Comment se débarrasser de RAMNIT

Description

RAMNIT est un virus au sens littéral du terme.
Il s'attaque aux exécutables et infecte majoritairement les fichiers .EXE, .DLL et .HTML

Le repérer

Ramnit est repérable sur un rapport de zhpdiag via ce genre de lignes que rajoute Ramnit :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8888;https=127.0.0.1:8888;
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,c:\program files\microsoft\desktoplayer.exe

Cette infection est en général bien détectée, comme le montre cette analyse sur VirusTotal, site qui permet de vérifier des fichiers avec plusieurs antivirus différents :

File name:               
mbr.exe               
Submission date: 2010-11-19 12:47:02 (UTC)               
Current status: queued (#8) queued (#6) analyzing finished               
Result: 30/ 43 (69.8%)               
              
AhnLab-V3 2010.11.19.00 2010.11.18 Win32/Ramnit               
AntiVir 7.10.14.39 2010.11.19 W32/Ramnit.C               
Antiy-AVL 2.0.3.7 2010.11.19 -               
Avast 4.8.1351.0 2010.11.19 Win32:Ramnit-F               
Avast5 5.0.594.0 2010.11.19 Win32:Ramnit-F               
AVG 9.0.0.851 2010.11.19 Win32/Zbot.G               
BitDefender 7.2 2010.11.19 Win32.Ramnit.H               
CAT-QuickHeal 11.00 2010.11.09 -               
ClamAV 0.96.4.0 2010.11.19 W32.Ramnit-1               
Command 5.2.11.5 2010.11.19 W32/Ramnit.D               
Comodo 6771 2010.11.19 Packed.Win32.MUPX.Gen               
DrWeb 5.0.2.03300 2010.11.19 -               
Emsisoft 5.0.0.50 2010.11.19 Virus.Win32.Ramnit!IK               
eSafe 7.0.17.0 2010.11.18 -               
eTrust-Vet 36.1.7986 2010.11.19 Win32/Ramnit.C               
F-Prot 4.6.2.117 2010.11.19 W32/Ramnit.D               
F-Secure 9.0.16160.0 2010.11.19 Win32.Ramnit.H               
Fortinet 4.2.254.0 2010.11.18 -               
GData 21 2010.11.19 Win32.Ramnit.H               
Ikarus T3.1.1.90.0 2010.11.19 Virus.Win32.Ramnit               
Jiangmin 13.0.900 2010.11.19 Backdoor/IRCNite.wi               
K7AntiVirus 9.68.3021 2010.11.18 Virus               
Kaspersky 7.0.0.125 2010.11.19 Virus.Win32.Nimnul.a               
McAfee 5.400.0.1158 2010.11.19 W32/NGVCK               
McAfee-GW-Edition 2010.1C 2010.11.19 W32/NGVCK               
Microsoft 1.6402 2010.11.19 Virus:Win32/Ramnit.I               
NOD32 5633 2010.11.19 Win32/Ramnit.H               
Norman 6.06.10 2010.11.19 -               
nProtect 2010-11-19.02 2010.11.19 Win32.Ramnit.H               
Panda 10.0.2.7 2010.11.18 W32/Cosmu.C               
PCTools 7.0.3.5 2010.11.19 Malware.Ramnit               
Prevx 3.0 2010.11.19 -               
Rising 22.74.03.08 2010.11.19 -               
Sophos 4.59.0 2010.11.19 W32/Ramnit-A               
SUPERAntiSpyware 4.40.0.1006 2010.11.19 -               
Symantec 20101.2.0.161 2010.11.19 W32.Ramnit.B!inf               
TheHacker 6.7.0.1.086 2010.11.18 -               
TrendMicro 9.120.0.1004 2010.11.19 PAK_Generic.001               
TrendMicro-HouseCall 9.120.0.1004 2010.11.19 -               
VBA32 3.12.14.2 2010.11.18 -               
VIPRE 7350 2010.11.19 Virus.Win32.Ramnit.b (v)               
ViRobot 2010.11.19.4157 2010.11.19 -               
VirusBuster 13.6.48.0 2010.11.18 Win32.Ramnit.Gen.2               
Additional information               

Désinfecter Ramnit

Il n'est pas simple de désinfecter un PC touché par RAMNIT et dans certains cas, le formatage est obligatoire si l'infection a pris trop d'ampleur.

