Como se livrar do RAMNIT

Novembro 2016



Descrição


RAMNIT é um vírus da mesma família do virut, sality, virtob.
Ele ataca os executáveis e infecta, principalmente, os arquivos.EXE, .DLL e .HTML


Localizá-lo


O Ramnit pode ser visto em um zhpdiag através desse tipo de linhas, que adicionam o Ramnit:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer = http=127.0.0.1:8888; https=127.0.0.1:8888;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar, LinksFolderName = Links
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,c:\program files\microsoft\desktoplayer.exe


Essa infecção é geralmente bem detectada pelo VirusTotal, um site que verifica, para cada antivírus existente, se a infecção é identificada:

File name:       
mbr.exe       
Submission date: 2010-11-19 12:47:02 (UTC)       
Current status: queued (#8) queued (#6) analyzing finished       
Result: 30/ 43 (69.8%)       

AhnLab-V3 2010.11.19.00 2010.11.18 Win32/Ramnit         
AntiVir 7.10.14.39 2010.11.19 W32/Ramnit.C         
Antiy-AVL 2.0.3.7 2010.11.19 -         
Avast 4.8.1351.0 2010.11.19 Win32:Ramnit-F         
Avast5 5.0.594.0 2010.11.19 Win32:Ramnit-F         
AVG 9.0.0.851 2010.11.19 Win32/Zbot.G         
BitDefender 7.2 2010.11.19 Win32.Ramnit.H         
CAT-QuickHeal 11.00 2010.11.09 -         
ClamAV 0.96.4.0 2010.11.19 W32.Ramnit-1         
Command 5.2.11.5 2010.11.19 W32/Ramnit.D         
Comodo 6771 2010.11.19 Packed.Win32.MUPX.Gen         
DrWeb 5.0.2.03300 2010.11.19 -         
Emsisoft 5.0.0.50 2010.11.19 Virus.Win32.Ramnit!IK         
eSafe 7.0.17.0 2010.11.18 -         
eTrust-Vet 36.1.7986 2010.11.19 Win32/Ramnit.C         
F-Prot 4.6.2.117 2010.11.19 W32/Ramnit.D         
F-Secure 9.0.16160.0 2010.11.19 Win32.Ramnit.H         
Fortinet 4.2.254.0 2010.11.18 -         
GData 21 2010.11.19 Win32.Ramnit.H         
Ikarus T3.1.1.90.0 2010.11.19 Virus.Win32.Ramnit         
Jiangmin 13.0.900 2010.11.19 Backdoor/IRCNite.wi         
K7AntiVirus 9.68.3021 2010.11.18 Virus         
Kaspersky 7.0.0.125 2010.11.19 Virus.Win32.Nimnul.a         
McAfee 5.400.0.1158 2010.11.19 W32/NGVCK         
McAfee-GW-Edition 2010.1C 2010.11.19 W32/NGVCK         
Microsoft 1.6402 2010.11.19 Virus:Win32/Ramnit.I         
NOD32 5633 2010.11.19 Win32/Ramnit.H         
Norman 6.06.10 2010.11.19 -         
nProtect 2010-11-19.02 2010.11.19 Win32.Ramnit.H         
Panda 10.0.2.7 2010.11.18 W32/Cosmu.C         
PCTools 7.0.3.5 2010.11.19 Malware.Ramnit         
Prevx 3.0 2010.11.19 -         
Rising 22.74.03.08 2010.11.19 -         
Sophos 4.59.0 2010.11.19 W32/Ramnit-A         
SUPERAntiSpyware 4.40.0.1006 2010.11.19 -         
Symantec 20101.2.0.161 2010.11.19 W32.Ramnit.B!inf         
TheHacker 6.7.0.1.086 2010.11.18 -         
TrendMicro 9.120.0.1004 2010.11.19 PAK_Generic.001         
TrendMicro-HouseCall 9.120.0.1004 2010.11.19 -         
VBA32 3.12.14.2 2010.11.18 -         
VIPRE 7350 2010.11.19 Virus.Win32.Ramnit.b (v)         
ViRobot 2010.11.19.4157 2010.11.19 -         
VirusBuster 13.6.48.0 2010.11.18 Win32.Ramnit.Gen.2         
Additional information         

Desinfetar o Ramnit


Não é nada fácil desinfetar um computador atacado por um RAMNIT e, em alguns casos, a formatação é obrigatória, se a infecção for muito importante.

