Ramnit me dévore...

Résolu
Wota -  
loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour à tous,

J'ai remarqué que depuis hier soir je suis gravement infecté.

Comment je l'ai remarqué ? Mes programme se coupent tout seul, donc j'ai surement une personne qui est en train de me surveillée.

Ensuite avira m'as fait pas mal de remarques.

Le petit fouineux serait Ramnit. Son principe est de modifier les extansions de tout les fichiers qu'il infècte.

Première notif :

http://textup.fr/11823ea

http://i.imgur.com/l8YQ5.png

Ensuite les notifs ont continuées à tombées. Vraiment énormément !

J'ai tenté : Une dizaine de combofix, deux scans avira, deux spybots S&D, tout en mode sans échec.

Et il ne s'arrête pas. Ce bruit me stress. C'est fou (o: .

http://i.imgur.com/mmgtV.png

Je pense devoir formater. Les faits sont que je n'ai pas de sauvegarde et qu'étant graphiste/ photographe, j'aimerais pouvoir sauver
quelques données. Mais si je le fait maintenant mon DD sera aussi infecté ? Non ?

Voilà mon rapport de combofix :

http://textup.fr/11824E0

Aidez-moi, on dirait qu'une personne controle ramnit, car maintenant il s'attaque lui même à combofix. Je vois même les noms de
mes anciens virus ressortir.

Comment puis-je formater sans sauvegarde et sauver mes fichiers ? Merci !

34 réponses

  • 1
  • 2
Résumé de la discussion

Une infection Ramnit sous Windows 7 provoque la fermeture spontanée des programmes et des alertes répétées des antivirus, suggérant une compromission persistante et une fuite potentielle d’identifiants. Pour reprendre le contrôle, il faut utiliser des outils de désinfection comme ComboFix et ZHPDiag, effectuer des scans hors ligne et supprimer les éléments détectés. En parallèle, sécuriser les données sensibles en sauvegardant les documents importants sur un support externe ou en ligne et modifier les mots de passe après le nettoyage. Des options comme la purge de la restauration et les mises à jour peuvent aider, et l’utilisation de navigateurs plus sûrs est recommandée, tout en prévoyant des contrôles réguliers des rapports système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
     
    "Ensuite, tu penses que dans mon cas il faudrait vraiment modifier mes identifiants / mots de passe ?"
    Je pense sincèrement que cela serait plus prudent, dérober de tel infos est l'une des fonctions premières de Ramnit :
    https://www.futura-sciences.com/tech/actualites/internet-ver-ramnit-derobe-identifiants-45000-comptes-facebook-35924/

    "Et tu crois que mon disque dur est certain ? Si oui, je me ferais une joie d'y placer mes documents."
    Tu peux réutiliser ton PC normalement mais par expérience, il est préférable de faire systématiquement une copie de tes documents important sur un support externe (clé USB, CD, DVD ou DD externe), tu peux aussi utiliser un deuxième DD interne à cet effet, ou tout simplement utiliser un espace de stockage en ligne gratuit :
    http://www.linternaute.com/hightech/sauvegarde/coffres-forts-virtuels/selection/0919-selection.shtml
    http://www.linternaute.com/comparatif/categorie/276/
    https://www.pcastuces.com/pratique/internet/stocker_fichiers_internet/page1.htm
    come déjà dit dans mon message précédant, c'est plus prudent ;)

    1
  2. Jinouw
     
    Voilà, après avoir fait comme indiqué ici : http://www.commentcamarche.net/forum/affich-19579813-virus-win32-ramnit-a-virus, j'ai encore des virus apparement. (Selon avira). Ramnit continue à s'attaquer à combofix !

    J'ai donc fait la STEP 1 : http://textup.fr/11826DG

    (un simple combofix)

    Ainsi que la STEP 2 : http://textup.fr/11827FT

    (un ZHPDIAG)

    Et j'ai terminé avec un combofix, STEP 3 : http://textup.fr/11828Mk

    Merci de bien vouloir venir à mon aide ! (o:
    0
  3. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
     
    Bonjour

    Essaies DR WEB LIVE CD
    tutoriel
    Vois ce sujet et suis les indications:
    https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit
    0
    1. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
       
      Tu veux essayer de refaire une analyse ZHPDiag en cliquant sur la loupe, stp.
      0
    2. Jinouw
       
      Oui, je te fais ça. Mais c'est bizarre. Il a arrêté de m'ennuyer depuis que j'ai nettoyé les outils. Dont combofix.
      0
    3. Jinouw
       
      Voilà, http://textup.fr/11832we.

