Ramnit me dévore...
Résolu/Fermé
Wota
-
4 janv. 2012 à 15:26
loumax91 Messages postés 3183 Date d'inscription mardi 14 juin 2011 Statut Contributeur sécurité Dernière intervention 14 avril 2019 - 12 janv. 2012 à 20:42
loumax91 Messages postés 3183 Date d'inscription mardi 14 juin 2011 Statut Contributeur sécurité Dernière intervention 14 avril 2019 - 12 janv. 2012 à 20:42
34 réponses
loumax91
Messages postés
3183
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
478
12 janv. 2012 à 20:42
12 janv. 2012 à 20:42
"Ensuite, tu penses que dans mon cas il faudrait vraiment modifier mes identifiants / mots de passe ?"
Je pense sincèrement que cela serait plus prudent, dérober de tel infos est l'une des fonctions premières de Ramnit :
https://www.futura-sciences.com/tech/actualites/internet-ver-ramnit-derobe-identifiants-45000-comptes-facebook-35924/
"Et tu crois que mon disque dur est certain ? Si oui, je me ferais une joie d'y placer mes documents."
Tu peux réutiliser ton PC normalement mais par expérience, il est préférable de faire systématiquement une copie de tes documents important sur un support externe (clé USB, CD, DVD ou DD externe), tu peux aussi utiliser un deuxième DD interne à cet effet, ou tout simplement utiliser un espace de stockage en ligne gratuit :
http://www.linternaute.com/hightech/sauvegarde/coffres-forts-virtuels/selection/0919-selection.shtml
http://www.linternaute.com/comparatif/categorie/276/
https://www.pcastuces.com/pratique/internet/stocker_fichiers_internet/page1.htm
come déjà dit dans mon message précédant, c'est plus prudent ;)
Je pense sincèrement que cela serait plus prudent, dérober de tel infos est l'une des fonctions premières de Ramnit :
https://www.futura-sciences.com/tech/actualites/internet-ver-ramnit-derobe-identifiants-45000-comptes-facebook-35924/
"Et tu crois que mon disque dur est certain ? Si oui, je me ferais une joie d'y placer mes documents."
Tu peux réutiliser ton PC normalement mais par expérience, il est préférable de faire systématiquement une copie de tes documents important sur un support externe (clé USB, CD, DVD ou DD externe), tu peux aussi utiliser un deuxième DD interne à cet effet, ou tout simplement utiliser un espace de stockage en ligne gratuit :
http://www.linternaute.com/hightech/sauvegarde/coffres-forts-virtuels/selection/0919-selection.shtml
http://www.linternaute.com/comparatif/categorie/276/
https://www.pcastuces.com/pratique/internet/stocker_fichiers_internet/page1.htm
come déjà dit dans mon message précédant, c'est plus prudent ;)
Voilà, après avoir fait comme indiqué ici : http://www.commentcamarche.net/forum/affich-19579813-virus-win32-ramnit-a-virus, j'ai encore des virus apparement. (Selon avira). Ramnit continue à s'attaquer à combofix !
J'ai donc fait la STEP 1 : http://textup.fr/11826DG
(un simple combofix)
Ainsi que la STEP 2 : http://textup.fr/11827FT
(un ZHPDIAG)
Et j'ai terminé avec un combofix, STEP 3 : http://textup.fr/11828Mk
Merci de bien vouloir venir à mon aide ! (o:
J'ai donc fait la STEP 1 : http://textup.fr/11826DG
(un simple combofix)
Ainsi que la STEP 2 : http://textup.fr/11827FT
(un ZHPDIAG)
Et j'ai terminé avec un combofix, STEP 3 : http://textup.fr/11828Mk
Merci de bien vouloir venir à mon aide ! (o:
loumax91
Messages postés
3183
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
478
4 janv. 2012 à 17:38
4 janv. 2012 à 17:38
Bonjour
Essaies DR WEB LIVE CD
tutoriel
Vois ce sujet et suis les indications:
https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit
Essaies DR WEB LIVE CD
tutoriel
Vois ce sujet et suis les indications:
https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit
loumax91
Messages postés
3183
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
478
4 janv. 2012 à 17:51
4 janv. 2012 à 17:51
Tu veux essayer de refaire une analyse ZHPDiag en cliquant sur la loupe, stp.
