[virus] RavMonLog et Win32.AdobeR
Résolu
shaal
-
ptiguss -
ptiguss -
Bonjour,
J'ai été infecté par un virus s'appellant "RavMonLog" qui s'est mis sur ma clef USB (je pense après l'avoir branchée sur l'ordinateur d'un collègue), et dès que je la branche sur un autre ordinateur, et que cet ordinateur recoit une clef non infectée, le virus l'infecte.
Les effets ne sont pas très embêtants, juste que je ne peux ouvrir la clef qu'en faisant clic droit, ouvrir. Certaines fois je ne peux plus l'éjécter car un fichier est encore utilisé par windows alors que j'ai tout fermé (peut etre RavMonLog).
Quand j'analyse ce fichier avec avast, rien n'est détécté (il pese 1 ko). Quand je le supprime, il réapparait à la procahine ouverture de la clef.
Parralèllement à ca, j'ai installé NOD32 (car avast était à expiration) et il m'a détécté un fichier infecté par un Win32: AdobeR. Je l'ai supprimé. Un ami avec qui je me suis mis en réseau l'a aussi supprimé, et depuis il a des problèmes avec sa wifi, elle se déconnecte toute seule. (Pour la mienne je ne sais pas, elle semble toujours déconnectée alors qu'elle marchait avant).
Ces deux problèmes sont-ils liés? Qu'en pensez-vous?
Merci d'avance!
J'ai été infecté par un virus s'appellant "RavMonLog" qui s'est mis sur ma clef USB (je pense après l'avoir branchée sur l'ordinateur d'un collègue), et dès que je la branche sur un autre ordinateur, et que cet ordinateur recoit une clef non infectée, le virus l'infecte.
Les effets ne sont pas très embêtants, juste que je ne peux ouvrir la clef qu'en faisant clic droit, ouvrir. Certaines fois je ne peux plus l'éjécter car un fichier est encore utilisé par windows alors que j'ai tout fermé (peut etre RavMonLog).
Quand j'analyse ce fichier avec avast, rien n'est détécté (il pese 1 ko). Quand je le supprime, il réapparait à la procahine ouverture de la clef.
Parralèllement à ca, j'ai installé NOD32 (car avast était à expiration) et il m'a détécté un fichier infecté par un Win32: AdobeR. Je l'ai supprimé. Un ami avec qui je me suis mis en réseau l'a aussi supprimé, et depuis il a des problèmes avec sa wifi, elle se déconnecte toute seule. (Pour la mienne je ne sais pas, elle semble toujours déconnectée alors qu'elle marchait avant).
Ces deux problèmes sont-ils liés? Qu'en pensez-vous?
Merci d'avance!
A voir également:
- [virus] RavMonLog et Win32.AdobeR
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Virus informatique - Guide
11 réponses
pour AdobeR j'ai découvert ceci qui est un outil plutôt sympa et facile à utiliser
il faut que tu branches tous tes périfiques externes, clé usb, DD externe etc...
télécharger rav antivirus ici:
https://www.118712.fr/sortir.html
dézippe le sur ton bureau, du dossier Rav, doucle clic sur rav.exe afin de lancer l'outil!
une fois RAV ANTIVIRUS lancé laisse le réagir , il scanne automatiquement tout les lecteurs (Disques fixes et Amovibles).
si un virus est trouvé, un rapport s'établira, sinon rien ne va se passer et s'affichera :Votre Ordinateur est Sain.
Retire tes disques amovibles et redémarre ton ordinateur.
il faut que tu branches tous tes périfiques externes, clé usb, DD externe etc...
télécharger rav antivirus ici:
https://www.118712.fr/sortir.html
dézippe le sur ton bureau, du dossier Rav, doucle clic sur rav.exe afin de lancer l'outil!
une fois RAV ANTIVIRUS lancé laisse le réagir , il scanne automatiquement tout les lecteurs (Disques fixes et Amovibles).
si un virus est trouvé, un rapport s'établira, sinon rien ne va se passer et s'affichera :Votre Ordinateur est Sain.
Retire tes disques amovibles et redémarre ton ordinateur.
Salut Shaal, papyper
Je me permet juste une petite intrusion et remarque pour Shaal si jamais il/elle repasse par là.
Le ver Rjump (AdobeR.exe, Ravmonlog...) en plus de se copier sur les périfs externes, se propage aussi en utilisant les dossiers partagés sur les postes en réseau et ouvre une backdoor en configurant à ton insu une exception dans le pare-feu de windows.
Si tu utilises le pare feu d'XP, le bypass du Firewall porte généralement le nom : NortonAV dans la rubrique exeption et utilise un port aléatoire supérieur à 10000.