      Etonnant, je suis passé de 170 et quelques gigas à 191. ê_e
      0
    4. Jinouw
       
      Peut-être serais-je sauvé ? Cela fait une heure qu'Avira ne dit plus rien ! (o:
      0
    5. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
       
      Je prépare la suite ;)
      0
  4. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
     
    Fais ce qui suit dans l'ordre :

    *Désinstaller via programmes et fonctionnalités :
    -Spybot - Search & Destroy
    -Malwarebytes (on le réinstallera plus tard)

    *************

    *Télécharge et installe Dr.Web CureIT (choisis installation standard)
    *Alerte "protection renforcée" cliquer sur >> OK
    *Clique sur "mettre à jour" et ensuite sur "commencer le scan", patiente et laisse travailler l'outil durant l'analyse
    *Si détection >> Quarantaine
    *Clique sur "fichier" et "enregistrer le rapport", poste le dans ta prochaine réponse
    *Sers-toi du tutorial ci-dessous pour l'utilisation de Dr Web
    Tutorial

    ************

    * Télécharge USBFix (de El desaparecido et C_XX) sur ton Bureau
    * Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
    * Fais un clic droit sur le programme USBFix et choisis 'Exécuter en tant qu'administrateur'.
    * Au menu principal, clique sur "Recherche"
    * Ton Bureau va disparaitre, puis l'ordinateur va redémarrer : c'est normal
    * Laisse travailler l'outil jusqu'au bout
    * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse stp

    "Celui qui aime à apprendre est bien près du savoir" (Confucius)
    0
    1. Jinouw
       
      Merci énormément pour ton aide précise et précieuse !

      Pour Dr.Web : SymCCIS.dll;C:\Windows\SysWOW64\Adobe\Shockwave 11;Probablement DLOADER.Trojan;;

      Et pour UsbFix : http://textup.fr/11844js

      Merci encore !
      0
    2. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
       
      Ok, relance UsbFix même procédure en mode suppression, ensuite refais une analyse ZHPDiag stp.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Jinouw
     
    Usbfix : http://textup.fr/11846yR
    ZHPDiag : http://textup.fr/11847iz

    Merci ! =)
    0
    1. JeremL Messages postés 12 Statut Membre
       
      Jinouw, as tu utilisé Dr Web en version logiciel comme l'a posté loumax91 ou en mode CD comme expliqué sur plusieurs topics avec le tutoriel?
      0
    2. Jinouw
       
      Comme loumax91 me l'as dit. (o:
      0
  7. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
     
    Ce script va cibler certains éléments à supprimer :

    O4 - HKUS\S-1-5-18\..\Run: [YZ5CZHZY2D1F0IVFOKYYNQARCIZOBK] C:\$Recycle$\B8DEA5BB102.exe (.not file.)
    O4 - HKUS\S-1-5-18\..\Run: [YZ5CZHZY2D1F0IVFOKYYNQARCIZOBK] C:\$Recycle$\B8DEA5BB102.exe (.not file.)
    [HKCU\Software\PopCap]
    [HKLM\Software\PopCap]
    O43 - CFD: 6-9-2010 - 17:31:00 - [0,283] ----D- C:\ProgramData\PopCap Games
    O43 - CFD: 4-1-2012 - 19:31:46 - [0,280] ----D- C:\ProgramData\Spybot - Search & Destroy
    O43 - CFD: 2-3-2011 - 13:18:46 - [0,002] ----D- C:\ProgramData\regid.1986-12.com.adobe
    O43 - CFD: 18-3-2011 - 22:35:56 - [15,297] ----D- C:\Program Files (x86)\Spybot - Search & Destroy
    O43 - CFD: 18-3-2011 - 22:35:56 - [15,294] ----D- C:\Program Files (x86)\Spybot - Search & Destroynew
    O43 - CFD: 4-1-2012 - 19:31:46 - [2,214] ----D- C:\Program Files (x86)\Spybot - Search & Destroynew5
    [HKLM\Software\Wow6432Node\Cheat Engine\OpenCandy]
    [HKCU\Software\PopCap]
    [HKLM\Software\WOW6432Node\PopCap]
    [HKLM\Software\Wow6432Node\\Cheat Engine\OpenCandy]
    C:\Users\Gaëtan\AppData\Roaming\Adobe\plugs
    C:\Users\Gaëtan\AppData\Roaming\Adobe\shed
    C:\ProgramData\PopCap Games
    EmptyFlash
    FirewallRAZ
    EmptyTemp


    * Sélectionne le script (lignes en gras) en entier et copie le (Edition --> Copier)
    * Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    * Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    * Clique sur le bouton « GO » pour lancer le nettoyage,
    * Copie/colle la totalité du rapport dans ta prochaine réponse

    Utilise ce logiciel de désinfection généraliste :

    * Télécharge et installe Malwarebytes' Anti-Malware
    * A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
    * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
    * Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
    * A la fin de l'analyse, clique sur Afficher les résultats
    * Coche tous les éléments détectés puis clique sur Supprimer la sélection
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
    * Poste dans ta prochaine réponse le rapport apparaissant après la suppression
    0
  8. Jinouw
     
    Je suis en plein scan de malwarebytes. Un ami me fait te préciser que vu que je suis dans une école de graphisme ça se propage par ma clé usb la plupart des fois.

    Après ce scan, j'tenvois tout ! Merci !
    0
    1. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
       
      C'est pour cette raison que je t'ai fait utiliser UsbFix ;)
      0
  9. Jinouw
     
    Ce matin gros problème, déjà hier soir, j'ai tenté deux MBAM,
    mais au bout de deux heures chaque fois mon ordi commence à ramé lourdement,
    j'en suis au point à l'éteindre manuellement car tout ne réponds plus.

