Sujet Précédent Sujet Suivant

Un virus limitant l'acces à internet

Fermé
makofsky - 29 déc. 2011 à 18:09
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 2 janv. 2012 à 13:18
Bonjour,
Mon PC a été attaqué par un virus dénommé Ramnit.AF, j'ai utilisé un anti-malware pour le supprimer ce qui a été fait avec succès mais bien sur en laissant des dégâts. des fichiers DLL qui manquent..
Mais le plus étrange ce que j'arrive pas à accéder à des sites internet d'antivirus !! le virus ou bien ce qui reste de lui bloque l'accès à tout site permettant le téléchargement d'antivirus.. c'est très bizarre ! j'ai changé de navigateur mais le problème persiste encore. Donc SVP si quelqu'un peut connait comment on peut résoudre ce problème qu'il n'hésite pas partager avec moi ses idées :)
Merci d'avance.

12 réponses

Réponse 1 / 12
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
29 déc. 2011 à 18:43
Bonsoir,

Ramnit est un virus au vrai sens du terme, il infecte au fur et à mesure tous les exécutables, les fichiers .dll et .html
Seule une désinfection avec un CD live comme Dr Web peut donner des résultats si l'infection n'est pas trop avancée : https://forum.malekal.com/viewtopic.php?t=21820&start=
Le formatage restant souvent la meilleure solution.

A +
0
makofsky
29 déc. 2011 à 19:19
Au début j'ai pensé que e formatage de mon PC été la seule solution envisageable. Mais je me suis dit que ça serai bien donner une dernière chance à MalwareBytes qui est très connus pour son efficacité, à ma grande surprise toutes les menaces Ramnit ont été neutralisées. j'ai refait le testes par plusieurs Antivirus (qui me signalaient avant la présence de Ramnit) dont les résultats étaient 100% positif.
Maintenant ce qui me pose problème c'est l'interdiction d'accéder aux sites des antivirus et de sécurité. Je ne sait pas ce qui peut causé cela, étant donné que Ramnit a disparu..
en tout cas Merci pour la réponse.
0
Réponse 2 / 12
Ch93 Messages postés 5222 Date d'inscription mardi 18 janvier 2011 Statut Membre Dernière intervention 23 janvier 2013 729
29 déc. 2011 à 18:45
Essaie de télécharger ça pour voir...
https://support.norton.com/sp/static/external/tools/npe.html
0
Réponse 3 / 12
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
29 déc. 2011 à 20:20
re,

Malwarebytes est un bon logiciel mais il ne peut pas désinfecter Ramnit.
Si les différents logiciels que tu as utilisés ont mis en quarantaine des fichiers essentiels au système, tu rencontreras toujours des problèmes.
Commence par graver DrWeb et faire un scan.

A +
0
makofsky
Modifié par makofsky le 29/12/2011 à 21:44
je viens de le télécharge et le tester .. il a trouvé un seule virus Rmnit au niveau de la mémoire (ce que Malwarebytes ne permet de faire en version gratuite)..
Je crois que c'est déjà très bien sachant que j' avait plus que 700 infections.. maintenant la seule qui persistait est maintenant éradiquée..
maintenant je me demande est ce qu'un virus peut bloquer l'accès à des sites internet ? si oui comment contourner ce blocage ou comment savoir la source de ce blocage (paramètres réseaux à modifier, proxy, ..)
Merci beaucoup pour ton aide :)
0
Réponse 4 / 12
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
29 déc. 2011 à 22:18
On va regarder mais comme déjà dit, si des fichiers système ont été mis en quarantaine, la réparation n'est pas garantie.

Quel est le nom du fichier trouvé par DrWeb ?

Utilise cet outil de diagnostic :

Télécharge OTL (de OldTimer) sur ton Bureau.

Ferme toutes tes applications en cours

● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
/md5start
volsnap.*
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%systemroot%\*. /mp /s 
%systemroot%\assembly\tmp\*.* /s 
hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
hklm\software\clients\startmenuinternet|command /rs
CREATERESTOREPOINT

● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

A +

0
makofsky
30 déc. 2011 à 01:32
J'ai suivie les étapes décrites ci-dessus et voila les deux fichiers :
Extras.txt : http://cjoint.com/data/0LEbv0Duy0M.htm
Olt.txt : http://cjoint.com/data/0LEbv0Duy0M.htm

Merci pour l'intérêt que vous manifestez à mon problème.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 12
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
30 déc. 2011 à 10:11
Bonjour,

Comme je le pensais Ramnit est toujours présent.
Et en plus, il n'est pas seul, ton pc est multi-infecté.

