Se connecter / S'enregistrer
Votre question

A l'aide RAMNIT

Tags :
  • Virus
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
16 Janvier 2012 11:24:41

Bonjour,

Voila je suis infecté par Ramnit qui me grignote mes executable petit a petit...
J'ai un processus dans le demarrage anormale
Oui HKCU:Run CeqMyupc C:\Documents and Settings\commercial04\Local Settings\Application Data\txyaorgl\ceqmyupc.exe
Bref c'est un peu le flippe j'ai fait un scan MalwareBytes et il me trouve + de 800 infections...
et lorsque je les mets en quarantaine certains de mes logiciels ne fonctionnent plus.

Bref je fais appel à vos compétences et merci pour tout!

j'ai fait un HIjack this (j'ai vu que ça se faisait...) si ça peut aider

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:54:31, on 16/01/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\IDU\awServ.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\STacSV.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\sttray.exe
C:\Program Files\Intel\IDU\iptray.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\EBP\GestionCommerciale13.1\Gestion.exe
C:\WINDOWS\system32\ntvdm.exe
C:\PVSW\bin\W3DBSMGR.EXE
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Adobe\Reader 10.0\Reader\pdfprevhndlrshim.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\commercial04\Local Settings\Application Data\txyaorgl\ceqmyupc.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - (no file)
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {99079a25-328f-4bd4-be04-00955acaa0a7} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [ipTray.exe] "C:\Program Files\Intel\IDU\iptray.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CeqMyupc] C:\Documents and Settings\commercial04\Local Settings\Application Data\txyaorgl\ceqmyupc.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = reprologie.local
O17 - HKLM\Software\..\Telephony: DomainName = reprologie.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F908728-2D29-4709-B8D1-0CE8129D745F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = reprologie.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = reprologie.local
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs:
O23 - Service: Admin Works Agent X8 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Program Files\Intel\IDU\awServ.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe

--
End of file - 6188 bytes

Autres pages sur : aide ramnit

a c 548 8 Sécurité
a b 9 Windows
16 Janvier 2012 11:55:40

Bonjour,

Soyons clair, selon l'étendu des dégâts, il n'y aura aucune autre solution que formater.
Ramnit est un vrai "virus" qui infecte rapidement tous les exécutable du système.

On va juste tester ceci :

http://www.chantal11.com/2011/09/dr-web-livecd/

Le principe est donc de graver un CD depuis un pc fonctionnel, puis de démarrer le pc infecté dessus pour tenter de traiter l'infection.

En attendant utilise le moins possible le pc infecté ! (sauf pour cette analyse donc)

Viens me dire lorsque l'analyse sera terminée, cela peut durer plusieurs heures.
16 Janvier 2012 12:14:45

hyunkel30 a dit :
Bonjour,

Soyons clair, selon l'étendu des dégâts, il n'y aura aucune autre solution que formater.
Ramnit est un vrai "virus" qui infecte rapidement tous les exécutable du système.

On va juste tester ceci :

http://www.chantal11.com/2011/09/dr-web-livecd/

Le principe est donc de graver un CD depuis un pc fonctionnel, puis de démarrer le pc infecté dessus pour tenter de traiter l'infection.

En attendant utilise le moins possible le pc infecté ! (sauf pour cette analyse donc)

Viens me dire lorsque l'analyse sera terminée, cela peut durer plusieurs heures.


Bonjour et merci pour ton aide Hyunkel!
Mais le souci c'est que lorsque je veux télécharger le drweb le lien est comme par hasard inactif. je vais voir si je ne peux pas le graver a partir d'un autre ordi
a c 548 8 Sécurité
a b 9 Windows
16 Janvier 2012 14:05:38

Re,

Tu ne dois PAS utiliser ton pc infecté comme je l'ai signalé, sauf pour lancer ce liveCD !
Cela propagerait l'infection !

Donc oui c'est à télécharger et graver sur un autre pc.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS