Comment se débarrasser de RAMNIT

Septembre 2016




Description

RAMNIT est un virus au sens littéral du terme.
Il s'attaque aux exécutables et infecte majoritairement les fichiers .EXE, .DLL et .HTML


Le repérer

Ramnit est repérable sur un rapport de zhpdiag via ce genre de lignes que rajoute Ramnit :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8888;https=127.0.0.1:8888;
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,c:\program files\microsoft\desktoplayer.exe


UsbFix le met également en évidence sur ses rapports comme ceci :

E:\Copy of Shortcut to (1).lnk
E:\Copy of Shortcut to (2).lnk
E:\Copy of Shortcut to (3).lnk
E:\Copy of Shortcut to (4).lnk
E:\Recycler\S-2-4-83-5280813113-0422248134-003777717-6617\ouLQHTjd.exe
E:\Recycler\S-2-4-83-5280813113-0422248134-003777717-6617\bCeZRQYH.cpl


Notez la présence du fichier .cpl dans le dossier Recyler. C'est la façon la plus simple pour vous de le repérer, car ce fichier est une constante.

Cette infection est en général bien détectée, comme le montre cette analyse sur VirusTotal, site qui permet de vérifier des fichiers avec plusieurs antivirus différents :

File name:               
mbr.exe
Submission date: 2010-11-19 12:47:02 (UTC)
Current status: queued (#8) queued (#6) analyzing finished
Result: 30/ 43 (69.8%)

AhnLab-V3 2010.11.19.00 2010.11.18 Win32/Ramnit
AntiVir 7.10.14.39 2010.11.19 W32/Ramnit.C
Antiy-AVL 2.0.3.7 2010.11.19 -
Avast 4.8.1351.0 2010.11.19 Win32:Ramnit-F
Avast5 5.0.594.0 2010.11.19 Win32:Ramnit-F
AVG 9.0.0.851 2010.11.19 Win32/Zbot.G
BitDefender 7.2 2010.11.19 Win32.Ramnit.H
CAT-QuickHeal 11.00 2010.11.09 -
ClamAV 0.96.4.0 2010.11.19 W32.Ramnit-1
Command 5.2.11.5 2010.11.19 W32/Ramnit.D
Comodo 6771 2010.11.19 Packed.Win32.MUPX.Gen
DrWeb 5.0.2.03300 2010.11.19 -
Emsisoft 5.0.0.50 2010.11.19 Virus.Win32.Ramnit!IK
eSafe 7.0.17.0 2010.11.18 -
eTrust-Vet 36.1.7986 2010.11.19 Win32/Ramnit.C
F-Prot 4.6.2.117 2010.11.19 W32/Ramnit.D
F-Secure 9.0.16160.0 2010.11.19 Win32.Ramnit.H
Fortinet 4.2.254.0 2010.11.18 -
GData 21 2010.11.19 Win32.Ramnit.H
Ikarus T3.1.1.90.0 2010.11.19 Virus.Win32.Ramnit
Jiangmin 13.0.900 2010.11.19 Backdoor/IRCNite.wi
K7AntiVirus 9.68.3021 2010.11.18 Virus
Kaspersky 7.0.0.125 2010.11.19 Virus.Win32.Nimnul.a
McAfee 5.400.0.1158 2010.11.19 W32/NGVCK
McAfee-GW-Edition 2010.1C 2010.11.19 W32/NGVCK
Microsoft 1.6402 2010.11.19 Virus:Win32/Ramnit.I
NOD32 5633 2010.11.19 Win32/Ramnit.H
Norman 6.06.10 2010.11.19 -
nProtect 2010-11-19.02 2010.11.19 Win32.Ramnit.H
Panda 10.0.2.7 2010.11.18 W32/Cosmu.C
PCTools 7.0.3.5 2010.11.19 Malware.Ramnit
Prevx 3.0 2010.11.19 -
Rising 22.74.03.08 2010.11.19 -
Sophos 4.59.0 2010.11.19 W32/Ramnit-A
SUPERAntiSpyware 4.40.0.1006 2010.11.19 -
Symantec 20101.2.0.161 2010.11.19 W32.Ramnit.B!inf
TheHacker 6.7.0.1.086 2010.11.18 -
TrendMicro 9.120.0.1004 2010.11.19 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.11.19 -
VBA32 3.12.14.2 2010.11.18 -
VIPRE 7350 2010.11.19 Virus.Win32.Ramnit.b (v)
ViRobot 2010.11.19.4157 2010.11.19 -
VirusBuster 13.6.48.0 2010.11.18 Win32.Ramnit.Gen.2
Additional information

Désinfecter Ramnit

Il n'est pas simple de désinfecter un PC touché par RAMNIT et dans certains cas, le formatage est obligatoire si l'infection a pris trop d'ampleur.