loumax91
Messages postés
3183
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
478
4 janv. 2012 à 19:11
4 janv. 2012 à 19:11
Je prépare la suite ;)
loumax91
Messages postés
3183
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
478
Modifié par loumax91 le 4/01/2012 à 19:31
Modifié par loumax91 le 4/01/2012 à 19:31
Fais ce qui suit dans l'ordre :
*Désinstaller via programmes et fonctionnalités :
-Spybot - Search & Destroy
-Malwarebytes (on le réinstallera plus tard)
*************
*Télécharge et installe Dr.Web CureIT (choisis installation standard)
*Alerte "protection renforcée" cliquer sur >> OK
*Clique sur "mettre à jour" et ensuite sur "commencer le scan", patiente et laisse travailler l'outil durant l'analyse
*Si détection >> Quarantaine
*Clique sur "fichier" et "enregistrer le rapport", poste le dans ta prochaine réponse
*Sers-toi du tutorial ci-dessous pour l'utilisation de Dr Web
Tutorial
************
* Télécharge USBFix (de El desaparecido et C_XX) sur ton Bureau
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
* Fais un clic droit sur le programme USBFix et choisis 'Exécuter en tant qu'administrateur'.
* Au menu principal, clique sur "Recherche"
* Ton Bureau va disparaitre, puis l'ordinateur va redémarrer : c'est normal
* Laisse travailler l'outil jusqu'au bout
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse stp
"Celui qui aime à apprendre est bien près du savoir" (Confucius)
*Désinstaller via programmes et fonctionnalités :
-Spybot - Search & Destroy
-Malwarebytes (on le réinstallera plus tard)
*************
*Télécharge et installe Dr.Web CureIT (choisis installation standard)
*Alerte "protection renforcée" cliquer sur >> OK
*Clique sur "mettre à jour" et ensuite sur "commencer le scan", patiente et laisse travailler l'outil durant l'analyse
*Si détection >> Quarantaine
*Clique sur "fichier" et "enregistrer le rapport", poste le dans ta prochaine réponse
*Sers-toi du tutorial ci-dessous pour l'utilisation de Dr Web
Tutorial
************
* Télécharge USBFix (de El desaparecido et C_XX) sur ton Bureau
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
* Fais un clic droit sur le programme USBFix et choisis 'Exécuter en tant qu'administrateur'.
* Au menu principal, clique sur "Recherche"
* Ton Bureau va disparaitre, puis l'ordinateur va redémarrer : c'est normal
* Laisse travailler l'outil jusqu'au bout
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse stp
"Celui qui aime à apprendre est bien près du savoir" (Confucius)
loumax91
Messages postés
3183
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
478
4 janv. 2012 à 21:21
4 janv. 2012 à 21:21
Ok, relance UsbFix même procédure en mode suppression, ensuite refais une analyse ZHPDiag stp.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Usbfix : http://textup.fr/11846yR
ZHPDiag : http://textup.fr/11847iz
Merci ! =)
ZHPDiag : http://textup.fr/11847iz
Merci ! =)
JeremL
Messages postés
12
Date d'inscription
mercredi 4 janvier 2012
Statut
Membre
Dernière intervention
6 janvier 2012
4 janv. 2012 à 22:15
4 janv. 2012 à 22:15
Jinouw, as tu utilisé Dr Web en version logiciel comme l'a posté loumax91 ou en mode CD comme expliqué sur plusieurs topics avec le tutoriel?
loumax91
Messages postés
3183
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
478
4 janv. 2012 à 22:45
4 janv. 2012 à 22:45
Ce script va cibler certains éléments à supprimer :
O4 - HKUS\S-1-5-18\..\Run: [YZ5CZHZY2D1F0IVFOKYYNQARCIZOBK] C:\$Recycle$\B8DEA5BB102.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [YZ5CZHZY2D1F0IVFOKYYNQARCIZOBK] C:\$Recycle$\B8DEA5BB102.exe (.not file.)