Vérifie si dans:
Panneau de configuration >> Pare feu >> Onglet Exception
Tu as des entrées concernant NortonAV et supprimes-les.
Ca doit ressembler à ceci:
https://www.cjoint.com/?ggtCyxWuvb
Le ver utilise le fichier RavMonLog pour stocker le numéro du port aléatoire utilisé et change ce port à chaque fois ou il est exécuté.
Si ton pc est en réseau, isole le du réseau et vérifies que les dossiers/disques que tu partages soient clean, ne le reconnecte pas tant que tu n'es pas sur(e) que les autres machines soient clean elles aussi, sinon tu risque de voir réapparaître AdobeR & co plus tôt que prévus, lol.
Pendant que l'infection était active, il y a de forte chance que le ver se soit propagé dans les partages réseau, et mieux vaut que tu perdes un peu de temps sur toutes les machines qui le compose avant reconnexion et à nouveau, partage de fichiers :-)
En plus du tool d'Evosla proposé par papyper, il existe aussi:
-> FxRajump:
https://www.broadcom.com/support/security-center
Double clic sur le fichier FxRajump.exe
Puis clic sur Start pour lancer le nettoyage.
En fin de nettoyage, une fenêtre s'ouvrira pour signaler la fin de la recherche.
Le fichier FxRajump.log sera ensuite crée au même endroit ou tu auras enregistré le fix, avec le listing des suppressions de fichiers/clés registre.
-> QQPass-RjumpStinger:
http://download.nai.com/products/mcafee-avert/QQPass-RjumpStinger.zip
(Après téléchargement, clic droit sur QQPass-RjumpStinger.zip >> Extraire tout, pour décompresser le dossier)
Après extraction et dans le dossier QQPass-RjumpStinger, double clique sur le fichier stinger.exe.
Si les lettres correspondant à tes périphériques externes n'apparaissent pas automatiquement dans la liste des lecteurs à scanner, rajoute-les manuellement en te servant du bouton "Browse" pour les selectionner.
Puis lance le nettoyage en cliquant sur le bouton "Scan Now".
Le rapport d'analyse n'étant pas généré automatiquement, il te faudra cliquer sur "File" dans le menu et choisir "Save report to file".
Dans le dossier QQPass-RjumpStinger, le fichier stinger.txt sera alors crée avec le contenu de l'analyse.
-> Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
utilisation:
Télécharge et enregistre Flash_Disinfector.exe sur votre bureau.
Double clique sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Connecte tes clé USB et/ou périphériques USB externes susceptibles d'avoir été infectés.
Puis clique sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"
Appuyes ensuite sur "Ok", pour faire réapparaitre le bureau.
Avant de passer un de ces outils, assures-toi d'avoir fermé tous les programmes en cours d'exécution et connecté au pc tous les périphériques externes qui auraient pu être contaminés.(Disques dur, clé USB, Ipod...).
Bonne continuation.
a++
Je me permet juste une petite intrusion et remarque pour Shaal si jamais il/elle repasse par là.
Le ver Rjump (AdobeR.exe, Ravmonlog...) en plus de se copier sur les périfs externes, se propage aussi en utilisant les dossiers partagés sur les postes en réseau et ouvre une backdoor en configurant à ton insu une exception dans le pare-feu de windows.
Si tu utilises le pare feu d'XP, le bypass du Firewall porte généralement le nom : NortonAV dans la rubrique exeption et utilise un port aléatoire supérieur à 10000.
Vérifie si dans:
Panneau de configuration >> Pare feu >> Onglet Exception
Tu as des entrées concernant NortonAV et supprimes-les.
Ca doit ressembler à ceci:
https://www.cjoint.com/?ggtCyxWuvb
Le ver utilise le fichier RavMonLog pour stocker le numéro du port aléatoire utilisé et change ce port à chaque fois ou il est exécuté.
Si ton pc est en réseau, isole le du réseau et vérifies que les dossiers/disques que tu partages soient clean, ne le reconnecte pas tant que tu n'es pas sur(e) que les autres machines soient clean elles aussi, sinon tu risque de voir réapparaître AdobeR & co plus tôt que prévus, lol.
Pendant que l'infection était active, il y a de forte chance que le ver se soit propagé dans les partages réseau, et mieux vaut que tu perdes un peu de temps sur toutes les machines qui le compose avant reconnexion et à nouveau, partage de fichiers :-)
En plus du tool d'Evosla proposé par papyper, il existe aussi:
-> FxRajump:
https://www.broadcom.com/support/security-center
Double clic sur le fichier FxRajump.exe
Puis clic sur Start pour lancer le nettoyage.
En fin de nettoyage, une fenêtre s'ouvrira pour signaler la fin de la recherche.
Le fichier FxRajump.log sera ensuite crée au même endroit ou tu auras enregistré le fix, avec le listing des suppressions de fichiers/clés registre.