Autrement, certains live CD peuvent venir à bout des fichiers infectés : le live CD DR WEB semble par exemple pouvoir venir à bout de cette infection, lorsqu'elle n'est pas trop développée sur le pc.

Kaspersky Removal Tools

Téléchargez et installez Kaspersky Removal Tool : http://www.kaspersky.com/antivirus-removal-tool?form=1

Avant de lancer le scan, régler les actions en automatique (sinon vous serez submerger de popups)
Pour cela, cliquez à droite sur l'icône roue dentée puis à gauche Actions et cochez Exécuter action

Il faut impérativement faire un scan complet sinon des executables infectés peuvent rester.
Toujours dans le menu de paramètrage, à gauche, cliquez sur Zone d'analyse
Cochez le poste de travail.

Lancer le scan ensuite à partir de l'onglet analyse automatique

Kaspersky Removal Tool devrait avoir besoin de redémarrer pour désactiver Ramnit.
Kaspersky Removal Tool va alors se relancer au démarrage, terminer bien le scan.

Plus d'informations sur cette page : http://www.malekal.com/2011/10/12/ramnit-fait-son-retour-un-vrai-virus/2/

DR WEB LIVE CD

L'utilisation du live cd est préférable, elle permet de scanner son système à partir d'un autre OS (Linux) où le virus n'est pas actif en mémoire et ne peut donc pas réinfecter d'exécutables...

Lien de téléchargement : http://www.freedrweb.com/livecd/?lng=fr

Tutoriel Dr web live cd : http://forum.malekal.com/web-live-t21820.html

Lancer un scan complet et pas un scan rapide.

Formatage

Formater un disque dur, c'est effacer tout son contenu, supprimer toutes les informations, fichiers, dossiers et le système d'exploitation. Il s'agit d'une opération irréversible, c'est à dire qu'une fois le disque dur formaté, il n'y a plus moyen de revenir en arrière et de restaurer vos données.

Il est bien sûr essentiel de posséder une copie de votre système d'exploitation actuel ou d'avoir un support afin d'en installer un nouveau.

Il est impératif de ne sauvegarder AUCUN fichier exécutable, aucun documents zippé (.zip) compressé (.rar) aucun .scr aucun .DLL et aucun .HTML sinon, vous risquez de vous retrouver avec des fichiers infectés. N'oubliez pas qu'un seul fichier peut infecter le reste du PC.

Afin de commencer le formatage, nous vous redirigeons vers cette astuce.

Après désinfection

Si vous ne parvenez pas à vous désinfecter avec l'astuce, créez un sujet dans la partie Virus du forum.

Si vous êtes parvenus à vous désinfecter, vous devez impérativement mettre à jour vos logiciels installés, votre ordinateur est vulnérable.

Un exploit sur site WEB permet l'infection de votre ordinateur de manière automatique à la visite d'un site WEB qui a été hacké, il tire partie du fait que vous avez des logiciels (Java, Adobe Reader etc) non à jour et qui possèdent des vulnérabilités permettant l'execution de code (malicieux dans notre cas) à votre insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter votre PC.
Exemple avec : Exploit Java

Maintenez vos logiciels à jour c'est important pour la sécurité de votre PC, utilisez ces programmes pour vous y aider : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

Plus globalement pour sécuriser son ordinateur : http://www.commentcamarche.net/faq/8934-securisation-de-son-pc

Autres liens utiles

Présentation du virus Ramnit/Cosmu/Quolko (par Malekal_morte)
Ramnit fait son retour: un vrai virus...(par Malekal_morte)

A voir également :

Ce document intitulé «  Comment se débarrasser de RAMNIT  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.