Ramnit me dévore...
Résolu
Wota
-
loumax91 Messages postés 3190 Date d'inscription Statut Contributeur sécurité Dernière intervention -
loumax91 Messages postés 3190 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour à tous,
J'ai remarqué que depuis hier soir je suis gravement infecté.
Comment je l'ai remarqué ? Mes programme se coupent tout seul, donc j'ai surement une personne qui est en train de me surveillée.
Ensuite avira m'as fait pas mal de remarques.
Le petit fouineux serait Ramnit. Son principe est de modifier les extansions de tout les fichiers qu'il infècte.
Première notif :
http://textup.fr/11823ea
http://i.imgur.com/l8YQ5.png
Ensuite les notifs ont continuées à tombées. Vraiment énormément !
J'ai tenté : Une dizaine de combofix, deux scans avira, deux spybots S&D, tout en mode sans échec.
Et il ne s'arrête pas. Ce bruit me stress. C'est fou (o: .
http://i.imgur.com/mmgtV.png
Je pense devoir formater. Les faits sont que je n'ai pas de sauvegarde et qu'étant graphiste/ photographe, j'aimerais pouvoir sauver
quelques données. Mais si je le fait maintenant mon DD sera aussi infecté ? Non ?
Voilà mon rapport de combofix :
http://textup.fr/11824E0
Aidez-moi, on dirait qu'une personne controle ramnit, car maintenant il s'attaque lui même à combofix. Je vois même les noms de
mes anciens virus ressortir.
Comment puis-je formater sans sauvegarde et sauver mes fichiers ? Merci !
J'ai remarqué que depuis hier soir je suis gravement infecté.
Comment je l'ai remarqué ? Mes programme se coupent tout seul, donc j'ai surement une personne qui est en train de me surveillée.
Ensuite avira m'as fait pas mal de remarques.
Le petit fouineux serait Ramnit. Son principe est de modifier les extansions de tout les fichiers qu'il infècte.
Première notif :
http://textup.fr/11823ea
http://i.imgur.com/l8YQ5.png
Ensuite les notifs ont continuées à tombées. Vraiment énormément !
J'ai tenté : Une dizaine de combofix, deux scans avira, deux spybots S&D, tout en mode sans échec.
Et il ne s'arrête pas. Ce bruit me stress. C'est fou (o: .
http://i.imgur.com/mmgtV.png
Je pense devoir formater. Les faits sont que je n'ai pas de sauvegarde et qu'étant graphiste/ photographe, j'aimerais pouvoir sauver
quelques données. Mais si je le fait maintenant mon DD sera aussi infecté ? Non ?
Voilà mon rapport de combofix :
http://textup.fr/11824E0
Aidez-moi, on dirait qu'une personne controle ramnit, car maintenant il s'attaque lui même à combofix. Je vois même les noms de
mes anciens virus ressortir.
Comment puis-je formater sans sauvegarde et sauver mes fichiers ? Merci !
34 réponses
"Ensuite, tu penses que dans mon cas il faudrait vraiment modifier mes identifiants / mots de passe ?"
Je pense sincèrement que cela serait plus prudent, dérober de tel infos est l'une des fonctions premières de Ramnit :
https://www.futura-sciences.com/tech/actualites/internet-ver-ramnit-derobe-identifiants-45000-comptes-facebook-35924/
"Et tu crois que mon disque dur est certain ? Si oui, je me ferais une joie d'y placer mes documents."
