwyTheTiger Messages postés 9 Date d'inscription   Statut Membre Dernière intervention   -  
NinhoHiwyTheTiger Messages postés 9 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,
Mon AVG détecte 2 virus : Tanatos.M et Heur et j'arrive pas à les supprimer

Quelqu'un peut m'indiquer la marche à suivre svp
Configuration: Windows XP Internet Explorer 8.0

8 réponses

  1. olivier114 Messages postés 1674 Statut Membre 104
     
    ▶ Télécharge Random's System Information Tool (RSIT).

    ▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.

    ▶ Double clique sur RSIT.exe pour lancer l'outil.

    ▶ Clique sur 'Continue' à l'écran Disclaimer.

    ▶ Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

    ▶ Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.

    ( C:\RSIT\log.txt et C:\RSIT\info.txt )

    CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller

    Comment héberger les rapports trop longs de RSIT ??

    ensuite:

    ▶ Télécharge Rooter (créé par l'équipe IDN) sur ton bureau.

    /!\ Déconnecte toi d'internet et ferme toutes les applications en cours /!\

    ▶ Exécute Rooter et laisse le travailler jusqu'à l'apparition du rapport dans le bloc note

    ▶ Ensuite poste le rapport dans ta prochaine réponse
    1
  2. olivier114 Messages postés 1674 Statut Membre 104
     
    ▶ Télécharge malwarebyte's anti-malware

    ▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.

    ▶ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

    ▶ Lance une analyse complète en cliquant sur "Exécuter un examen complet"

    ▶ Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

    ▶ L'analyse peut durer un bon moment.....

    ▶ Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

    ▶ Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

    ▶ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
    1
  3. NinhoHiwyTheTiger Messages postés 9 Date d'inscription   Statut Membre Dernière intervention  
     
    j'ai téléchargé RSIT et voici les 2 rapports qu'il a affiché

    le 1e : log.txt

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Administrateur at 2009-10-31 20:56:17
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 31 GB (81%) free of 38 GB
    Total RAM: 239 MB (19% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:57:13, on 31/10/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\BackUp\explorer.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\ncdrive32.exe
    C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
    C:\Program Files\trend micro\Administrateur.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\NADIR\Software Zone\Malwarebytes\mbam.exe" /runcleanupscript
    O4 - HKLM\..\Run: [explorer] C:\WINDOWS\BackUp\explorer.exe
    O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\ncdrive32.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Test321] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe
    O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\ncdrive32.exe
    O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\NADIR\Software Zone\Nokia PC Suite\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] "C:\NADIR\Software Zone\Nokia PC Suite\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'Default user')
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A566F4F1-260C-4D3F-B52F-DA9793A1C933}: NameServer = 41.221.20.4 66.28.0.61
    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    0
  4. NinhoHiwyTheTiger Messages postés 9 Date d'inscription   Statut Membre Dernière intervention  
     