As tu vraiment utilisé le CD Live de DrWeb ? Si oui, je te conseille de formater.

Tu as hébergé 2 fois OTL.txt, si tu as le second rapport extra.txt, héberge le et donne le lien.

A +
0
makofsky
30 déc. 2011 à 10:44
Bonjour,
voici le lien pour extra.txt : http://cjoint.com/11dc/ALEkLPljlS2.htm
La question que je me pose pourquoi les antivirus ne le détecte pas ?
Pour le DRWeb, en analyse rapide il a pu détecter Rmint en mémoire (une seule infection). Je voulais faire l'analyse complète mais ça pris beaucoup de temps (30% en une heure) et j'ai pas pu le laisser du faite que j'avais quelques choses à faire sur le PC.
Sur le fichier OTL.txt quels sont les lignes qui indiquent la présence de Rmnit ?
Merci pour tes conseils.
0
Réponse 6 / 12
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
30 déc. 2011 à 11:07
re,

Ramnit est visible sur 2 lignes : 
O20 - HKLM Winlogon: UserInit - (D:\Documents and Settings\yelfouih\Local Settings\Application Data\jmjkbskg\rsbwlstw.exe)
[2011/12/29 20:38:40 | 000,100,780 | ---- | M] (BreakPoint Software, Inc.) -- C:\WINDOWS\Explorermgr.exe

Avec OTL, on ne peut pas voir par contre les fichiers modifiés par l'infection, seulement les points de chargement.

C'est un pc professionnel ?

A +
0
makofsky
30 déc. 2011 à 11:23
Oui c'est un PC professionnel qui ne m'appartient pas ! c'est pour cela que j'hésite pour le formatage..
Pour le fichier extra.txt ça donne quelque choses ?
0
Réponse 7 / 12
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
30 déc. 2011 à 11:41
ok,

On va essayer, mais je te garantie rien.

== == == == == == == == == == == == == == == == == == == == == ==

Sauvegarde tes documents les plus importants.

Attention, aucun exécutable (.exe .com .scr .pif etc...), aucun fichier .dll .html . htm

== == == == == == == == == == == == == == == == == == == == == ==

1. Désinstalle : 

Babylon toolbar on IE 
Complitly 
searchweb     
cacaoweb
Browser Defender 3.0        
Spyware Doctor 8.0

2. Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!

Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
Accepte d'installer la console de récupération si tu es sous XP
● Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
● Il est possible que l'outil est besoin de redémarre l'ordinateur.

!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
(risque de plantage complet de l'ordinateur)

● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
● Héberge le rapport et donne moi le lien.

!! Réactive les protections résidentes de ton PC !!

Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt

A +
0
makofsky
30 déc. 2011 à 16:13
C'est fait.. Mais j'ai oublié de desintaller les applications que tu a cité, je ne sait pas est ce que cela aura une incidence sur les résultats ou non?..
voila le rapport : http://cjoint.com/11dc/ALEqnm93O8g.htm

mille merci..
0
Réponse 8 / 12
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
30 déc. 2011 à 17:45
mafosky,

Ramnit est toujours là.

1. Désinstalle les logiciels que je t'ai demandé : 
Babylon toolbar on IE 
Complitly 
searchweb     

Browser Defender 3.0        
Spyware Doctor 8.0

2. Ouvre le bloc-note et copie/colle les instructions en citation : 

DDS::
IE: {{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1} - {CDB982ED-F9D6-4E3B-B94B-96F705D35AD1} - c:\program files\searchweb\tbunsx159.tmp\tbcore3.dll     
  
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C0924543-15FD-4F3D-889C-0B4562A9CB45}] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] 
"{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1}"=-
[-HKEY_CLASSES_ROOT\clsid\{cdb982ed-f9d6-4e3b-b94b-96f705d35ad1}] 
[-HKEY_CLASSES_ROOT\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}]     
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] 
"{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1}"=-      
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"RsbWlstw"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] 
"Userinit"="c:\\windows\\system32\\userinit.exe," 

File::      
c:\windows\system32\userinitmgr.exe 
c:\windows\Explorermgr.exe 
d:\documents and settings\yelfouih.EUROPE\Menu Démarrer\Programmes\Démarrage\rsbwlstw.exe   
c:\windows\Tasks\RegCure Program Check.job 
c:\windows\Tasks\RegCure.job 

Folder::
d:\documents and settings\All Users\Application Data\RegCure     
c:\program files\RegCure    
c:\program files\searchweb
d:\documents and settings\yelfouih\Local Settings\Application Data\jmjkbskg

● Sauvegarde le fichier sous le nom CFScript.txt impérativement sur ton Bureau.
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!
● Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img
● Patiente pendant le travail de l'outil et la création du rapport.