Tu peux réutiliser ton PC normalement mais par expérience, il est préférable de faire systématiquement une copie de tes documents important sur un support externe (clé USB, CD, DVD ou DD externe), tu peux aussi utiliser un deuxième DD interne à cet effet, ou tout simplement utiliser un espace de stockage en ligne gratuit :
http://www.linternaute.com/hightech/sauvegarde/coffres-forts-virtuels/selection/0919-selection.shtml
http://www.linternaute.com/comparatif/categorie/276/
https://www.pcastuces.com/pratique/internet/stocker_fichiers_internet/page1.htm
come déjà dit dans mon message précédant, c'est plus prudent ;)
Je pense sincèrement que cela serait plus prudent, dérober de tel infos est l'une des fonctions premières de Ramnit :
https://www.futura-sciences.com/tech/actualites/internet-ver-ramnit-derobe-identifiants-45000-comptes-facebook-35924/
"Et tu crois que mon disque dur est certain ? Si oui, je me ferais une joie d'y placer mes documents."
Tu peux réutiliser ton PC normalement mais par expérience, il est préférable de faire systématiquement une copie de tes documents important sur un support externe (clé USB, CD, DVD ou DD externe), tu peux aussi utiliser un deuxième DD interne à cet effet, ou tout simplement utiliser un espace de stockage en ligne gratuit :
http://www.linternaute.com/hightech/sauvegarde/coffres-forts-virtuels/selection/0919-selection.shtml
http://www.linternaute.com/comparatif/categorie/276/
https://www.pcastuces.com/pratique/internet/stocker_fichiers_internet/page1.htm
come déjà dit dans mon message précédant, c'est plus prudent ;)
Voilà, après avoir fait comme indiqué ici : http://www.commentcamarche.net/forum/affich-19579813-virus-win32-ramnit-a-virus, j'ai encore des virus apparement. (Selon avira). Ramnit continue à s'attaquer à combofix !
J'ai donc fait la STEP 1 : http://textup.fr/11826DG
(un simple combofix)
Ainsi que la STEP 2 : http://textup.fr/11827FT
(un ZHPDIAG)
Et j'ai terminé avec un combofix, STEP 3 : http://textup.fr/11828Mk
Merci de bien vouloir venir à mon aide ! (o:
J'ai donc fait la STEP 1 : http://textup.fr/11826DG
(un simple combofix)
Ainsi que la STEP 2 : http://textup.fr/11827FT
(un ZHPDIAG)
Et j'ai terminé avec un combofix, STEP 3 : http://textup.fr/11828Mk
Merci de bien vouloir venir à mon aide ! (o:
Bonjour
Essaies DR WEB LIVE CD
tutoriel
Vois ce sujet et suis les indications:
https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit
Essaies DR WEB LIVE CD
tutoriel
Vois ce sujet et suis les indications:
https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit
Fais ce qui suit dans l'ordre :
*Désinstaller via programmes et fonctionnalités :
-Spybot - Search & Destroy
-Malwarebytes (on le réinstallera plus tard)
*************
*Télécharge et installe Dr.Web CureIT (choisis installation standard)
*Alerte "protection renforcée" cliquer sur >> OK
*Clique sur "mettre à jour" et ensuite sur "commencer le scan", patiente et laisse travailler l'outil durant l'analyse
*Si détection >> Quarantaine
*Clique sur "fichier" et "enregistrer le rapport", poste le dans ta prochaine réponse
*Sers-toi du tutorial ci-dessous pour l'utilisation de Dr Web
Tutorial
************
* Télécharge USBFix (de El desaparecido et C_XX) sur ton Bureau
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
* Fais un clic droit sur le programme USBFix et choisis 'Exécuter en tant qu'administrateur'.
* Au menu principal, clique sur "Recherche"
* Ton Bureau va disparaitre, puis l'ordinateur va redémarrer : c'est normal
* Laisse travailler l'outil jusqu'au bout
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse stp
"Celui qui aime à apprendre est bien près du savoir" (Confucius)
*Désinstaller via programmes et fonctionnalités :
-Spybot - Search & Destroy
-Malwarebytes (on le réinstallera plus tard)
*************
*Télécharge et installe Dr.Web CureIT (choisis installation standard)
*Alerte "protection renforcée" cliquer sur >> OK
*Clique sur "mettre à jour" et ensuite sur "commencer le scan", patiente et laisse travailler l'outil durant l'analyse
*Si détection >> Quarantaine
*Clique sur "fichier" et "enregistrer le rapport", poste le dans ta prochaine réponse
*Sers-toi du tutorial ci-dessous pour l'utilisation de Dr Web
Tutorial
************
* Télécharge USBFix (de El desaparecido et C_XX) sur ton Bureau
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
* Fais un clic droit sur le programme USBFix et choisis 'Exécuter en tant qu'administrateur'.