Autrement, certains live CD peuvent venir à bout des fichiers infectés : le live CD DR WEB semble par exemple pouvoir venir à bout de cette infection, lorsqu'elle n'est pas trop développée sur le pc.

Kaspersky Removal Tools

Téléchargez et installez Kaspersky Removal Tool : http://www.kaspersky.com/antivirus-removal-tool?form=1

Avant de lancer le scan, régler les actions en automatique (sinon vous serez submerger de popups)
Pour cela, cliquez à droite sur l'icône roue dentée puis à gauche Actions et cochez Exécuter action

Il faut impérativement faire un scan complet sinon des executables infectés peuvent rester.
Toujours dans le menu de paramètrage, à gauche, cliquez sur Zone d'analyse
Cochez le poste de travail.

Lancer le scan ensuite à partir de l'onglet analyse automatique

Kaspersky Removal Tool devrait avoir besoin de redémarrer pour désactiver Ramnit.
Kaspersky Removal Tool va alors se relancer au démarrage, terminer bien le scan.

Plus d'informations sur cette page : http://www.malekal.com/2011/10/12/ramnit-fait-son-retour-un-vrai-virus/2/

DR WEB LIVE CD

L'utilisation du live cd est préférable, elle permet de scanner son système à partir d'un autre OS (Linux) où le virus n'est pas actif en mémoire et ne peut donc pas réinfecter d'exécutables...

Lien de téléchargement : ftp://ftp.drweb.com/pub/drweb/livecd/
(choisir le fichier le plus récent)

Tutoriel Dr web live cd : http://forum.malekal.com/web-live-t21820.html

Lancer un scan complet et pas un scan rapide.

Formatage

Formater un disque dur, c'est effacer tout son contenu, supprimer toutes les informations, fichiers, dossiers et le système d'exploitation. Il s'agit d'une opération irréversible, c'est à dire qu'une fois le disque dur formaté, il n'y a plus moyen de revenir en arrière et de restaurer vos données.

Il est bien sur essentiel de posséder une copie de votre système d'exploitation actuel ou d'avoir un support afin d'en installer un nouveau.

Il est impératif de ne sauvegarder AUCUN fichier exécutable, aucun documents zippé (.zip) compressé (.rar) aucun .scr aucun .DLL et aucun .HTML sinon, vous risquez de vous retrouver avec des fichiers infectés. N'oubliez pas qu'un seul fichier peut infecter le reste du PC.

Afin de commencer le formatage, nous vous redirigeons vers cette astuce.

Après désinfection

Si vous ne parvenez pas à vous désinfecter avec l'astuce, créez un sujet dans la partie Virus du forum.

Si vous êtes parvenus à vous désinfecter, vous devez impérativement mettre à jour vos logiciels installés, votre ordinateur est vulnérable.

Un exploit sur site WEB permet l'infection de votre ordinateur de manière automatique à la visite d'un site WEB qui a été hacké, il tire partie du fait que vous avez des logiciels (Java, Adobe Reader etc) non à jour et qui possèdent des vulnérabilités permettant l'execution de code (malicieux dans notre cas) à votre insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter votre PC.
Exemple avec : Exploit Java

Maintenez vos logiciels à jour c'est important pour la sécurité de votre PC, utilisez ces programmes pour vous y aider : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

Plus globalement pour sécuriser son ordinateur : http://www.commentcamarche.net/faq/8934-securisation-de-son-pc

Autres liens utiles

Présentation du virus Ramnit/Cosmu/Quolko (par Malekal_morte)
Ramnit fait son retour: un vrai virus...(par Malekal_morte) Ce document intitulé « Comment se débarrasser de RAMNIT » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.