Problème Virus Ramnit.E Win32. [Résolu/Fermé]

Signaler
Messages postés
5
Date d'inscription
samedi 3 septembre 2011
Statut
Membre
Dernière intervention
23 mai 2013
-
Messages postés
5
Date d'inscription
samedi 3 septembre 2011
Statut
Membre
Dernière intervention
23 mai 2013
-
Bonjour,


Confronté à un méchant virus (Ramnit-E Win32) depuis deux jours, j'ai besoin d'un crack de l'informatique pour m'aider, puisque j'aimerai idéalement ne pas avoir à reformater dans la mesure où j'ai beaucoup de fichier en .dll qui me servent pour le boulot notamment. Et comme en m'intéressant au virus, j'ai eu la surprise de voir qu'il contaminait tout autour de lui, il est donc nécessaire de tout bien nettoyer.

Pour le moment, j'ai utilisé Malwarebytes, avec lequel j'ai effectué l'examen complet. Voici son dernier rapport :

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7642

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

03/09/2011 13:58:10
mbam-log-2011-09-03 (13-58-10).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|)
Elément(s) analysé(s): 679684
Temps écoulé: 1 heure(s), 33 minute(s), 46 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CmjHvkrn (Trojan.Agent) -> Value: CmjHvkrn -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Bad: (C:\Users\Joël\AppData\Local\tgrulkiv\cmjhvkrn.exe) Good: () -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\users\joël\appdata\local\tgrulkiv\cmjhvkrn.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\Users\Joël\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\cmjhvkrn.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Joël\AppData\Local\Temp\trefxmqwvpyuslep.exe (Trojan.Agent) -> Quarantined and deleted successfully.


__________________________________________________________________


SAUF QUE !!! Ramnit est toujours là, je lui remets la dose avec cette fois ci ZHP (Au préalable la veille, j'ai mis également un coup de ComboFix) Tout d'abord, le ZHPFix mode admin qui me donne le rapport suivant :


Rapport de ZHPFix 1.12.3360 par Nicolas Coolman, Update du 29/08/2011
Fichier d'export Registre :
Run by Joël at 03/09/2011 18:02:30
Windows 7 Home Premium Edition, 64-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ABSENT Key: HKCU\Software\PriceGong
ABSENT Key: HKLM\Software\Conduit
ABSENT Key: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
ABSENT Key: HKLM\Software\Classes\Toolbar.CT1460988
ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
ABSENT Key: HKLM\Software\Classes\CLSID\{1a03f196-9617-4ca0-842b-a83ceecb022b}
ABSENT Key: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
ABSENT Key: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings
ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}
ABSENT SearchScopes :{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
ABSENT SearchScopes :{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
ABSENT SearchScopes :{afdbddaa-5d3f-42ee-b79c-185a7020515b}

========== Valeur(s) du Registre ==========
ABSENT RunValue: ShowDeskFix
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :
SUPPRIME FirewallRaz (Domain) : NetPres-In-TCP-NoScope
SUPPRIME FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
SUPPRIME FirewallRaz (None) : NetPres-WSD-In-UDP
SUPPRIME FirewallRaz (None) : NetPres-WSD-Out-UDP
SUPPRIME FirewallRaz (Public) : NetPres-In-TCP
SUPPRIME FirewallRaz (Public) : NetPres-Out-TCP
SUPPRIME FirewallRaz (None) : {6E3F1A83-3DEF-424D-860E-E41AB136C26C}
SUPPRIME FirewallRaz (None) : {5FE12719-04B3-437E-8086-DB5BA4F0593F}
SUPPRIME FirewallRaz (None) : {683E55F4-E6FD-4E53-A8EB-5BAB9271299A}
SUPPRIME FirewallRaz (None) : {4AD8672B-DF9D-4FFB-88D1-D80B9C5A7078}
SUPPRIME FirewallRaz (None) : {07EB47DB-6B1A-4F93-A391-4A6E8621F60A}
SUPPRIME FirewallRaz (None) : {39F95C1F-0824-4AFF-BAC7-0824DA50E352}
SUPPRIME FirewallRaz (None) : {F6745875-7C0B-427D-99C2-BC045459C1A1}
SUPPRIME FirewallRaz (Private) : {998036E7-6CEC-48B5-B448-48E886F40684}
SUPPRIME FirewallRaz (Private) : {E88F8CBD-2ECB-4774-8463-12FEEA8DB370}
SUPPRIME FirewallRaz (Private) : TCP Query User{FB039D03-8E14-4EF8-B828-58A66047A59B}C:\program files (x86)\ea sports\fifa 11 demo\game\fifa.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{767E5DAF-7446-48A3-A8C1-397CD4800EA0}C:\program files (x86)\ea sports\fifa 11 demo\game\fifa.exe
SUPPRIME FirewallRaz (None) : {A3B86B90-84B8-4E23-8560-6A5B43B6B848}
SUPPRIME FirewallRaz (Private) : TCP Query User{5C555E27-EE31-4F5E-918A-5CCAF55D2920}C:\users\joël\desktop\counter strike\counter strike source\hl2.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{A56A5D41-5963-4846-A379-F252EE449612}C:\users\joël\desktop\counter strike\counter strike source\hl2.exe

