Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

W32 Ramnit

Souci

Par Souci
dans Analyses et éradication malwares

 Partager

Messages recommandés

Souci Junior Member

Souci

Posté(e)
Posté(e)

Bonjour,

Voilà je suis infecté du virus W32 Ramnit, impossible de le supprimer.

Je regarde sur des forums mais je n'y arrive pas, je dois pas bien comprendre.

J'ai donc fait une analyse avec le logiciel ZHP un truc du genre, j'ai ensuite enregistré le rapport mais je ne sais pas quoi faire après.

Si quelqu'un à des infos, un ptit coup de main ne serait pas de refus.

Merci bien.

bernard53 Godlike Member

bernard53

Posté(e)
Posté(e)

Bonjour

 

Fait ceci car ce virus est tenace.

 

 

Sauvegarde des données perso avant de débuter quoique ce soit, au cas où un formatage non anticipé devrait être effectué. On ne sauvegarde pas les .exe et .scr (incluant tout programme), ni les .zip ou .rar téléchargés, ni les fichiers .htm, .html ou .php

 

 

Graver et Démarrer OTLPE depuis un CD

 

► Télécharge OTLPEnet :: http://oldtimer.geekstogo.com/OTLPENet.exe sur ton Bureau ou http://www.itxassociates.com/OT-Tools/OTLPENet.exe

 

* Quand le téléchargement sera fini, Double Clic sur OTLPENet.exe(clic droit executer en tant qu'administrateur sous vista|seven) et assures-toi d'avoir insérer un CDR vierge dans ton graveur CD/DVD. Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.

* Patiente le temps de la décompression et de la gravure du CD.

* demarrer sur le cdrom crée de Reatogo , voir exemple: booter-sur-dvd-t9447.html

 

 

1272203242-otlpe01m.gif

 

 

1272203272-otlpe02m.gif

 

 

 

1272203333-otlpe03m.png

 

 

1274538354-reatogo.jpg

 

* Ton système doit montrer un bureau REATOGO-X-PE

* En fonction de votre type de connexion Internet, tu dois être en mesure d'accèder au Net, si bien que tu peux accéder à ce sujet plus facilement.

* Double-click sur l'icone OTLPE

 

» à ceci valider par ok:

 

 

1274092569-loqd1.jpg

 

» à ceci selectionner sa session:

 

 

1274092650-loqd2.jpg

 

** si le systeme d'exploitation est Vista ou Seven tu peux avoir ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)

 

 

1287928545-otlpe05.gif

 

 

 

 

* verifier que "Automatically Load All Remaining Users" est sélectionné et press OK

 

» OTLPE se lançe alors

 

 

1272203961-otlpe08.gif

 

o sous Custom Scan box copie_colle le contenu du cadre ci dessous:

 

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

explorer.exe

userinit.exe

winlogon.exe

wininit.exe

csrss.exe

smss.exe

svchost.exe

services.exe

spoolsv.exe

alg.exe

ctfmon.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

i8042prt.sys

cdrom.sys

disk.sys

ndis.sys

tcpip.sys

imapi.sys

RDPCDD.sys

mountmgr.sys

aec.sys

rasacd.sys

redbook.sys

intelide.sys

mrxsmb10.sys

mrxsmb20.sys

termdd.sys

mrxsmb.sys

win32k.sys

storport.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

/md5stop

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

CREATERESTOREPOINT

 

* clic Run Scan pour demarrer le scan.

* une fois terminé , le fichier se trouve là C:\OTL.txt

* copie_colle le contenu dans ta prochaine reponse

 

Si ton rapport est trop long, utilise le site Cijoint.fr - Service gratuit de dépôt de fichiers pour envoyer ton rapport, et mets le lien dans ta prochaine réponse.

 

 

:hello2:

bernard53 Godlike Member

bernard53

Posté(e)
Posté(e) (modifié)

ok on y va ;)

 

Plusieurs petites choses s.t.p

 

1-Ne garde pas IE6 qui n'est pas de sécurité du tout :tsss: prendre une version supérieur.

 

2-tu as deux anti virus :tsss::tsss: 1 seul suffit cela va engendrer des ralentissements sur ton pc.

 

3-Ceci pour mettre à jour ta version de Java qui est loin d'être à jour.

 

 

 

** Télécharge JavaRA

 

**Aide en images

Pour Vista : Clic-droit sur setup et choisis "Exécuter en tant qu'administrateur".

 

 

ATTENTION ces 3 points ne seront qu'a faire au final.

 

Donc en premier ceci.

 

 

Relance donc le cd que tu viens de graver puis relance OTLPE et dans cette fenêtre.

 

1272203961-otlpe08.gif

 

o sous Custom Scan box copie_colle le contenu du cadre ci dessous:

 

:OTL

IE - HKU\admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1

IE - HKU\cdebrois_ON_C\..\URLSearchHook: {1c491116-c175-45e1-a570-6fb14fea8b7b} - C:\Program Files\PHPNukeFR\tbPHP1.dll (Conduit Ltd.)

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.defaultenginename: "Ask.com"

FF - prefs.js..browser.search.order.1: "Ask.com"

[2010/08/01 16:07:09 | 000,002,253 | ---- | M] () -- C:\Documents and Settings\cdebrois\Application Data\Mozilla\Firefox\Profiles\9y0wc4ok.default\searchplugins\askcom.xml O2 - BHO: (PHPNukeFR Toolbar) - {1c491116-c175-45e1-a570-6fb14fea8b7b} - C:\Program Files\PHPNukeFR\tbPHP1.dll (Conduit Ltd.)