[HKCU\Software\PopCap]
[HKLM\Software\PopCap]
O43 - CFD: 6-9-2010 - 17:31:00 - [0,283] ----D- C:\ProgramData\PopCap Games
O43 - CFD: 4-1-2012 - 19:31:46 - [0,280] ----D- C:\ProgramData\Spybot - Search & Destroy
O43 - CFD: 2-3-2011 - 13:18:46 - [0,002] ----D- C:\ProgramData\regid.1986-12.com.adobe
O43 - CFD: 18-3-2011 - 22:35:56 - [15,297] ----D- C:\Program Files (x86)\Spybot - Search & Destroy
O43 - CFD: 18-3-2011 - 22:35:56 - [15,294] ----D- C:\Program Files (x86)\Spybot - Search & Destroynew
O43 - CFD: 4-1-2012 - 19:31:46 - [2,214] ----D- C:\Program Files (x86)\Spybot - Search & Destroynew5
[HKLM\Software\Wow6432Node\Cheat Engine\OpenCandy]
[HKCU\Software\PopCap]
[HKLM\Software\WOW6432Node\PopCap]
[HKLM\Software\Wow6432Node\\Cheat Engine\OpenCandy]
C:\Users\Gaëtan\AppData\Roaming\Adobe\plugs
C:\Users\Gaëtan\AppData\Roaming\Adobe\shed
C:\ProgramData\PopCap Games
EmptyFlash
FirewallRAZ
EmptyTemp
* Sélectionne le script (lignes en gras) en entier et copie le (Edition --> Copier)
* Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Copie/colle la totalité du rapport dans ta prochaine réponse
Utilise ce logiciel de désinfection généraliste :
* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin de l'analyse, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression
O4 - HKUS\S-1-5-18\..\Run: [YZ5CZHZY2D1F0IVFOKYYNQARCIZOBK] C:\$Recycle$\B8DEA5BB102.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [YZ5CZHZY2D1F0IVFOKYYNQARCIZOBK] C:\$Recycle$\B8DEA5BB102.exe (.not file.)
[HKCU\Software\PopCap]
[HKLM\Software\PopCap]
O43 - CFD: 6-9-2010 - 17:31:00 - [0,283] ----D- C:\ProgramData\PopCap Games
O43 - CFD: 4-1-2012 - 19:31:46 - [0,280] ----D- C:\ProgramData\Spybot - Search & Destroy
O43 - CFD: 2-3-2011 - 13:18:46 - [0,002] ----D- C:\ProgramData\regid.1986-12.com.adobe
O43 - CFD: 18-3-2011 - 22:35:56 - [15,297] ----D- C:\Program Files (x86)\Spybot - Search & Destroy
O43 - CFD: 18-3-2011 - 22:35:56 - [15,294] ----D- C:\Program Files (x86)\Spybot - Search & Destroynew
O43 - CFD: 4-1-2012 - 19:31:46 - [2,214] ----D- C:\Program Files (x86)\Spybot - Search & Destroynew5
[HKLM\Software\Wow6432Node\Cheat Engine\OpenCandy]
[HKCU\Software\PopCap]
[HKLM\Software\WOW6432Node\PopCap]
[HKLM\Software\Wow6432Node\\Cheat Engine\OpenCandy]
C:\Users\Gaëtan\AppData\Roaming\Adobe\plugs
C:\Users\Gaëtan\AppData\Roaming\Adobe\shed
C:\ProgramData\PopCap Games
EmptyFlash
FirewallRAZ
EmptyTemp
* Sélectionne le script (lignes en gras) en entier et copie le (Edition --> Copier)
* Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Copie/colle la totalité du rapport dans ta prochaine réponse
Utilise ce logiciel de désinfection généraliste :
* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin de l'analyse, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression
Je suis en plein scan de malwarebytes. Un ami me fait te préciser que vu que je suis dans une école de graphisme ça se propage par ma clé usb la plupart des fois.