* Au menu principal, clique sur "Recherche"
* Ton Bureau va disparaitre, puis l'ordinateur va redémarrer : c'est normal
* Laisse travailler l'outil jusqu'au bout
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse stp
"Celui qui aime à apprendre est bien près du savoir" (Confucius)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ce script va cibler certains éléments à supprimer :
O4 - HKUS\S-1-5-18\..\Run: [YZ5CZHZY2D1F0IVFOKYYNQARCIZOBK] C:\$Recycle$\B8DEA5BB102.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [YZ5CZHZY2D1F0IVFOKYYNQARCIZOBK] C:\$Recycle$\B8DEA5BB102.exe (.not file.)
[HKCU\Software\PopCap]
[HKLM\Software\PopCap]
O43 - CFD: 6-9-2010 - 17:31:00 - [0,283] ----D- C:\ProgramData\PopCap Games
O43 - CFD: 4-1-2012 - 19:31:46 - [0,280] ----D- C:\ProgramData\Spybot - Search & Destroy
O43 - CFD: 2-3-2011 - 13:18:46 - [0,002] ----D- C:\ProgramData\regid.1986-12.com.adobe
O43 - CFD: 18-3-2011 - 22:35:56 - [15,297] ----D- C:\Program Files (x86)\Spybot - Search & Destroy
O43 - CFD: 18-3-2011 - 22:35:56 - [15,294] ----D- C:\Program Files (x86)\Spybot - Search & Destroynew
O43 - CFD: 4-1-2012 - 19:31:46 - [2,214] ----D- C:\Program Files (x86)\Spybot - Search & Destroynew5
[HKLM\Software\Wow6432Node\Cheat Engine\OpenCandy]
[HKCU\Software\PopCap]
[HKLM\Software\WOW6432Node\PopCap]
[HKLM\Software\Wow6432Node\\Cheat Engine\OpenCandy]
C:\Users\Gaëtan\AppData\Roaming\Adobe\plugs
C:\Users\Gaëtan\AppData\Roaming\Adobe\shed
C:\ProgramData\PopCap Games
EmptyFlash
FirewallRAZ
EmptyTemp
* Sélectionne le script (lignes en gras) en entier et copie le (Edition --> Copier)
* Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Copie/colle la totalité du rapport dans ta prochaine réponse
Utilise ce logiciel de désinfection généraliste :
* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin de l'analyse, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression
O4 - HKUS\S-1-5-18\..\Run: [YZ5CZHZY2D1F0IVFOKYYNQARCIZOBK] C:\$Recycle$\B8DEA5BB102.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [YZ5CZHZY2D1F0IVFOKYYNQARCIZOBK] C:\$Recycle$\B8DEA5BB102.exe (.not file.)