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 81
SUPPRIME Flash Cookies: 1195

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 418
SUPPRIME Flash Cookies: 526

========== Autre ==========
NON TRAITE PROXFix


========== Récapitulatif ==========
14 : Clé(s) du Registre
23 : Valeur(s) du Registre
2 : Dossier(s)
2 : Fichier(s)
1 : Autre


End of the scan in 00mn 02s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 03/09/2011 23:42:13 [700]
C:\ZHP\ZHPFix[R2].txt - 03/09/2011 18:02:30 [3666]



_________________________________________________________________


A partir de là j'essaie de lancer la seconde phase de l'opération ZHPDiag qui bloque en mode admin à 82%.... Et pas moyen de passer ce cap là.


Voilà, j'essaie inexorablement de trouver une solution mais je bloque malgré toutes les solutions testées sur le web.

Si quelqu'un a une solution à me donner, il serait mon sauveur et je suis persuadé qu'il y aura un crack qui va passer par là !

Merci d'avance.


Joël

5 réponses

Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 330
Salut,

Y a pas 36 manières de sauver les fichiers importants.
Tu les mets de côtés déjà, j'entends sur un autre PC en stockage à ne pas lancer, pour pas qu'il soit tous infectés.
Faut déterminer s'ils sont infectés et faut trouver un antivirus qui soit capable de les réparer sans les endommager.

Vu que tu dis que Dr Web détecte rien.
Essaye Kaspersky.

3
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 60511 internautes nous ont dit merci ce mois-ci

Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
Bin voila...Mak a tout dis!!! Vu que tu as un des pires malware qui traine sur le net!!! Good luck, man...
Messages postés
5
Date d'inscription
samedi 3 septembre 2011
Statut
Membre
Dernière intervention
23 mai 2013

Je tiens à signaler (j'ai oublié de le préciser) que j'ai utilisé également DrWeb qui ne me trouve rien en examen rapide et complet
Messages postés
5
Date d'inscription
samedi 3 septembre 2011
Statut
Membre
Dernière intervention
23 mai 2013

Kaspersky pure installé, il a fait le ménage le grand garçon et il n'a pas fait semblant, je ne connaissais pas cet antivirus, c'est une merveille, merci Malekal_morte pour ce précieux conseil, problème résolu !!!!
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 330
y la version removal tools en gratos et standalone.
Pure c'est le truc complet non ?

=> https://forum.malekal.com/viewtopic.php?t=33710&start=

SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!
Messages postés
5
Date d'inscription
samedi 3 septembre 2011
Statut
Membre
Dernière intervention
23 mai 2013

Oui Pure est l'antivirus complet, il y en a trois je crois, Pure est le meilleur des trois mais aussi le plus cher (autour de 55 euros). Il offre une protection complète et détaillée (pour les connaisseurs il y a moyen de farfouiller et se régler la bestiole comme il faut) par rapport aux autres antivirus que j'ai eu l'occasion de tester (j'avais Avira au moment de l'infection).

Je suis allé voir ton lien, et j'hésite à acheter la version Pure, est ce que ce que tu proposes est une alternative à Pure ou un complément ? Et est-elle aussi efficace que Pure (si c'est la même chose) ?