Après ce scan, j'tenvois tout ! Merci !
Après ce scan, j'tenvois tout ! Merci !
loumax91
Messages postés
3183
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
478
5 janv. 2012 à 07:09
5 janv. 2012 à 07:09
C'est pour cette raison que je t'ai fait utiliser UsbFix ;)
Ce matin gros problème, déjà hier soir, j'ai tenté deux MBAM,
mais au bout de deux heures chaque fois mon ordi commence à ramé lourdement,
j'en suis au point à l'éteindre manuellement car tout ne réponds plus.
La même ce matin. Je pense devoir le faire en mode sans échec. (Ce que j'vais faire de suite).
PIRE ! Ramnit est de retour.
"Dans le fichier 'C:\Users\Gaëtan\Documents\ToYcon\ToYcon.exe'
un virus ou un programme indésirable 'W32/Ramnit.E' [virus] a été détecté.
Action exécutée : Refuser l'accès"
Petite précision, il se présente deux Ramnit. Un .e et un .c !
Et ce n'est pas le seul !
"Dans le fichier 'C:\Users\Gaëtan\AppData\Local\temp\ovhogagr.sys'
un virus ou un programme indésirable 'RKIT/Hider.LKI' [trojan] a été détecté.
Action exécutée : Autoriser l'accès"
Depuis j'ai fais un combofix. Qui est maintenant en train de se faire attaquer par ramnit.
http://textup.fr/11853mE
Je vais nettoyer mes outils et lancer un MBAM en mode sans échec. J'veux éviter le formatage... =/
mais au bout de deux heures chaque fois mon ordi commence à ramé lourdement,
j'en suis au point à l'éteindre manuellement car tout ne réponds plus.
La même ce matin. Je pense devoir le faire en mode sans échec. (Ce que j'vais faire de suite).
PIRE ! Ramnit est de retour.
"Dans le fichier 'C:\Users\Gaëtan\Documents\ToYcon\ToYcon.exe'
un virus ou un programme indésirable 'W32/Ramnit.E' [virus] a été détecté.
Action exécutée : Refuser l'accès"
Petite précision, il se présente deux Ramnit. Un .e et un .c !
Et ce n'est pas le seul !
"Dans le fichier 'C:\Users\Gaëtan\AppData\Local\temp\ovhogagr.sys'
un virus ou un programme indésirable 'RKIT/Hider.LKI' [trojan] a été détecté.
Action exécutée : Autoriser l'accès"
Depuis j'ai fais un combofix. Qui est maintenant en train de se faire attaquer par ramnit.
http://textup.fr/11853mE
Je vais nettoyer mes outils et lancer un MBAM en mode sans échec. J'veux éviter le formatage... =/
Aidez-moi, même mon mode sans échec ne fonctionne plus.
Lors du démarage il reste bloqué à l'étape "disk".
Et mon firefox à été réanitialisé apparement.
Lors du démarage il reste bloqué à l'étape "disk".
Et mon firefox à été réanitialisé apparement.
loumax91
Messages postés
3183
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
478
5 janv. 2012 à 16:27
5 janv. 2012 à 16:27
Essaies de faire ce que je t'ai indiqué dans mon premier message, il serait préférable (si possible) de télécharger et graver DR WEB LIVE CD depuis un autre PC sain.
https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit
Quand cette opération sera réalisé, reviens ici pour la suite.
https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit
Quand cette opération sera réalisé, reviens ici pour la suite.
loumax91, j'ai réussi a le graver sur un ordi safe, mais j'arrive pas a le lancer ensuite.
J'peux juste l'ouvrir. http://i.imgur.com/Z3vVL.png
Ainsi que le fameux :
"Dans le fichier 'C:\Users\Gaëtan\AppData\Local\temp\ovhogagr.sys'
un virus ou un programme indésirable 'RKIT/Hider.LKI' [trojan] a été détecté.
Action exécutée : Autoriser l'accès"
ce lance toujours au démarrage !
