Virus Ramnit.E Win32

[nol18]

bonjour,

 

Infectée depuis hier par le fameux RamnitE, j'ai essayé de télécharger KASPERSKY sans succès.

J'ai essayé de démarrer mon PC en mode sans échec mais il refuse.

 

Du coup j'ai désinstallé Avira, et me retrouve sans antivirus (pour ce que ça m'a protégée ...)

 

Merci de votre aide

[pear]

Bonjour,

 

Ramnit, ce n'est pas de chance, mais il n'est pas venu tout seul, n'est-ce pas !

 

Tentez d'abord de sauvegarder vos données car un formatage n'est pas à exclure.

 

Télécharger Dr.Web CureIt! et l'enregistrer sur le bureau.

Télécharger Space Security Pro (32-bit)

ou Space Security Pro (64 bits), l'enregistrer dans bureau.

Redémarrez l'ordinateur en mode sans échec (appuyez sur F8 avant que le logo Microsoft apparaît).

DoubleClick "cureit.exe" sur le bureau, suivez les instructions à l'écran pour scanner le disque dur.

(Attendez patiemment, cela peut prendre 20-60 minutes pour effectuer un balayage express.)

Une fois la numérisation effectuée, sélectionnez tous les virus trouvés et choisissez «guérir».

(A défaut, choisissez "Quarantaine" ou "Supprimer".)

Lorsque tous les virus trouvés sont traités, redémarrez en mode normal.

Désinstaller votre anti-virus qui ne peut pas tuer le virus, puis redémarrer à nouveau.

Sur le bureau , double cliquez Sécurité Pro pour l'exécuter.

 

Pendant l'installation, choisir d'obtenir une clé de démonstration.

Dès la mise à jour, le scanner sera lancé à nouveau, quittez le scanner à ce point.

Terminez l'installation en redémarrant l'ordinateur.

Patientez le temps nécessaire(peut-être plusieurs heures), effectuez une analyse complète de Dr.Web scanner.

 

Note:

 

Si Windows est incapable de démarrer en raison d'une infection virale, essayer LiveCD Dr.Web ou LiveUSB au lieu de Dr.Web CureIt!

Gravez un live cd comme expliqué ici:

Tutoriel Dr Web Live cd

 

[nol18]

Bonjour,

 

Je sais bien qu'il n'est pas arrivé tout seul mais justement je ne comprend pas très bien comment.

Je ne fais aucun téléchargement, par contre je regarde en streaming (ceci explique cela ??)

J' avais AVIRA comme anti-virus, pas assez performant ??

 

Sinon je crains d'avoir un GROS problème car comme je le disais dans le message, mon PC refuse de démarrer en mode sans échec et donc de télécharger/ouvrir toute page en relation avec Dr Web.

Impossible également de télécharger KASPERSKY

 

 

Concernant le formatage, je viens d'en faire un complet il y a un mois (grrrr) chez un informaticien car après en avoir fait un seul, il restait des doc (?!!) visiblement le virus restait "caché" dans la partie qui permet de redémarrer le PC (heu, j'espère que tu me comprends car je suis pas très calé en ordi)

 

Quelle solution me reste t-il ?

Si ça doit passer obligatoirement par un formatage, comment en faire un nickel?

 

Merci de ton aide

[pear]

Bonjour,

 

Avant tout, il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)

Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

 

Télécharger OTLPEStd.exe

 

Ou à partir de ce lien

sur le Bureau

Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

Vous devez voir bureau REATOGO-X-PE

 

Double-click sur l'icone OTLPE

A "Do you wish to load the remote registry"->choisir Yes

et "Do you wish to load remote user profile(s) for scanning"->choisir Yes

si vous avez un message :

RunScanner Error - Target is not windows 2000 or later

, il faut descendre jusqu'au dossier c:\windows dans l'arborescence de local disk (c:)

 

 

Vérifier que Automatically Load All Remaining Users est coché et valider par OK

 

» OTLPE se lançe alors

 

L' écran d'OTLPE s'affiche:

Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous:

 

SAVEMBR:0

NetSvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%SYSTEMDRIVE%\*.exe

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

/md5start

AGP440.sys

ahcix86s.sys

alg.exe

atapi.sys

cdrom.sys

cngaudit.dll

csrss.exe

eNetHook.dll

eventlog.dll

explorer.exe

fxssvc.exe

iastorv.sys

IdeChnDr.sys

iesetup.dll

inseng.dll

KR10N.sys

logevent.dll

lsass.exe

locator.exe

msdtc.exe

mshtml.dll

ndis.sys

netlogon.dll

nvatabus.sys

nvata.sys

nvgts.sys

nvstor.sys

nvstor32.sys

pngfilt.dll

rdpclip.exe

SafeBoot.sys

scecli.dll

sceclt.dll

spoolsv.exe

snmptrap.exe

sppsvc.exe

taskhost.exe

taskeng.exe

tcpip.sys

UI0Detect.exe

usbscan.sys

usbprint.sys

userinit.exe

vaxscsi.sys

vds.exe

viamraid.sys

ViPrt.sys

volsnap.sys

vssvc.exe

WatAdminSvc.exe

wbengine.exe

webcheck.dll

wininit.exe

winlogon.exe

WmiApSrv.exe

wmpnetwk.exe

wscntfy.exe

/md5stop

 

CREATERESTOREPOINT

 

Clic sur Analyse (Run Scan)

le scan terminé , le fichier se trouve là C:\OTL.txt

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

ou Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

Pour cela,Cliquer sur Insérer un rapport,en bas de page,à gauche[/url] et cliquer sur Parcourir pour trouver le rapport sur votre bureau

[nol18]

Bonjour,

 

Après avoir enfin trouvé une nouvelle machine, je cherche à rentrer dans le bios, et là IMPOSSIBLE !!!