Como alternativa alguns CDs live pode salvar os arquivos infectados: o CD live DR WEB, por exemplo, parece ser capaz de acabar com a infecção, quando ela não invadiu demais o PC.

DR WEB LIVE CD


A utilização do live CD é melhor, ela permite escanear o sistema a partir de um outro OS (Linux) onde o virus não esta ativo na memória e não pode então infectar novamente executáveis.

Link de download: ftp://ftp.drweb.com/pub/drweb/livecd/
(escolha o arquivo mais recente)

eScan Antivirus Toolkit


<ital>Etapa n° 1:
  • Baixe eScan Antivirus Toolkit no seu desktop.
  • Clique duas vezes no arquivo "mwav.exe" localizado no desktop: descompacte os arquivos na pasta nova sugerida (C:\Kaspersky). O programa será executado e você deverá sair (Clique em Exit e em Exit).
  • Clique duas vezes em Computador e no leitor principal (normalmente C:\); clique duas vezes na pasta Kaspersky e no arquivo "kavupd.exe". Você verá aparecer uma janela do DOS e a atualização será concluída em poucos minutos.
  • Quando a atualização estiver concluída, você verá "Press any key to continue", pressione qualquer tecla para continuar. Dois novos diretórios (pastas) foram criados durante a atualização (C:\Bases e C:\Downloads).
  • Selecione/copie todos os arquivos desta pasta C:\Downloads, e cole-os na pasta C:\Kaspersky. Aceite a solicitação para substituir os arquivos existentes.


Etapa n° 2:

Não execute a varredura imediatamente!
  • Reinicialize o PC.
  • No arranque, pressione a tecla F8 (F5 em alguns PCs), logo após a exibição do BIOS e, logo antes do carregamento do Windows.
  • No menu Opções Avançadas, escolha Modo de segurança.
  • Escolha a sua sessão.


Etapa n° 3:
  • Para executar o eScan Antivirus Toolkit, encontre o arquivo "mwavscan.com" situado na pasta C:\Kaspersky.
  • Clique duas vezes em "mwavscan.com"; a interface do eScan aparecerá na tela.
  • É muito importante marcar direito essas casas no Scan Option: Memory, Registry, Startup Folders, System Folders, Services.
  • Marque a casa Drive, que permite o acesso a uma nova casa Drive (botão redondo), logo abaixo; marque este botão Drive (muito importante...), e você verá outra caixa de navegação aparecer, à direita. Clique na setinha desta caixa e escolha a letra do seu disco rígido, normalmente C:\.
  • Logo abaixo, verifique se o Scan All está marcado, e não Program Files.
  • Clique em Scan Clean e deixe a ferramenta (tool) verificar todo o disco rígido (pode demorar...). Quando terminar, você verá Scan Completed. Não saia imediatamente!
  • Abra um novo arquivo Bloco de Notas (clique em "Iniciar"> "Programas"> "Acessórios"> "Bloco de Notas"), e copie/cole todo o conteúdo da janela Virus Log Information (a segunda, em baixo) no arquivo de texto e salve-o. O eScan também cria um relatório completo na pasta C:\Kaspersky (chamado mwav.log), mas ele é pesado demais para postar no fórum.
  • Feche o programa. Reinicie o PC em Modo Normal. Poste (copiar/colar) o relatório que você salvou no seu assunto, se você criou um.

Formatação


Formatar um disco rígido, é apagar todo o seu conteúdo, remover todas as informações, arquivos </ gras>, pastas e o <gras>sistema operacional. Trata-se de uma operação irreversível, o que significa que, uma vez formatado o disco rígido, não há como voltar atrás e restaurar seus dados.

É claro que é imprescindível ter um disquete para instalar um sistema operacional após a formatação.
É fundamental não salvar QUALQUER arquivo executável, qualquer documento compactado (.zip), comprimido (.rar), qualquer .scr, qualquer .DLL, caso contrário, você reencontrará arquivos infectados. Lembre-se de que um único arquivo pode infectar o resto do PC.
A fim de começar a formatação, leia esta dica.

Outros links interessantes


Linha defensiva

banco de dados de Infecções

Estudo de Ramnit : um virus no sentido literal (por Mister_M@sk, en francês)

Apresentação do virus Ramnit/Cosmu/Quolko (por Malekal_morte, em francês)

Tradução feita por Lucia Maurity y Nouira

Veja também :
Este documento, intitulado « Como se livrar do RAMNIT  »a partir de CCM (br.ccm.net) está disponibilizado sob a licença Creative Commons. Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença, como esta nota aparece claramente.