Merci
J'peux juste l'ouvrir. http://i.imgur.com/Z3vVL.png
Ainsi que le fameux :
"Dans le fichier 'C:\Users\Gaëtan\AppData\Local\temp\ovhogagr.sys'
un virus ou un programme indésirable 'RKIT/Hider.LKI' [trojan] a été détecté.
Action exécutée : Autoriser l'accès"
ce lance toujours au démarrage !
Merci
Même en ralummant, avec mon CD dedans, rien ne se passe. J'dois faire quoi ? =/
loumax91
Messages postés
3183
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
478
5 janv. 2012 à 20:51
5 janv. 2012 à 20:51
Tu es sûr que tu as bien gravé l'image iso ?
https://www.commentcamarche.net/faq/3942-graver-une-image-disque-iso-nrg
Vérifier si le CD boot correctement :
https://www.commentcamarche.net/faq/7817-modifier-l-ordre-des-peripheriques-de-demarrage
https://www.commentcamarche.net/faq/3942-graver-une-image-disque-iso-nrg
Vérifier si le CD boot correctement :
https://www.commentcamarche.net/faq/7817-modifier-l-ordre-des-peripheriques-de-demarrage
Vi, pour l'iso c'est bon mais c'est le boot que j'arrive pas a faire. Car me manque ma touche escape.
J'en aurait une demain. Sinon, j'ai fait un scan avec MWAV : http://textup.fr/11876U7 (qui m'a viré 24 virus)
Ainsi qu'un MBAM qui m'en a viré 5. (Il m'as pas donné le log).
Toussa en mode sans-échec.
Depuis tout va très bien, appart que ça rame un tout petit peu parfois !
Merci !
J'en aurait une demain. Sinon, j'ai fait un scan avec MWAV : http://textup.fr/11876U7 (qui m'a viré 24 virus)
Ainsi qu'un MBAM qui m'en a viré 5. (Il m'as pas donné le log).
Toussa en mode sans-échec.
Depuis tout va très bien, appart que ça rame un tout petit peu parfois !
Merci !
loumax91
Messages postés
3183
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
478
6 janv. 2012 à 06:46
6 janv. 2012 à 06:46
Bonjour
Avec ramnit il faut que tu comprenne que tans que tu ne passeras pas un live CD, tu as 9 chance sur 10 que l'infection réapparaisse !
En désinfectant depuis un live CD le virus est inactif, c'est de cette façon que tu arriveras à le virer ;)
https://www.malekal.com/ramnit-fait-son-retour-un-vrai-virus/
Avec ramnit il faut que tu comprenne que tans que tu ne passeras pas un live CD, tu as 9 chance sur 10 que l'infection réapparaisse !
En désinfectant depuis un live CD le virus est inactif, c'est de cette façon que tu arriveras à le virer ;)
https://www.malekal.com/ramnit-fait-son-retour-un-vrai-virus/
loumax91
Messages postés
3183
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
478
6 janv. 2012 à 12:53
6 janv. 2012 à 12:53
Oui, identifiants et mots de passe ...
Bonjour !
Après avoir travaillé toute la nuit mon ordi m'a trouvé deux trojans. Aucunes traces de ramnit. (10 : 00 ) de test. Mon ordi rame toujours un peu, enfin j'ai l'impression.
J'ai trouvé étonnant qu'il n'ai vu aucun virus dans le disque dur C:\ alors j'ai relancé un scan. Sois disant je n'ai que 38 élément dedans et en même pas une seconde, tout a été scanné.
Que-fais je maintenant ?'
Merci beaucoup !
Après avoir travaillé toute la nuit mon ordi m'a trouvé deux trojans. Aucunes traces de ramnit. (10 : 00 ) de test. Mon ordi rame toujours un peu, enfin j'ai l'impression.
J'ai trouvé étonnant qu'il n'ai vu aucun virus dans le disque dur C:\ alors j'ai relancé un scan. Sois disant je n'ai que 38 élément dedans et en même pas une seconde, tout a été scanné.
Que-fais je maintenant ?'
Merci beaucoup !