 

J'ai bien la page qui s'affiche "set up appuyer sur F10", mais rien n'y fait

J'ai fait des recherches sur le forum et j'ai essayé tout ce que j'ai trouvé: supp, ctrl+F10, pause+F10, F2 etc ...

 

Une solution ??

 

Merci

[pear]

Bonjour,

 

Voyez là:

 

BIOS - Accéder au setup du Bios | CommentCaMarche

 

Si cela ne résolvait pas le problème, cela peut provenir du clavier.

Sur une tour ,en changer ou en changer le branchement peut résoudre le problème.

[nol18]

Bonjour,

 

Merci de votre aide.

C'est à partir de ce même lien que j'avais fait tous les essais de touche (malgré que ce soit écrit F10 sur ma page, j'avais essayé toutes les autres).

 

Après avoir essayé un autre clavier sans succès, j'ai fait une recherche sur le net et il s'avère que le raccourci clavier "MAJ + F10 = Affiche le menu contextuel associé à l'élément sélectionné", et sur mon PC ça fonctionne (ce qui veut dire que la touche n'est pas cassée).

 

Et bien évidement, toujours impossible de rentrer dans le BIOS.

[pear]

Je n'ai pas d'autre piste à vous proposer .

Désolé.

Modifié le 16 octobre 2011 par pear

[nol18]

Bonsoir,

 

Grâce à un internaute qui en message privé m'a demandé si tout simplement j'avais essayé de mettre le CD crée (son idée était que le PC était peut être déjà programmé pour booter sur un CD, ce qui était le cas), j'ai les rapports de scan:

 

Lien CJoint.com AJrxDtEHsv9

 

Merci de votre aide.

[pear]

Bonjour,

 

Nettoyage

 

Double-clic sur l'icône OTLPE sur le Bureau.

 

A la demande Do you wish to load the remote registry cliquezYes

et de même Do you wish to load remote user profile(s) for scanning cliquez Yes

Vérifiez que Automatically Load All Remaining Users est bien coché et validez

 

copier/coller tout le texte suivant (en vert) dans la fenêtre de Personnalisation Custom Scan/Fixes

:OTL

O4 - HKU\.DEFAULT..\Run: [KulEejcp] C:\Documents and Settings\Moi\Local Settings\Application Data\cotrtjsy\kuleejcp.exe ()

O4 - HKU\Invité_ON_C..\Run: [KulEejcp] C:\Documents and Settings\Moi\Local Settings\Application Data\cotrtjsy\kuleejcp.exe ()

O4 - HKU\Moi_ON_C..\Run: [KulEejcp] C:\Documents and Settings\Moi\Local Settings\Application Data\cotrtjsy\kuleejcp.exe ()

O4 - Startup: C:\Documents and Settings\Invité\Menu Démarrer\Programmes\Démarrage\kuleejcp.exe ()

[2011/10/13 06:02:06 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Moi\Application Data\Uniblue

[2011/10/13 06:02:03 | 000,000,000 | ---D | C] -- C:\Program Files\Uniblue

[2011/10/16 02:19:22 | 000,117,325 | ---- | M] () -- C:\Documents and Settings\Invité\Menu Démarrer\Programmes\Démarrage\kuleejcp.exe

[2011/10/13 06:02:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Moi\Application Data\Uniblue

 

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]

""=""%1" %*"

 

:commands

[PURITY]

[EMPTYTEMP]

[REBOOT]

Dans la fenêtre de l'outil OTLPE, cliquez sur [bRun Fix][/b] ;

Patientez juqu'à l'apparition du rapport

Faites un "Shutdown" de l'environnement OTLPE (via le bouton "Start" au bas à gauche) et redémarrez normalement la machine infectée après avoir retiré le CD OTLPE.

collez le rapport de OTLPE dans votre réponse

 

Safeboot_option

]"]http://download.blee.../regsearch.zip]Télécharger Regsearch de Bobbi Flekman[/url]

 

Dézipper le fichier sur le bureau ,

lancer regsearch

dans le cadre du haut copier:

OptionValue

 

et clic ok,

un fichier texte apparaitra à la fin de la recherche,

postez en le contenu

 

 

Webroot ZeroAcces Remover.

 

Webroot a sorti un programme qui tue le malware et il fonctionne.

sur système 64 bits, il y a un doute

Il est téléchargeable depuis ce lien ,:

AntiZeroAcces

Le télécharger et le lancer.

Répondre Yes (oui) à la question, en tapant sur Y puis Entrée

 

Si le fix trouve l’infection, des lignes rouges doivent apparaître.

Le fix vous informe qu’un des fichiers systèmes a été patché et vous propose de le nettoyer.

Tapez Y (oui) et Entrée pour lancer le nettoyage.

Si l’opération a réussi, vous devez avoir le message Cleaned en vert.

Appuyez sur une touche et redémarrer l’ordinateur.

 

Modifié le 18 octobre 2011 par pear