Virus :Win32/Ramnit.AF [Résolu/Fermé]

Signaler
-
Tigzy
Messages postés
7475
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
24 février 2020
-
Bonjour à toutes et à tous,

Alors voilà, comme le dit le titre j'ai attrapé ce virus Win32/Ramnit.AF, une fenêtre s'ouvre Interpréteur de commande avec dans les détailles
"c:Windows/system32/cmd.exe/c"
"c :user\micro\appdata\local\temp\hkxfeyyantdevyaj.exe."

j'ai passé MABAM en mode sans échec, il a trouvé 13 infections que j'ai supprimées mais, au redémarrage mon anti virus Microsoft Security Essentials ouvre une fenêtre, 1 menace a été détectée puis, une autre, 4 menaces ont été détectées à chaque fois je clique sur nettoyer, mais ça ne s'arrête pas c'est monté jusque 88 menaces, j'ai vérifié les détailles,
"Virus :Win32/Ramnit.AF
Ce programme est dangereux il se réplique en infectant d'autres programmes"
Je suis en mode sans échec car en mode normal mon anti virus s'affole.

Je suis sous vista sp2

Merci à tous de donner de votre temps.

16 réponses


Bonjour

Télécharge Dr Web CureIt sur ton Bureau :

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

- Double clique drweb-cureit.exe et ensuite clique sur Analyse;

- Clique Ok à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton Oui.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
- Lorsque le scan rapide est terminé, clique sur le menu Options puis Changer la configuration ; Choisis l'onglet Scanner, et décoche Analyse heuristique. Clique ensuite sur Ok.
- De retour à la fenêtre principale : clique pour activer Analyse complète
- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
- Clique Oui< /gras> pour tout à l'invite <gras> Désinfecter ? lorsqu'un fichier est détecté, et ensuite clique Désinfecter.
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l'icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône Suivant, au dessous, et choisis <gras> Déplacer en quarantaine l'objet indésirable.
- Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
- Ferme Dr.Web Cureit
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.


@+
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 86593 internautes nous ont dit merci ce mois-ci


Re

* Télécharger sur le bureau RogueKiller(par Tigzy)
* Quitter tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, taper 1 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
* Si le programme a été bloqué, ne pas hésiter a essayé plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

@+
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 86593 internautes nous ont dit merci ce mois-ci

Bonsoir Guillaume5188,

Merci pour ton aide.

J'ai lancé l'analyse rapide en mode sans échec il a trouvé 4 infections, 2 Trojan.Rmnet8 1 hkxfeyyantdevyaj.exe et un je ne me souviens pas du nom soft quelque'chose 4, j'ai cliqué sur option mais là, problème, écran bleu avec problème has been detected et l'ordi c'est arrêté, puis, a redémarré, je l'ai laissé en mode normal j'ai eu une fenêtre avec
"Windows a récupéré d'un arrêt non planifié.

Un problème empêche Windows de fonctionner correctement. Windows vous préviendra si une solution est disponible."

J'ai donc refait l'analyse rapide en mode normal il n'a rien trouvé, j'ai lancé l'analyse complète, il a trouvé 7 infections toujours Trojan.Rmnet8, j'ai voulu enregistrer le rapport mais, même problème qu'en mode sans échec, écran bleu avec problème asbine detected et l'ordi c'est arrêté, puis, a redémarré, j'ai eu une fenêtre avec

"Windows a récupéré d'un arrêt non planifié.

Un problème empêche Windows de fonctionner correctement. Windows vous préviendra si une solution est disponible."

Cela a été long, j'espère que c'est normal.

Re

1)Désactive ta restauration:
La première partie>>>Désactivation

https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista

2)
Relance une analyse avec Drweb

Tiens moi au courant;merci.

@+
Re Guillaume5188,

Restauration système désactivée, analyse rapide effectuée aucune infection trouvée, j'ai cliqué sur le menu option (pas d'écran bleu cette fois) et décoché Analyse heuristique puis, analyse complète effectuée aucune infection trouvée.

Je dois réactiver la restauration système ?

Bonjour

Restauration toujours désactivée.

Fait ceci:

Inscris toi avant tout


Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/download/telecharger-34066799-zhpdiag

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html
en bas de la page ZHP avec un numéro de version.

Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :


http://pjjoint.malekal.com/

https://www.cjoint.com/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Merci

A+
Guillaume5188,

Voilà le rapport.

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111231_t9f11e8g5x13

"Inscris toi avant tout"


Que je m'inscrive ou ?

Re

L'inscription à faire c'était sur ce forum;mais ce n'est pas grave.