    La même ce matin. Je pense devoir le faire en mode sans échec. (Ce que j'vais faire de suite).

    PIRE ! Ramnit est de retour.

    "Dans le fichier 'C:\Users\Gaëtan\Documents\ToYcon\ToYcon.exe'
    un virus ou un programme indésirable 'W32/Ramnit.E' [virus] a été détecté.
    Action exécutée : Refuser l'accès"

    Petite précision, il se présente deux Ramnit. Un .e et un .c !

    Et ce n'est pas le seul !

    "Dans le fichier 'C:\Users\Gaëtan\AppData\Local\temp\ovhogagr.sys'
    un virus ou un programme indésirable 'RKIT/Hider.LKI' [trojan] a été détecté.
    Action exécutée : Autoriser l'accès"

    Depuis j'ai fais un combofix. Qui est maintenant en train de se faire attaquer par ramnit.

    http://textup.fr/11853mE

    Je vais nettoyer mes outils et lancer un MBAM en mode sans échec. J'veux éviter le formatage... =/
    0
  10. Jinouw
     
    Aidez-moi, même mon mode sans échec ne fonctionne plus.
    Lors du démarage il reste bloqué à l'étape "disk".

    Et mon firefox à été réanitialisé apparement.
    0
  11. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
     
    Essaies de faire ce que je t'ai indiqué dans mon premier message, il serait préférable (si possible) de télécharger et graver DR WEB LIVE CD depuis un autre PC sain.
    https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit

    Quand cette opération sera réalisé, reviens ici pour la suite.
    0
  12. Jinouw
     
    loumax91, j'ai réussi a le graver sur un ordi safe, mais j'arrive pas a le lancer ensuite.

    J'peux juste l'ouvrir. http://i.imgur.com/Z3vVL.png

    Ainsi que le fameux :
    "Dans le fichier 'C:\Users\Gaëtan\AppData\Local\temp\ovhogagr.sys'
    un virus ou un programme indésirable 'RKIT/Hider.LKI' [trojan] a été détecté.
    Action exécutée : Autoriser l'accès"

    ce lance toujours au démarrage !

    Merci
    0
  13. Jinouw
     
    Même en ralummant, avec mon CD dedans, rien ne se passe. J'dois faire quoi ? =/
    0
    1. Jinouw
       
      J'ai essayé de booter en linux mais ma touche "esc" ne fonctionne plus.

      J'suis vraiment mal foutu. J'ai pas d'autre clavier !
      0
    2. Jinouw
       
      Même remapkey n'y fait rien. J'entends des bips mais sans plus !
      0
    3. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
       
      Tu es sûr que tu as bien gravé l'image iso ?
      https://www.commentcamarche.net/faq/3942-graver-une-image-disque-iso-nrg

      Vérifier si le CD boot correctement :
      https://www.commentcamarche.net/faq/7817-modifier-l-ordre-des-peripheriques-de-demarrage
      0
    4. Jinouw
       
      Vi, pour l'iso c'est bon mais c'est le boot que j'arrive pas a faire. Car me manque ma touche escape.
      J'en aurait une demain. Sinon, j'ai fait un scan avec MWAV : http://textup.fr/11876U7 (qui m'a viré 24 virus)

      Ainsi qu'un MBAM qui m'en a viré 5. (Il m'as pas donné le log).

      Toussa en mode sans-échec.

      Depuis tout va très bien, appart que ça rame un tout petit peu parfois !

      Merci !
      0
  14. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
     
    Bonjour

    Avec ramnit il faut que tu comprenne que tans que tu ne passeras pas un live CD, tu as 9 chance sur 10 que l'infection réapparaisse !
    En désinfectant depuis un live CD le virus est inactif, c'est de cette façon que tu arriveras à le virer ;)

    https://www.malekal.com/ramnit-fait-son-retour-un-vrai-virus/
    0
  15. Jinouw
     
    Je comprends bien, j'ai un clavier qui me permettra de booter avec mon CD dans quelques heures !
    0
  16. Jinouw
     
    Faudra-t'il que je change mes identifiants partout ensuite ?
    0
  17. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
     
    Oui, identifiants et mots de passe ...
    0
  18. Jinouw
     
    Bonjour !

    Après avoir travaillé toute la nuit mon ordi m'a trouvé deux trojans. Aucunes traces de ramnit. (10 : 00 ) de test. Mon ordi rame toujours un peu, enfin j'ai l'impression.

    J'ai trouvé étonnant qu'il n'ai vu aucun virus dans le disque dur C:\ alors j'ai relancé un scan. Sois disant je n'ai que 38 élément dedans et en même pas une seconde, tout a été scanné.

    Que-fais je maintenant ?'

    Merci beaucoup !
    0
    1. Jinouw
       
      Puis-je déjà modifier mes identifiants, mot de passe ?
      0
    2. Jinouw
       
      Il a scanné mon C:\ Mais il le compte comme le D:\ ! (;
      0
  • 1
  • 2