[HKCU\Software\PopCap]
[HKLM\Software\PopCap]
O43 - CFD: 6-9-2010 - 17:31:00 - [0,283] ----D- C:\ProgramData\PopCap Games
O43 - CFD: 4-1-2012 - 19:31:46 - [0,280] ----D- C:\ProgramData\Spybot - Search & Destroy
O43 - CFD: 2-3-2011 - 13:18:46 - [0,002] ----D- C:\ProgramData\regid.1986-12.com.adobe
O43 - CFD: 18-3-2011 - 22:35:56 - [15,297] ----D- C:\Program Files (x86)\Spybot - Search & Destroy
O43 - CFD: 18-3-2011 - 22:35:56 - [15,294] ----D- C:\Program Files (x86)\Spybot - Search & Destroynew
O43 - CFD: 4-1-2012 - 19:31:46 - [2,214] ----D- C:\Program Files (x86)\Spybot - Search & Destroynew5
[HKLM\Software\Wow6432Node\Cheat Engine\OpenCandy]
[HKCU\Software\PopCap]
[HKLM\Software\WOW6432Node\PopCap]
[HKLM\Software\Wow6432Node\\Cheat Engine\OpenCandy]
C:\Users\Gaëtan\AppData\Roaming\Adobe\plugs
C:\Users\Gaëtan\AppData\Roaming\Adobe\shed
C:\ProgramData\PopCap Games
EmptyFlash
FirewallRAZ
EmptyTemp
* Sélectionne le script (lignes en gras) en entier et copie le (Edition --> Copier)
* Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Copie/colle la totalité du rapport dans ta prochaine réponse
Utilise ce logiciel de désinfection généraliste :
* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin de l'analyse, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression
Je suis en plein scan de malwarebytes. Un ami me fait te préciser que vu que je suis dans une école de graphisme ça se propage par ma clé usb la plupart des fois.
Après ce scan, j'tenvois tout ! Merci !
Après ce scan, j'tenvois tout ! Merci !
Ce matin gros problème, déjà hier soir, j'ai tenté deux MBAM,
mais au bout de deux heures chaque fois mon ordi commence à ramé lourdement,
j'en suis au point à l'éteindre manuellement car tout ne réponds plus.
La même ce matin. Je pense devoir le faire en mode sans échec. (Ce que j'vais faire de suite).
PIRE ! Ramnit est de retour.
"Dans le fichier 'C:\Users\Gaëtan\Documents\ToYcon\ToYcon.exe'
un virus ou un programme indésirable 'W32/Ramnit.E' [virus] a été détecté.
Action exécutée : Refuser l'accès"
Petite précision, il se présente deux Ramnit. Un .e et un .c !
Et ce n'est pas le seul !
"Dans le fichier 'C:\Users\Gaëtan\AppData\Local\temp\ovhogagr.sys'
un virus ou un programme indésirable 'RKIT/Hider.LKI' [trojan] a été détecté.
Action exécutée : Autoriser l'accès"
Depuis j'ai fais un combofix. Qui est maintenant en train de se faire attaquer par ramnit.
http://textup.fr/11853mE
Je vais nettoyer mes outils et lancer un MBAM en mode sans échec. J'veux éviter le formatage... =/
mais au bout de deux heures chaque fois mon ordi commence à ramé lourdement,
j'en suis au point à l'éteindre manuellement car tout ne réponds plus.
La même ce matin. Je pense devoir le faire en mode sans échec. (Ce que j'vais faire de suite).
PIRE ! Ramnit est de retour.
"Dans le fichier 'C:\Users\Gaëtan\Documents\ToYcon\ToYcon.exe'
un virus ou un programme indésirable 'W32/Ramnit.E' [virus] a été détecté.
Action exécutée : Refuser l'accès"
Petite précision, il se présente deux Ramnit. Un .e et un .c !
Et ce n'est pas le seul !
"Dans le fichier 'C:\Users\Gaëtan\AppData\Local\temp\ovhogagr.sys'
un virus ou un programme indésirable 'RKIT/Hider.LKI' [trojan] a été détecté.
Action exécutée : Autoriser l'accès"
Depuis j'ai fais un combofix. Qui est maintenant en train de se faire attaquer par ramnit.
http://textup.fr/11853mE
Je vais nettoyer mes outils et lancer un MBAM en mode sans échec. J'veux éviter le formatage... =/
Aidez-moi, même mon mode sans échec ne fonctionne plus.
Lors du démarage il reste bloqué à l'étape "disk".
Et mon firefox à été réanitialisé apparement.
Lors du démarage il reste bloqué à l'étape "disk".
