[Résolu] W32 / Ramnit.E

[man010]

Bonjour,

 

L'ordinateur est infecté depuis une bonne semaine. On ne l'allume pas. J'ai déjà utilisé Dr.Web Live CD sans succès. J'ai suivi les instructions de ce post : ramnit

 

Voici le rapport OTLPE

 

Merci d'avance de votre aide, et bonnes fêtes.

[tomtom95]

Bonjour man010 et bienvenue sur ZEB

 

Quelques conseils avant de commencer

Important : Pense en haut de ce message à cliquer sur le bouton "Suivre ce sujet"

en choisissant "Notification immédiate"

 

S.T.P: n'utilise pas d'autre outils ou ne désinstalle pas des programmes

seulement ceux qui te sont notifier pour éviter tout problème .

 

Enregistre :toujours les outils sur ton bureau

Bien lire les indications:

et si tu rencontre des problèmes n'hésiter pas à me le signaler avant d'effectuer une manip.

 

****************************************

• Relance le cd que tu as graver puis
  Relance OTLPE sur le Bureau
  A la demande Do you wish to load the remote registry clique >> Yes
  et de même Do you wish to load remote user profile(s) for scanning clique >> Yes
  Vérifiez que Automatically Load All Remaining Users est bien coché et valide
   
  Et dans la fenêtre
  Sous Custom Scan/Fixes copie_colle le contenu du cadre ci dessous:

:OTL
IE - HKU\marie_ON_C\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - Reg Error: Key error. File not found
IE - HKU\marie_ON_C\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - Reg Error: Key error. File not found
[2009/08/05 14:23:04 | 000,000,000 | ---D | M] (pdfforge Toolbar Plugin) -- C:\Program Files\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}
[2009/08/05 14:23:05 | 000,000,000 | ---D | M] (Search Settings Plugin) -- C:\Program Files\Mozilla Firefox\extensions\[email protected]
[2009/03/31 15:47:26 | 000,324,976 | ---- | M] (Symantec Corporation) -- C:\Program Files\mozilla firefox\components\coFFPlgn.dll
O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found.
O2 - BHO: (no name) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - No CLSID value found.
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\pdfforgeToolbarIE.dll (Spigot, Inc.)
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\pdfforgeToolbarIE.dll (Spigot, Inc.)
O4 - Startup: Error locating startup folders.
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
[2011/12/12 14:00:00 | 000,000,582 | ---- | M] () -- C:\Windows\tasks\Norton Internet Security - Effectuer une analyse complète du système - marie.job
 
 
:Files
@Alternate Data Stream - 99 bytes -> C:\ProgramData\TEMP:BD36345D
 
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Classes\exefile\shell\open\command]
""=""%1" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
 
 
:commands
[resethosts]
[PURITY]
[EMPTYTEMP]
[EmptyFlash]
[REBOOT]

Cliques sur l'icône RUNFIX (en haut à gauche) .
Laisse le scanne aller à son terme sans te servir du PC
A la fin du scanne un rapport s'ouvrir "OTL.log"
Copie et colle le ou les rapports sur ta clé USB ,et post -le dans ta prochaine réponse stp...
Au cas où tu ne retrouver pas les rapports
le dossier C:\OTL est sur bureau
Post le rapport par http://www.cijoint.fr/index.php
Faites la "fermeture" de l'environnement OTLPE (via le bouton "Start" au bas à gauche)
redémarre normallement la machine infectée après avoir retiré le CD OTLPE

 

Si tu es de nouveau sur ton bureau donne moi l'infos

 

Sinon reFait un liveCD Dr. Web avec cette procédure stp

Téléchargement ICI >> ftp://ftp.drweb.com/pub/drweb/livecd/ DR WEB LIVE CD drweb-livecd-600.iso

Prendre le fichier iso le plus récent par rapport aux dates.

 

tuto Dr. Web Live CD

Graver ensuite l'ISO, utiliser par exemple tuto avec ImgBurn

 

Démarrer depuis le CD, tu va obtenir alors l'écran ci-dessous.

Sélectionnez DR. Web LiveCD (Default)

Le CD se charge...

DR. Web Antivirus se lance directement... Clique sur le menu File puis Update pour lancer la mise à jour.

Les disques à scanner sont alors cochés

Clique sur le bouton "Start" pour lancer le scanne.

Les éléments malicieux détectés s'affichent alors sous forme de liste.

Pour nettoyer/supprimer les éléments néfastes,

clique sur le bouton "Select all en bas à gauche

(éventuellement décocher les fichiers que tu ne veux pas supprimer seulement si nécessaire,et que tu les connais bien).

Clique en bas à droite sur le bouton "Cure

Pour redémarrer, clique sur le bouton "démarrer" en bas à gauche avec le logo Dr. Web puis "Log Out"

Tu peux alors choisir "Restart pour redémarrer l'ordinateur et revenir à Windows.

