VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Landry

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

Message par Landry » 17 févr. 2009 19:04

Bonjour,

J'ai un ami qui a le même soucis. J'ai fais des scans antivirus et antispyware et supprimé tous les virus et spyware trouvés. Apres tout ce netoyage je ne peux pas me loggé j'ai donc suivi le tuto du haut avec UBCD4Win . Chez moi la valeur du registre n'est pas vide il y a bien : "C:\WINDOWS\system32\userinit.exe" mais quand je vais voir dans le répertoire C:\WINDOWS\system32\, ce fichier "userinit.exe" n'existe pas et je ne trouve que "user.exe".

A l'aide s'il vous plait

Avatar de l’utilisateur
SkyTech
Geek à longue barbe
Geek à longue barbe
Messages : 35607
Inscription : 03 août 2008 14:52
Localisation : Picardie (80)

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

Message par SkyTech » 17 févr. 2009 19:12

Salut,

Créer ton propre sujet, merci

Pierre1509

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

Message par Pierre1509 » 18 févr. 2009 15:13

Landry a écrit :Bonjour,

J'ai un ami qui a le même soucis. J'ai fais des scans antivirus et antispyware et supprimé tous les virus et spyware trouvés. Apres tout ce netoyage je ne peux pas me loggé j'ai donc suivi le tuto du haut avec UBCD4Win . Chez moi la valeur du registre n'est pas vide il y a bien : "C:\WINDOWS\system32\userinit.exe" mais quand je vais voir dans le répertoire C:\WINDOWS\system32\, ce fichier "userinit.exe" n'existe pas et je ne trouve que "user.exe".

A l'aide s'il vous plait
Il faut copier ce fichier USERINIT.EXE à partir d'un CD BartPE par exemple. J'avais le même problème (c.a.d. la valeur de la clé dans le registre est correcte, mais pas de fichier USERINIT.EXE dans C:\Windows\System32), et en plaçant ce fichier manquant à partir de mon disque BartPE, j'ai pu démarrer la session sans problème. Un scan de MSNFix a ensuite confirmé la présence du virus, et a nettoyé correctement.

mikeifsi

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

Message par mikeifsi » 18 févr. 2009 15:16

pe tu donner le site ki explique ta methode car j'ai le meme souci impossible de remplacer userinit.exe
merci de repondre c'est vital!!lol

Vet

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

Message par Vet » 11 mars 2009 12:11

Bonjour,

J'aimerais vous faire part de mon expérience. J'avais le même problème d'ouverture de compte. Je me connectais et cela se deconnectait automatiquement.

J'ai vérifié la clé winlogon et le virus (ou l'anti-spyware) m'avait bien enlevé la valeur "c:\windows\system32\userinit.exe,". J'ai donc suivi la méthode du premier post pour remettre cette clé en utilisant le CD de boot UBCD4Win. J'ai ensuite redémarré mais cela n'avait pas réglé le problème.

Je suis ensuite tombé sur le message posté par "Pierre1509 le 18 Fév 2009 14:13" qui parlait de la disparition de l'exe userinit et effectivement, je n'avais plus de fichier "userinit.exe" mais seulement "user.exe". J'ai redémarré sur le cd UBCD4Win et j'ai copié le fichier userinit.exe depuis un autre pc sous windows xp. J'ai redémarré sur mon disque en local et tout marche maintenant.

Je suis maintenant en train de passer tous les anti-virus et anti-spywares du cd UBCD4Win. D'ailleurs, je conseille aux personnes qui ont créé ce cd de faire les scan en ayant démarré sur le cd ce qui permet de faire un scan offline et pouvoir réparer certains qui seraient en cours d'utilisation autrement.

Merci à ce forum, à Malekal. PDT_008

Vet.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86155
Inscription : 10 sept. 2005 13:57
Contact :

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

Message par Malekal_morte » 11 mars 2009 12:29

Ca fait 1 an que ce virus MSN est mort.

Je pense que ce soit ces infections que vous chopez :
viewtopic.php?f=66&t=14702 (voir en bas)
viewtopic.php?f=62&t=17706&p=140996&hil ... it#p140996

Ca remplace le userinit.exe par une version infectieuse et ça fait une copie du "vrai" avant sous un autre nom de fichiers (sinon la session booterait plus) : init32.exe stus32.exe etc ça change souvent.

Certainement que l'antivirus détecte la version pourrie de userinit.exe et la vire et après la session ne démarre plus.

Faudra regarder si ton userinit.exe n'est pas dans la quarantaine de ton antivirus ou regarder le journal des détections voir s'il n'a pas été détecté et éradiqué.

EDIT : Voir la page Malwares et patch/remplacement fichiers systèmes pour comprendre la problématique du patch de fichiers systèmes.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

ludovic

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

Message par ludovic » 14 mars 2009 19:54

un grand merci a vous tous, car en quelques heures j'ai pu remedier à ce problème.

pour le retour d'experience:

lors du demarrage de windows xp SP3 après avoir rentré le mot de passe, deconnexion automatique même pour l'administrateur.

j'ai branché mon disque dur sur un 2eme PC en esclave, passé moult antivirus ( avira, spyboot etc ) rien a faire, toujours le même problème.
J'ai donc fait une recherche sur le net et suis tombé sur votre forum et vos commentaires.

après vous avoir lu j'ai vérifier la présence du fichier userinit.exe et ai constaté son absence dans c:\windows\system32

je l'ai copié, et le problème fut réglé.