Et mon firefox à été réanitialisé apparement.
Essaies de faire ce que je t'ai indiqué dans mon premier message, il serait préférable (si possible) de télécharger et graver DR WEB LIVE CD depuis un autre PC sain.
https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit
Quand cette opération sera réalisé, reviens ici pour la suite.
https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit
Quand cette opération sera réalisé, reviens ici pour la suite.
loumax91, j'ai réussi a le graver sur un ordi safe, mais j'arrive pas a le lancer ensuite.
J'peux juste l'ouvrir. http://i.imgur.com/Z3vVL.png
Ainsi que le fameux :
"Dans le fichier 'C:\Users\Gaëtan\AppData\Local\temp\ovhogagr.sys'
un virus ou un programme indésirable 'RKIT/Hider.LKI' [trojan] a été détecté.
Action exécutée : Autoriser l'accès"
ce lance toujours au démarrage !
Merci
J'peux juste l'ouvrir. http://i.imgur.com/Z3vVL.png
Ainsi que le fameux :
"Dans le fichier 'C:\Users\Gaëtan\AppData\Local\temp\ovhogagr.sys'
un virus ou un programme indésirable 'RKIT/Hider.LKI' [trojan] a été détecté.
Action exécutée : Autoriser l'accès"
ce lance toujours au démarrage !
Merci
Vi, pour l'iso c'est bon mais c'est le boot que j'arrive pas a faire. Car me manque ma touche escape.
J'en aurait une demain. Sinon, j'ai fait un scan avec MWAV : http://textup.fr/11876U7 (qui m'a viré 24 virus)
Ainsi qu'un MBAM qui m'en a viré 5. (Il m'as pas donné le log).
Toussa en mode sans-échec.
Depuis tout va très bien, appart que ça rame un tout petit peu parfois !
Merci !
J'en aurait une demain. Sinon, j'ai fait un scan avec MWAV : http://textup.fr/11876U7 (qui m'a viré 24 virus)
Ainsi qu'un MBAM qui m'en a viré 5. (Il m'as pas donné le log).
Toussa en mode sans-échec.
Depuis tout va très bien, appart que ça rame un tout petit peu parfois !
Merci !
Bonjour
Avec ramnit il faut que tu comprenne que tans que tu ne passeras pas un live CD, tu as 9 chance sur 10 que l'infection réapparaisse !
En désinfectant depuis un live CD le virus est inactif, c'est de cette façon que tu arriveras à le virer ;)
https://www.malekal.com/ramnit-fait-son-retour-un-vrai-virus/
Avec ramnit il faut que tu comprenne que tans que tu ne passeras pas un live CD, tu as 9 chance sur 10 que l'infection réapparaisse !
En désinfectant depuis un live CD le virus est inactif, c'est de cette façon que tu arriveras à le virer ;)
https://www.malekal.com/ramnit-fait-son-retour-un-vrai-virus/
Bonjour !
Après avoir travaillé toute la nuit mon ordi m'a trouvé deux trojans. Aucunes traces de ramnit. (10 : 00 ) de test. Mon ordi rame toujours un peu, enfin j'ai l'impression.
J'ai trouvé étonnant qu'il n'ai vu aucun virus dans le disque dur C:\ alors j'ai relancé un scan. Sois disant je n'ai que 38 élément dedans et en même pas une seconde, tout a été scanné.
Que-fais je maintenant ?'
Merci beaucoup !
Après avoir travaillé toute la nuit mon ordi m'a trouvé deux trojans. Aucunes traces de ramnit. (10 : 00 ) de test. Mon ordi rame toujours un peu, enfin j'ai l'impression.
J'ai trouvé étonnant qu'il n'ai vu aucun virus dans le disque dur C:\ alors j'ai relancé un scan. Sois disant je n'ai que 38 élément dedans et en même pas une seconde, tout a été scanné.
Que-fais je maintenant ?'
Merci beaucoup !