O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngin0.dll (Conduit Ltd.)

O3 - HKLM\..\Toolbar: (PHPNukeFR Toolbar) - {1c491116-c175-45e1-a570-6fb14fea8b7b} - C:\Program Files\PHPNukeFR\tbPHP1.dll (Conduit Ltd.)

O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngin0.dll (Conduit Ltd.)

O3 - HKU\cdebrois_ON_C\..\Toolbar\WebBrowser: (PHPNukeFR Toolbar) - {1C491116-C175-45E1-A570-6FB14FEA8B7B} - C:\Program Files\PHPNukeFR\tbPHP1.dll (Conduit Ltd.)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)

O20 - HKLM Winlogon: UserInit - (C:\Program Files\bnwlsvwe\jqoxdygr.exe) - C:\Program Files\bnwlsvwe\jqoxdygr.exe (Macromedia, Inc.)

[2011/02/08 12:17:14 | 000,000,000 | ---D | C] -- C:\WINDOWS\41EBC322660F4D16A0DF53147210CBDB.TMP

[2011/02/05 08:38:48 | 000,086,016 | ---- | C] (Macromedia, Inc.) -- C:\jqoxdygr.exe

[2011/02/05 06:12:36 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Local Settings\Application Data\Conduit =

[2011/02/05 06:12:33 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Local Settings\Application Data\PHPNukeFR

[2011/02/05 06:12:33 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Local Settings\Application Data\ConduitEngine =

[2011/02/05 06:02:59 | 000,086,016 | ---- | C] (Macromedia, Inc.) -- C:\Documents and Settings\cdebrois\Menu Démarrer\Programmes\Démarrage\jqoxdygr.exe

[2011/02/05 06:02:59 | 000,000,000 | ---D | C] -- C:\Program Files\bnwlsvwe

[2011/01/13 15:42:14 | 000,000,000 | ---D | C] -- C:\Documents and Settings\cdebrois\Local Settings\Application Data\PHPNukeFR

[2011/01/13 15:42:14 | 000,000,000 | ---D | C] -- C:\Program Files\Conduit

[2011/01/13 15:42:14 | 000,000,000 | ---D | C] -- C:\Documents and Settings\cdebrois\Local Settings\Application Data\Conduit

[2011/01/13 15:42:08 | 000,000,000 | ---D | C] -- C:\Program Files\ConduitEngine

[2011/01/13 15:42:08 | 000,000,000 | ---D | C] -- C:\Documents and Settings\cdebrois\Local Settings\Application Data\ConduitEngine

[2011/01/13 15:42:05 | 000,000,000 | ---D | C] -- C:\Program Files\PHPNukeFR

[2011/02/09 07:43:40 | 000,087,608 | ---- | M] () -- C:\Documents and Settings\cdebrois\Application Data\inst.exe

:Files

C:\Program Files\bnwlsvwe

C:\jqoxdygr.exe

C:\Documents and Settings\cdebrois\Menu Démarrer\Programmes\Démarrage\jqoxdygr.exe

C:\Documents and Settings\cdebrois\Application Data\inst.exe

:Commands

[emptytemp]

* Cliques sur l'icône RUNFIX (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un rapport s'ouvrir "OTL.log"

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Cijoint.fr - Service gratuit de dépôt de fichiers

 

Ensuite tu me diras si tu as toujours une alerte pour la suite.

 

:hello2:

Modifié par bernard53
bernard53 Godlike Member

bernard53

Posté(e)
Posté(e) (modifié)

pas de soucis on continu.

 

Possible en fait que les alertes viennent de la restauration infectée. On verra cela après.

 

 

Vu que ton pc démarrage bien fait ceci.

 

Télécharge load_tdsskiller de Loup Blanc sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

 

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

 

Lance load_tdsskiller en double-cliquant dessus. Clic droit et exécuter en tant qu'administrateur avec Vista/Seven

 

A cette fenêtre lance le scan.

 

11012708271111174.jpg

 

Tu peux récupérer le rapport en validant Report

 

si tu as une détection il faut redémarrer pour valider la suppression.

 

Ensuite mets bien à jour Antivir et fait un scan complet s.t.p

Mets moi le rapport ensuite.

Modifié par bernard53
Souci Junior Member

Souci

Posté(e)
  • Auteur
Posté(e)

Hey salut,

Miracle, je n'ai plus de détection! Tu es un génie, je ne sais pas comment te remercier.

Après plusieurs redémarrages en fait ça a disparu c'est aller en régressant.

Je vais faire une dernière analyse avec mon antivirus pour voir tout ça.

 

Voila le hic, et pas des moindres... A chaque fois que je met une vidéo sur internet, il me semble que c'est la cause, l'ordinateur s'éteind en laissant apparaitre un écran bleu avec un message d'erreur mais illisible car trop rapide.

C'est l'enfer. En redémarrant une fois sur le bureau, il me met un message d'erreur windows avec le rapport technique.

 

C:\DOCUME~1\cdebrois\LOCALS~1\Temp\WERd7e2.dir00\Mini021011-04.dmp

C:\DOCUME~1\cdebrois\LOCALS~1\Temp\WERd7e2.dir00\sysdata.xml

 

Je ne sais pas ce que ça signifie...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...