A +
0
makofsky
30 déc. 2011 à 18:11
Kalimusic,
en faite le logiciel Browser Dfender est impossible à désinstaller. une fois qu'on execute le Uninstall une erreure s'affiche disant : "Run time error at 48:511. Could not call proc"
Doit-je continuer quand même la procédure ?
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
30 déc. 2011 à 18:20
Oui, tout à fait
0
makofsky
30 déc. 2011 à 19:09
voila le rapport : http://cjoint.com/11dc/ALEtiPGObuQ.htm
0
Réponse 9 / 12
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
30 déc. 2011 à 21:07
re,

La situation n'a pas évolué Ramnit est toujours là.
Certains fichiers ont résisté à la suppression.
On continue ?

A +
0
makofsky
30 déc. 2011 à 21:50
en faite ce que je pense maintenant est que je vais essayer de travailler avec le PC tel qu'il est maintenant et une fois rentré après ce week-end je demanderai au service informatique de l'entreprise de formater le PC.
Ce que je me demande est ce que les fichier sur le quels je travail contiennent le virus Rmnit ? j'ai analysé plusieurs fois une clé usb ou j'ai mit tout les docs importants et j'ai pas trouvé de traces de Rmnit, c a d que tt vas bien ? tu me conseil quoi ?

Je te remercie infiniment pour ta précieuse aide.
0
Réponse 10 / 12
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
30 déc. 2011 à 22:41
Personnellement, ça ne me dérange pas de continuer, c'est mon passe temps.
Tu peux regarder mes autres interventions, j'essaye toujours de désinfecter.
Mais quand j'ai pris ton sujet, je t'ai conseillé de formater.
Parce que sauf cas assez rare, c'est la seule solution pour ce type de virus.
On devra passer encore des outils sans être sûr du résultat.

Pour tes documents, Ramnit ne touche que les exécutables (.exe .com .scr .pif etc...), les fichiers .dll .html et .htm

Tu as un autre pc ?

A +
0
makofsky
31 déc. 2011 à 00:02
oui j'ai un autre PC.. mais sur mon PC professionnel j'utilise un logiciel pour le travail et qui n'est pas installé dans l'autre..
Le problème c'est que je doit finir un travail d'ici le lundi prochain, donc je préférerai finir le travail en premier (ce qui va me prendre tout le week-end) ..
0
makofsky
31 déc. 2011 à 00:02
Franchement j'ai apprécier beaucoup ce que tu a fait, et j'aimerai bien te demander si c'est possible comment je peut apprendre un peut sur la sécurité et les virus.. je m'y connais un peut en informatique (programmation) et la sécurité est un sujet que j'aimerai bien connaitre ..
je voudrai savoir les différents types de virus, comment les éradiquer, pouvoir analyser les rapport des antivirus, etc...
connait tu des sites internet, livres, qui peuvent m'aider à progresser ?
0
Réponse 11 / 12
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
31 déc. 2011 à 00:11
Je comprends bien pour ton travail, mais ma question avait pour but de m'assurer que tu n'avais pu transmettre Ramnit à une autre unité. 

je voudrai savoir les différents types de virus, comment les éradiquer, pouvoir analyser les rapport des antivirus, etc...

J'ai appris sur des forums de formation spécialisés dans ce domaine.
C'est une passion qui prends énormément de temps et on ne fini jamais d'apprendre car l'évolution est constante.

A +
0
makofsky
2 janv. 2012 à 13:15
Je tiens à te remercier pour ton aide et toutes ses informations .. ça fait chaud au coeur de voir des gens qui utilisent leur savoir-faire pour aider les autres.
Je te souhaite bonne continuation dans ton travail.
Meilleurs voeux à l'occasion de l'année 2012 :)
0
Réponse 12 / 12
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
2 janv. 2012 à 13:18
Bonne année 2012

Tu as pu confier l'ordinateur au service informatique ?
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
comment donner les droits sur fichier partage
ch'ti du 57 -
fil1958 -

2 réponses
Live tiktok
Dialmari -
Tamara -

11 réponses
35 GO à l'étranger
Laurence -
Laurence -

2 réponses
Internet dans nouvel appartement
BrunoDodo -
Utilisateur anonyme -

2 réponses