Virus win32/ramni!remnants

Bonjour,

Tu l'as eu comment ce jeu ?

bonjour

ce jeux je l'ai eu sur ali express, c'est un pack complet  boitier telecommande et disque d'installation du simulateur 

j'ai trouve un tuto d'installation qui preconise la desactivation des anti virus,

Bonjour.

Ce DVD n'est pas un DVD original mais une copie piratée du jeu avec tous les inconvénients qui vont avec.

Si ton pc est réellement infecté par Ramnit ce qui n'est pas certain, sache que Ramnit est un virus qui date de 2010 qui infecte tous les fichiers système .exe .dll etc etc... ainsi que tous les périphériques de stockage connectés au pc, chaque fois que tu allumes ton pc il continu son travail de sape, cela se termine en général très mal pour le pc ainsi que pour tous les périphériques de stockage USB (clé USB disque dur externes) qui y ont été connectés au pc, vu que cela fait 5 jours que tu l'as les dégâts sont à mon avis irrémédiables, mais cela peut aussi être un faux positif.

Pour voir si c'est réellement Ramnit :

En premier fait un scan avec KVRT dont voici un tutoriel qui est à lire attentivement, comme indiqué dans le tutoriel supprime ce qu'il trouvera.

Puis fait une analyse FRST :

Télécharge FRST .

Une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur https://www.cjoint.com/ puis donne les deux liens générés par https://www.cjoint.com/ dans ta réponse. 

bonjour

merci pour vos conseils, krvt n"a rien trouvé donc je penserais a un faux positif

voici les 2 liens generés par frst

https://www.cjoint.com/c/MKbr1tJ6DWg 

https://www.cjoint.com/c/MKbr7bRwGug 

 merci

Pas d'infection, juste quelques processus orphelins, dans le script FRST j'ai inclus les deux dossiers d'installation de ton jeu vérolé signalés par Windows Defender, si tu souhaites supprimer tout ça fait ce qui suit :

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction 
GroupPolicy: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
Task: {A4CDC6CD-4725-4398-9F98-B75B8FD97F29} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-2412924731-293402789-2616735408-1001 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Pas de fichier)
Task: {0E87B3D5-B882-4996-88AC-5884CFF66C79} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-2412924731-293402789-2616735408-1001 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Pas de fichier)
Task: {4A14AF49-0894-45A3-A23F-6BBFC807D043} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-2414712632-580038325-581801953-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Pas de fichier)
Task: {A88857E5-EF36-4DDD-9AD6-A3F3BB79EA79} - System32\Tasks\Opera scheduled Autoupdate 1661357964 => C:\Users\michel\AppData\Local\Programs\Opera\launcher.exe  --scheduledautoupdate $(Arg0) (Pas de fichier)
Task: {BFCF0E33-6D85-42E2-85E8-A8A930218039} - System32\Tasks\Opera scheduled Autoupdate 1666615037 => C:\Users\michel\AppData\Local\Programs\Opera\launcher.exe  --scheduledautoupdate $(Arg0) (Pas de fichier)
CHR DefaultSearchURL: Default -> hxxps://fr.search.yahoo.com/search?fr=mcafee&type=E210FR91082G0&p={searchTerms}
S2 PTSimBus; "%SystemRoot%\System32\Drivers\PTSimBus.sys" [X]
S3 PTSimHid; "%SystemRoot%\System32\Drivers\PTSimHid.sys" [X]
CustomCLSID: HKU\S-1-5-21-2412924731-293402789-2616735408-1001_Classes\CLSID\{E7629152-0A34-4487-B787-5D1144304455}\localserver32 -> pas de chemin du fichier
AlternateDataStreams: C:\ProgramData\TEMP:A9967A61 [123]
C:\Program Files\RealFlight7
C:\Program Files\ReFlex XTR
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

bonjour

merci pour la recup, je met le lien demandé

https://www.cjoint.com/c/MKcqPR4QDRg

 ps : je pense que pour passer a window 64b il faut tout reintaller (actellement je suis avec processeur 64 en x86)

Le fixlog est OK.

Pour ton Windows, pour le passer en 64 bits il faut effectivement tout réinstaller, car on ne peut pas mettre à niveau un Windows 32 bits vers sa version en 64 bits.

Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

bojour

merci encore pour toute l'aide apportée,

pour mon windows en 64, je vais m'y mettre car il est obligatoire pour faire fonctionner mon jeux de simulateur  (je vais prendre la bonne version cette fois)

  cdl