 

A+

Modifié le 26 décembre 2011 par tomtom95

[man010]

Bonjour et merci pour la réponse rapide...

 

j'ai suivi les instructions :voici le rapport OTL

 

vais lancer drweb/cdlive et donne des nouvelles dans une trentaine d'heures...

 

par contre petite question :

le lancement avec le CD de OTLPE se fait bien, mais au lancement ça ne se passe pas tout à fait comme décrit dans le tuto. il faut que je sélectionne le dossier windows sinon OTLPE ne fais pas de recherche et me dit qu'il ne trouve pas windows.

(lorsque je laisse la valeur par défaut ça ne marche pas)

 

1ere question : faut il que je refasse la manip avec le dossier programmes ?

2ème question : il y a un partition "factory image" qui n'est sans doute pas scanner par OTLPE puisque pas sélectioné, faut il aussi refaire le scan OTLPE sur la partition ?

 

 

encore merci de ton attention

[tomtom95]

Bonjour man010

 

Oui on fera une nouvelle analyse de ton ordinateur, mais pas avec OTLPE.

 

Tu ne ma pas dis si tu es arrivé sur ton bureau en mode normal ?

 

Si c'est le cas ne lance pas maintenant la procédure du liveCD DR. Web.

 

J'attend ta réponse pour la suite

 

A+

[man010]

arff j avais pas bien compris pour le bureau... en fait j ai éteins l'ordi et redémarrer direct avec dr/web... qui tourne encore...

[tomtom95]

Bonjour man010

 

Ok pas de problème

 

Scanne fini ,retour sur le bureau en mode normal

Note pour posté le rapport.

 

Puis je te donnerai une autre analyse a faire de ton ordinateur

 

A+

[man010]

bonjour,

 

voila les nouvelles : je suis sur le bureau windows a bloquer des programmes au démarage... j'ai encore des alertes antivir w32/ramnit.E mais beaucoup moins fréquente.

 

voici le rapport drweb

 

merci de ton aide...

[tomtom95]

Bonsoir man010

 

Sauvegarde tes documents importants sur un support externes.

On n'est pas sur de pouvoir résoudre le problème (w32/ramnit.E)

Il sera peut être nécessaire de formaté l'ordinateur.

 

• Télécharge

eScan antivirus Toolkit sur ton bureau
Ne l'installe pas en mode normale
fait-le en mode sans échec avec prise en charge reseau.
 
Démarre le pc en mode sans échec avec prise en charge reseau.
Au Démarrage du pc tapoter sur la touche F8 ou F5 de ton clavier.
En Utilisant les flèches du clavier sélectionner l’option mode sans échec avec prise en charge réseau
Et taper sur la touche [Entré]
 
Ensuite Appliquer cette procédure si possible stp.
 
Double-clique sur le fichier mwav.exe
laisse le chemin par défaut.
Clique sur Unzip pour le décompresser.
Le programme va se lancer tu dois cliquer sur quitter (Exit)
Ouvre ensuite le poste de travail ( ORDINATEUR POUR VISTA) puis le disque C
Double-cliquez sur le dossier C:\Kaspersky
Dans la liste des fichiers
double-cliquez sur le fichier kavupd.exe tu verra une fenêtre apparaitre
La mise à jour de la base virale de l'antivirus va débuter
Lorsque le téléchargement et l'installation des mises à jour sont terminés
Tu va obtenir un message "press any key to continue"tape sur une touche pour continuer.
Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
Sélectionne et copie les fichiers présents dans le dossier C:\Downloads
puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.
 
Ouvrez ensuite le poste de travail puis le disque C
Double-cliquez sur le dossier C:\Kaspersky
Dans la liste des fichiers double-cliquez sur le fichier mwavscan.com
L'antivirus est maintenant démarré
IMPORTANTCoche les options :
Memory
registre
startup folders
system folders
servives
Driver all local drivers
scan all files .
 
Clique sur le bouton Scan Clean à droite
La fenêtre de scanne s'ouvre alors
Dans la partie haute Tu peux visualiser les fichiers ou dossiers en cours de scanne
Au milieu les fichiers contenant des virus qui ont été détectés
vérifie s'ils ont bien été supprimés ou renommés
Dans la partie basse
les statistiques sur le nombre de fichiers scannés
virus détectés etc..
Laissez le scan opérer jusqu'à la fin afin de supprimer tous les malwares.
 
eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log)
mais il est trop lourd pour poster sur le forum.
Utilise Cjointhttp:// Accueil de Cjoint.com pour le poster

 

A+

[man010]

arff y a du boulot... vais prendre mon temps pour faire ça... sans doute en fin de semaine... te tiens au courant.

 

merci de ton aide

[tomtom95]

Bonjour man010

 

Oui du boulot

 

Ok donc en attente de tes nouvelles

 

A+