-> QQPass-RjumpStinger:
http://download.nai.com/products/mcafee-avert/QQPass-RjumpStinger.zip
(Après téléchargement, clic droit sur QQPass-RjumpStinger.zip >> Extraire tout, pour décompresser le dossier)
Après extraction et dans le dossier QQPass-RjumpStinger, double clique sur le fichier stinger.exe.
Si les lettres correspondant à tes périphériques externes n'apparaissent pas automatiquement dans la liste des lecteurs à scanner, rajoute-les manuellement en te servant du bouton "Browse" pour les selectionner.
Puis lance le nettoyage en cliquant sur le bouton "Scan Now".
Le rapport d'analyse n'étant pas généré automatiquement, il te faudra cliquer sur "File" dans le menu et choisir "Save report to file".
Dans le dossier QQPass-RjumpStinger, le fichier stinger.txt sera alors crée avec le contenu de l'analyse.
-> Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
utilisation:
Télécharge et enregistre Flash_Disinfector.exe sur votre bureau.
Double clique sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Connecte tes clé USB et/ou périphériques USB externes susceptibles d'avoir été infectés.
Puis clique sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"
Appuyes ensuite sur "Ok", pour faire réapparaitre le bureau.
Avant de passer un de ces outils, assures-toi d'avoir fermé tous les programmes en cours d'exécution et connecté au pc tous les périphériques externes qui auraient pu être contaminés.(Disques dur, clé USB, Ipod...).
Bonne continuation.
a++
j'ai mis ma clef sur un autre ordinateur possédant BitDefender et il a bloqué le virus suivant: Worm.VBS.Solow.A, infectant le fichier MS32DLL.dll.vbs (VBScript Script File), fichier qui était resté invisible sur ma clef auparavant. Un autre fichier est également apparu, msvcr71.dll, avec comme annotation une adresse IP (je ne la donne pas ici au cas ou certains pourraient en profiter, en fait j'en sais rien mais on n'est jamais trop prudent^^), c'est un fichier Microsoft C Runtime Library.
Je n'ai pas encore utilisé l'antivirus que tu m'as conseillé, je le ferai plus tard pour l'instant je peux pas.
Je n'ai pas encore utilisé l'antivirus que tu m'as conseillé, je le ferai plus tard pour l'instant je peux pas.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Correction j'ai essayé sur l'ordi avec bitdefender et ca a marché, MS32DLL.dll.vbs a bien disparu de ma clef, mais pas msvcr71.dll (celui avec l'adresse IP en annotation, cette adresse est composée de x.xx.xxx.x, est-ce bien une adresse IP?).
RavMonLog a bien disparu.
Merci!
RavMonLog a bien disparu.
Merci!
Bonjour ici.
Je m'excuse de déterrer ce topic, cependant je me retrouve avec un pc portable qui a été infecté par AdobeR.exe qui me cré le fichier RavMonLog lorsque j'essaye d'acceder à mes lecteurs résaux.
J'ai donc coupé le process Adober, supprimé le fichier dans Windows, et vérifier tous mes partages réseaux sur lesquels le ver (virus?) c'etait bel et bien propagé. La bonne nouvelle est que sur les partage réseaux, comme il n'y a pas d'autorun, et aucune execution de script automatique possible celui-ci n'est pas remonté plus loin.
auriez vous encore un lien valable pour obtenir le logiciel d'evolsa "rav.zip" ?
si oui je vous remercie d'avance.
Vince.
Je m'excuse de déterrer ce topic, cependant je me retrouve avec un pc portable qui a été infecté par AdobeR.exe qui me cré le fichier RavMonLog lorsque j'essaye d'acceder à mes lecteurs résaux.
J'ai donc coupé le process Adober, supprimé le fichier dans Windows, et vérifier tous mes partages réseaux sur lesquels le ver (virus?) c'etait bel et bien propagé. La bonne nouvelle est que sur les partage réseaux, comme il n'y a pas d'autorun, et aucune execution de script automatique possible celui-ci n'est pas remonté plus loin.
auriez vous encore un lien valable pour obtenir le logiciel d'evolsa "rav.zip" ?
si oui je vous remercie d'avance.
Vince.
ton infection, c'est une infection qui se propage par les périphériques externes, donc si tu désinfectes ton Pc mais pas tes périphériques - clé USB, DD externe,tout périphérique qui se connecte sur ton PC, etc...cela se relance..
tu vas faire ceci dans un 1er temps
Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
Télécharge Rav antivirus: http://ww25.evosla.com/compteur.php?soft=rav_antivirus
· Clique droit sur le fichier .ZIP > Extraire sur > le Bureau
· Double clic sur >> RAV.exe << afin de lancer l'outil.
· Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tous les lecteurs (disques fixes et amovibles)
· Si infection > un rapport s'établira, sinon s'affichera (très rapide) ==>Votre Ordinateur est sain .
· Retire tes disques amovibles et redémarre ton ordinateur .
Poste le rapport , si infection!
j'ai lu dernièrement ce topic sur ZEB, plutôt pas mal pour nettoyer et vacciner contre cette saleté
à lire et à suivre toute la manip...
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
tu vas faire ceci dans un 1er temps
Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
Télécharge Rav antivirus: http://ww25.evosla.com/compteur.php?soft=rav_antivirus
· Clique droit sur le fichier .ZIP > Extraire sur > le Bureau
· Double clic sur >> RAV.exe << afin de lancer l'outil.
· Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tous les lecteurs (disques fixes et amovibles)
· Si infection > un rapport s'établira, sinon s'affichera (très rapide) ==>Votre Ordinateur est sain .
· Retire tes disques amovibles et redémarre ton ordinateur .
Poste le rapport , si infection!
j'ai lu dernièrement ce topic sur ZEB, plutôt pas mal pour nettoyer et vacciner contre cette saleté
à lire et à suivre toute la manip...
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
Heuresement Adober ne detruit rien sur le pc il se colle dans les stockages externe et en empeche leur ouverture
La seule solution rapide et sans prise de tete que j'ai trouver pour enrayer adober et de recreer un nouveau autorun.inf qui, quand on le copie a la racine de la cle usb, ou dd externe/interne remplace l'autorun que adober a creer mais attention sa leffece mais si vou vous connectez a un pc qui est infecte il remplacera le nouveau autorun donc il fo refaire la manip a chaque fois. demande avan de se connecter a nimporte quel pc :)
Alor pour creer l'autorun rien de plus simple:
-Ouvrez le bloc note
-Copier ceci et coller le:
[autorun]
open=explorer.exe
-Enregistrez le fichier sous le nom: autorun.inf
-Copiez ce fichier (garder en toujours une copie) a la racine de votre stockage infecté (pour acces->click droit, explorer)
et coller le . Windows vous demandera alors si vous voulez remplacer l'autre fichier, clickez oui et voila :)
La seule solution rapide et sans prise de tete que j'ai trouver pour enrayer adober et de recreer un nouveau autorun.inf qui, quand on le copie a la racine de la cle usb, ou dd externe/interne remplace l'autorun que adober a creer mais attention sa leffece mais si vou vous connectez a un pc qui est infecte il remplacera le nouveau autorun donc il fo refaire la manip a chaque fois. demande avan de se connecter a nimporte quel pc :)
Alor pour creer l'autorun rien de plus simple:
-Ouvrez le bloc note
-Copier ceci et coller le:
[autorun]
open=explorer.exe
-Enregistrez le fichier sous le nom: autorun.inf
-Copiez ce fichier (garder en toujours une copie) a la racine de votre stockage infecté (pour acces->click droit, explorer)
et coller le . Windows vous demandera alors si vous voulez remplacer l'autre fichier, clickez oui et voila :)
Heuresement Adober ne detruit rien sur le pc il se colle dans les stockages externe et en empeche leur ouverture
c'est faux!! il infecte le PC ainsi que les périphériques de stockage externe!!!
Oui mais comme le monsieur disait "Adober ne detruit rien" il n'a pas dit qu'il n'infectait rien !!!!! ....
Le fichier se propage partout, sur tout les péripheriques lié de pret ou de loin a votre pc ... via le reseau, via le wifi, via l'usb, le firewire, ... Il empeche juste l'acces des fichiers sur le périphérique ... et il tourne en tache de fond sur votre ordinateur ... Pas de quoi en faire un drame mais juste suffisant pour que ca enerve ...
Zen soyont Zen comme disait la chanson ... ;-)
Le fichier se propage partout, sur tout les péripheriques lié de pret ou de loin a votre pc ... via le reseau, via le wifi, via l'usb, le firewire, ... Il empeche juste l'acces des fichiers sur le périphérique ... et il tourne en tache de fond sur votre ordinateur ... Pas de quoi en faire un drame mais juste suffisant pour que ca enerve ...
Zen soyont Zen comme disait la chanson ... ;-)
je me retrouve avec le mem probleme de virus "ravmonlog"
mais la page de lien qui est affichée n existe plus "evosla"
qq un pourrait peut etre me redonner un lien valide ce serait sympa
ensuite ca fait 2 semaines que je rame pour connecter un 2eme ordi en wifi avec la livebox le premier etant connecte par cable et j ai des soucis d adresse ip et que vous pensez que ca pourrait etre lié au virus ?
MERCI
http://www.evosla.com/files/rav.zip