Pour vérification:

Télécharge TDSSKiller

*Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
* Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée.
Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer

sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau

Poste moi son rapport à l'issue; merci

@+
Re,

Avec les options par défaut il ne trouve rien

Voilà le premier rapport,

http://pjjoint.malekal.com/files.php?id=20111231_s7f12t5d12y8


mais, quand je change les options en cochant les cases ;

Verify driver digital signatures

Detect TDLFS file system

Il trouve 2 Threats detected

Voilà le deuxième rapport, j'ai laissé sur skip.

http://pjjoint.malekal.com/files.php?id=20111231_i6o13k5q9t11


Merci pour ta patience ^^
Re,

Voilà le rapport de RogueKiller

http://pjjoint.malekal.com/files.php?id=20111231_k6g11y7p11k7
Bonsoir à vous,

Je repasse sur le post pour revoir quelques trucs, et je vois votre discussion, c'est moi qui dois refaire RogueKiller ?
Tigzy
Messages postés
7475
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
24 février 2020
522
Yep ;)
Bonjour Tigzy,

Voilà le fichier PhysicalDrive0_User.dat

http://cjoint.com/?0AdmYsqblI4
Tigzy
Messages postés
7475
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
24 février 2020
522
Merci
Tigzy
Messages postés
7475
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
24 février 2020
522
ok, je l'avais déjà mis à jour celui là, c'est un MBR tatoué de HP

Re

1)Met à jour Firefox

2)Met à jour Java

3)Désinstalle Adobe reader et installe Foxit reader;logiciel plus léger et qui suffit amplement pour lire un fichier PDF

4)
Lance une analyse avec Malwaresbytes à jour et poste moi son rapport

Merci
@+

Re,

Je n'ai pas mis à jour Firefox, la version 9 ne me plait pas, je le ferais sûrement un jour.

Mise à jour java effectuée.

Pour Foxit reader je préfère Adobe, tant qu'il est à jour il n y a pas de problème.

Le rapport Malwaresbytes,

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2011.12.31.03

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
micro :: PC-DE-Minos [administrateur]

31/12/2011 15:12:38
mbam-log-2011-12-31 (15-12-38).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 328504
Temps écoulé: 55 minute(s), 32 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Re

A lire:

https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.



1)
Télécharge DelFix de Xplode

* Lance le.
* A l'invite, [Suppression]
* Un rapport va s'ouvrir à la fin, colle le dans la réponse

Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]

2)
C - Ccleaner :

https://www.commentcamarche.net/download/telecharger-168-ccleaner

.enregistres le sur le bureau
.double-cliques sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur <gras>suivant

.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur installer
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
. coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.clique maintenant sur registre et puis sur rechercher les erreurs
.laisse tout coché et clique sur réparer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et une fois fermé tu vérifies en relançant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner.

Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm



3)Purge la restauration sur Vista.
Comment faire :

https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections



@+
Re,

J'ai passé DelFix, passé Ccleaner comme tu me l'as indiqué et j'ai purgé la restauration de vista.

Le rapport DelFix,

# DelFix v8.7 - Rapport créé le 31/12/2011 à 17:21:39
# Mis à jour le 01/12/11 à 20h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : micro - PC-DE-Minos (Administrateur)
# Exécuté depuis : C:\Users\micro\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\ZHP
Supprimé : C:\Users\micro\DoctorWeb
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Users\micro\Desktop\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\TDSSKiller.2.6.25.0_31.12.2011_13.32.47_log.txt
Supprimé : C:\TDSSKiller.2.6.25.0_31.12.2011_13.34.13_log.txt
Supprimé : C:\Users\micro\Desktop\drweb-cureit.exe
Supprimé : C:\Users\micro\Desktop\RKreport[1].txt
Supprimé : C:\Users\micro\Desktop\RogueKiller.exe
Supprimé : C:\Users\micro\Desktop\ZHPDiag.txt
Supprimé : C:\Users\micro\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\IDAVLab
Clé Supprimée : HKLM\SOFTWARE\IDAVLab
Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************DelFix[S1].txt - [1507 octets] - [31/12/2011 17:21:39]

########## EOF - C:\DelFix[S1].txt - [1631 octets] ##########

Re

Je te propose donc de mettre ce post en résolu si tu n'as plus de problèmes.


Meilleurs voeux pour cette nouvelle année ;-)

@+
Re Guillaume5188,

Je te remercie pour ton aide et ta disponibilité, merci de donner de ton temps et de partager ton savoir.

Je te souhaite de passer un excellent réveillon, et te souhaite une belle année à toi et à toute l'équipe du site.

Merci d'être là ^^

Je ne vois pas comment éditer mon premier message pour mettre le post en résolu, désolé.
Utilisateur anonyme
Je m'en occupe
Encore merci Guillaume5188 ;)