    le 2e : info.txt

    info.txt logfile of random's system information tool 1.06 2009-10-31 20:57:17

    ======Uninstall list======

    -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
    µTorrent-->"C:\NADIR\Software Zone\µTorrent\uTorrent.exe" /UNINSTALL
    Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
    Adobe Reader 9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A90000000001}
    Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
    BearShare-->C:\Program Files\BearShare Applications\BearShare\UninstallSurvey.exe C:\Program Files\BearShare Applications\BearShare\UnwiseLauncher.exe /A C:\PROGRA~1\BearShare Applications\BearShare\INSTALL.LOG
    Freez 3GP Video Converter 2.0-->"C:\NADIR\Software Zone\Smallvideosoft\Freez 3GP Video Converter\unins000.exe"
    HijackThis 2.0.2-->"C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe" /uninstall
    ImgBurn-->"C:\NADIR\Software Zone\ImgBurn\uninstall.exe"
    Intel(R) Extreme Graphics 2 Driver-->RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx PCI\VEN_8086&DEV_3582
    Malwarebytes' Anti-Malware-->"C:\NADIR\Software Zone\Malwarebytes\unins000.exe"
    Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
    Microsoft Office Enterprise 2007-->"C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL
    Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
    Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
    Microsoft Office Groove MUI (French) 2007-->MsiExec.exe /X{90120000-00BA-040C-0000-0000000FF1CE}
    Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
    Microsoft Office OneNote MUI (French) 2007-->MsiExec.exe /X{90120000-00A1-040C-0000-0000000FF1CE}
    Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
    Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
    Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
    Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
    Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
    Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
    Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
    Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
    Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
    Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
    Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
    Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
    MSVC80_x86-->MsiExec.exe /I{212748BB-0DA5-46DE-82A1-403736DC9F27}
    Nero OEM-->C:\Program Files\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
    Nokia Connectivity Cable Driver-->MsiExec.exe /X{0A3D3C54-2EC0-4D67-B265-FF17926E6D67}
    Nokia PC Suite-->C:\Documents and Settings\All Users\Application Data\Installations\{29466F9C-7C6A-419C-B301-F440FAF78760}\Nokia PC Suite Installer.exe
    Nokia PC Suite-->MsiExec.exe /I{29466F9C-7C6A-419C-B301-F440FAF78760}
    Package de pilotes Windows - Nokia Modem (08/03/2007 6.84.0.2)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\nokbtmdm_1EB5F2E6F54A6BEDE9F436D1BA5D830FC71739BE\nokbtmdm.inf
    Package de pilotes Windows - Nokia Modem (10/12/2007 3.6)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\nokia_blue_0A5D98F754C6588B2E3DDE89DDEF097075ADFFB7\nokia_bluetooth.inf
    PC Connectivity Solution-->MsiExec.exe /I{BA084E7C-8ABA-4670-BDE8-B85E689A5C1B}
    Pochette Express 2-->C:\NADIR\Software Zone\Pochette Express 2\uninstall.exe
    Smart Link 56K Modem-->C:\WINDOWS\Modio\SLAMR2KV\Setup.exe /Remove
    Switch Sound File Converter-->C:\Program Files\NCH Swift Sound\Switch\uninst.exe
    VIA Audio Driver Setup Program-->RunDll32.exe UnAudioNT.dll,UninstallAudio C:\WINDOWS\IsUninst.exe -y-f"C:\PROGRA~1\VIAudioi\SBASetup\Uninst.isu"
    VLC media player 1.0.1-->C:\NADIR\Software Zone\VideoLAN\VLC Media Player\uninstall.exe
    Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
    YouTube Download Studio 2.5.1.0-->"C:\NADIR\Software Zone\Jocsoft\YouTube Download Studio\unins000.exe"

    ======System event log======

    Computer Name: ORDI-XPSP2
    Event Code: 15007
    Message: La réservation de l'espace de nom identifié par le préfixe d'URL http://*:2869/ a été correctement ajoutée.

    Record Number: 5
    Source Name: HTTP
    Time Written: 20091030144738.000000+060
    Event Type: Informations
    User:

    Computer Name: ORDI-XPSP2
    Event Code: 3260
    Message: Cet ordinateur a correctement été joint au workgroup 'WORKGROUP'.

    Record Number: 4
    Source Name: Workstation
    Time Written: 20091030144342.000000+060
    Event Type: Informations
    User:

    Computer Name: ORDI-XPSP2
    Event Code: 6011
    Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers ORDI-XPSP2.

    Record Number: 3
    Source Name: EventLog
    Time Written: 20091030144235.000000+060
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 6005
    Message: Le service d'Enregistrement d'événement a démarré.

    Record Number: 2
    Source Name: EventLog
    Time Written: 20091030153758.000000+060
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 6009
    Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Uniprocessor Free.

    Record Number: 1
    Source Name: EventLog
    Time Written: 20091030153758.000000+060
    Event Type: Informations
    User:

    =====Application event log=====

    Computer Name: ORDI-XPSP2
    Event Code: 1000
    Message: Les compteurs de performances pour le service MSDTC (MSDTC) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 5
    Source Name: LoadPerf
    Time Written: 20091030144441.000000+060
    Event Type: Informations
    User:

    Computer Name: ORDI-XPSP2
    Event Code: 1000
    Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 4
    Source Name: LoadPerf
    Time Written: 20091030144436.000000+060
    Event Type: Informations
    User:

    Computer Name: ORDI-XPSP2
    Event Code: 1000
    Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 3
    Source Name: LoadPerf
    Time Written: 20091030144336.000000+060
    Event Type: Informations
    User:

    Computer Name: ORDI-XPSP2
    Event Code: 1000
    Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 2
    Source Name: LoadPerf
    Time Written: 20091030144253.000000+060
    Event Type: Informations
    User:

    Computer Name: ORDI-XPSP2
    Event Code: 1000
    Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 1
    Source Name: LoadPerf
    Time Written: 20091030144251.000000+060
    Event Type: Informations
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "Path"=C:\Program Files\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
    "windir"=%SystemRoot%
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "PROCESSOR_ARCHITECTURE"=x86
    "PROCESSOR_LEVEL"=6
    "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 13 Stepping 6, GenuineIntel
    "PROCESSOR_REVISION"=0d06
    "NUMBER_OF_PROCESSORS"=1
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP

    -----------------EOF-----------------
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. olivier114 Messages postés 1674 Statut Membre 104
     
    poste le rapport de rooter aussi stp
    0
  7. NinhoHiwyTheTiger Messages postés 9 Date d'inscription   Statut Membre Dernière intervention  
     
    voici le rapport de rooter

    Rooter.exe (v1.0.2) by Eric_71
    .
    SeDebugPrivilege granted successfully ...
    .
    Windows XP . (5.1.2600) Service Pack 2
    [32_bits] - x86 Family 6 Model 13 Stepping 6, GenuineIntel
    .
    [wscsvc] (Security Center) RUNNING (state:4)
    [SharedAccess] RUNNING (state:4)
    Windows Firewall -> Disabled !
    .
    Internet Explorer 8.0.6001.18702
    .
    C:\ [Fixed-NTFS] .. ( Total:37 Go - Free:30 Go )
    D:\ [CD_Rom]
    .
    Scan : 21:28.19
    Path : C:\Documents and Settings\Administrateur\Bureau\Rooter.exe
    User : Administrateur ( Administrator -> YES )
    .
    ----------------------\\ Processes
    .
    Locked [System Process] (0)
    ______ System (4)
    ______ \SystemRoot\System32\smss.exe (392)
    ______ \??\C:\WINDOWS\system32\csrss.exe (448)
    ______ \??\C:\WINDOWS\system32\winlogon.exe (472)
    ______ C:\WINDOWS\system32\services.exe (516)
    ______ C:\WINDOWS\system32\lsass.exe (528)
    ______ C:\WINDOWS\system32\svchost.exe (680)
    ______ C:\WINDOWS\system32\svchost.exe (756)
    ______ C:\WINDOWS\System32\svchost.exe (792)
    ______ C:\WINDOWS\system32\spoolsv.exe (1064)
    ______ C:\WINDOWS\Explorer.EXE (1144)
    ______ C:\WINDOWS\system32\slserv.exe (1164)
    ______ C:\WINDOWS\system32\igfxtray.exe (1812)
    ______ C:\WINDOWS\system32\hkcmd.exe (1820)
    ______ C:\WINDOWS\BackUp\explorer.exe (1936)
    ______ C:\WINDOWS\system32\ctfmon.exe (1952)
    ______ C:\WINDOWS\ncdrive32.exe (1960)
    ______ C:\WINDOWS\system32\svchost.exe (2004)
    ______ C:\WINDOWS\system32\wbem\wmiprvse.exe (168)
    ______ C:\WINDOWS\system32\wuauclt.exe (700)
    ______ C:\Documents and Settings\Administrateur\Bureau\Rooter.exe (268)
    .
    ----------------------\\ Device\Harddisk0\
    .
    \Device\Harddisk0 [Sectors : 63 x 512 Bytes]
    .
    \Device\Harddisk0\Partition1 --[ MBR ]-- (Start_Offset:32256 | Length:39999504384)
    .
    ----------------------\\ Scheduled Tasks
    .
    C:\WINDOWS\Tasks\desktop.ini
    C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1659004503-1614895754-725345543-1004Core.job
    C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1659004503-1614895754-725345543-1004UA.job
    C:\WINDOWS\Tasks\ParetoLogic Registration.job
    C:\WINDOWS\Tasks\SA.DAT
    .
    ----------------------\\ Registry
    .
    .
    ----------------------\\ Files & Folders
    .
    ----------------------\\ Scan completed at 21:28.20
    .
    C:\Rooter$\Rooter_2.txt - (31/10/2009 | 21:28.20)
    0
  8. NinhoHiwyTheTiger Messages postés 9 Date d'inscription   Statut Membre Dernière intervention  
     
    petite précision, j'ai eu un probleme et j'ai du redémarrer entre les rapports de RSIT et celui de rooter. est-ce que je dois reprendre depuis le début ou ca ira comme ça?

    merci.
    0
  9. NinhoHiwyTheTiger Messages postés 9 Date d'inscription   Statut Membre Dernière intervention  
     
    j'ai télécharger malwarebite's anti-malware et j'ai fait ce que tu m'as demandé et effectivement ça marche. j'ai complété le tt par une analyse d'un fichier .exe proposé sur le site d'avg https://www.avg.com/en/signal/malware-and-virus-removal-tool et tt est rentré dans l'ordre

    Merci pr ton aide précieuse l'ami
    0