Encore MERCI.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86155
Inscription : 10 sept. 2005 13:57
Contact :

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

Message par Malekal_morte » 19 mars 2009 23:18

Malekal_morte a écrit :Ca fait 1 an que ce virus MSN est mort.

Je pense que ce soit ces infections que vous chopez :
viewtopic.php?f=66&t=14702 (voir en bas)
viewtopic.php?f=62&t=17706&p=140996&hil ... it#p140996

Ca remplace le userinit.exe par une version infectieuse et ça fait une copie du "vrai" avant sous un autre nom de fichiers (sinon la session booterait plus) : init32.exe stus32.exe etc ça change souvent.

Certainement que l'antivirus détecte la version pourrie de userinit.exe et la vire et après la session ne démarre plus.

Faudra regarder si ton userinit.exe n'est pas dans la quarantaine de ton antivirus ou regarder le journal des détections voir s'il n'a pas été détecté et éradiqué.
Illustration sur le forum : viewtopic.php?f=3&t=18158&p=145134#p145134

EDIT : Voir la page Malwares et patch/remplacement fichiers systèmes pour comprendre la problématique du patch de fichiers systèmes.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86155
Inscription : 10 sept. 2005 13:57
Contact :

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

Message par Malekal_morte » 02 avr. 2009 16:40

J'ai fait un tuto basique sur la restauration de fichiers ça peut aider dans le cas de userinit.exe : Restauration de fichiers systèmes
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Invité

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

Message par Invité » 11 avr. 2009 21:47

bonjour a tous voila aprea utuilisation du USBfix qui a detecte les virus winjpj.jpj et regedit.exe et autorun , j'ai proceder au nettoyage avec l'option 2 , jetais surpris au demarrage que je ne pouver entrer dans ma session windows qui me demander un password, alors que je navais pas de password. admin ou administrator ne marche non plus. alors j'ai rebooter et F8 pour le choix du boot , j'ai choisi le boot avec la derniere configuration bonne. bonne surprise j'ai pu entrer dans ma session sans probleme et USBfix a continuer sa tache .......merci pour vos aides et immence conseil sur votre forum.

Avatar de l’utilisateur
SkyTech
Geek à longue barbe
Geek à longue barbe
Messages : 35607
Inscription : 03 août 2008 14:52
Localisation : Picardie (80)

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

Message par SkyTech » 11 avr. 2009 21:52

Salut,

Merci de créer ton propre sujet. PDT_028

olivierg
newbie
newbie
Messages : 6
Inscription : 23 avr. 2009 22:58

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

Message par olivierg » 23 avr. 2009 23:02

Bonjour,

Et bien moi j’ai le même symptôme que le virus MSN , sauf que je n’utilise pas MSN . par contre j’ai chopé un virus il y a deux mois environ (celui qui affiche un pavé rouge « warning » sur fond de bureau noir ) . Grâce aux forums et au logiciel Malwarebyte j’ai réussi à tout remettre en ordre ou presque . lorsque je démarrais mon pc , en arrivant sur la page connexion , il fallait que je clique sur ma connexion dans les premières secondes sinon , déconnexion ….Je pensais à un fichier config disparu lors du scanne , mais comme j’avais trouvé la parade , j’ai laissé tombé , jusqu'à il ya une semaine ou rien à faire il ne veut plus se connecter .
J’ai trouvé votre forum fort intéressant , et j’ai appris beaucoup , sauf que l’ édit noir en gras en plein milieu du tuto me gène beaucoup : faut-il faire la suite de 1 à 9 puis de remplacer le fichier « userinit.exe » en faisant un simple échange copier-coller de ce fichier ? Et dans ce cas a quoi sert les lignes 1 à 9 ?

Bon en gros ,j’ai fais de 1 à 9 ,en branchant mon disque dur sur un autre PC sain et j’ai remplacé le fichier userinit par un que j’ai trouvé dans « G:\WINDOWS\ServicePackFiles\i386 » de mon disque endommagé (pour être sur que ce soit le même ) . Ensuite j’ai fais de même avec un fichier récupéré ailleurs et je ne démarre toujours pas ma session ? A noter que mon fichier userinit était bien dans mon system32 , lorsque mon problème est survenu (maintenant endommagé ,je ne sais pas )
Je ne trouve pas non plus le chemin « 10. Aller dans HKLM\ « monprenom »\Microsoft\WindowsNT\CurrentVersion\Winlogon »

Bref , ce tuto paraissait parfais pour il y a quelques mois , mais maintenant je le trouve confus . Pourriez vous m’aider, et me dire aussi si mon cas est bien lié au fichier userinit.exe ?

Merci
PDT_033

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86155
Inscription : 10 sept. 2005 13:57
Contact :

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

Message par Malekal_morte » 23 avr. 2009 23:09

Tu entends quoi par disque endommagé ?
Il est endommagé physiquement, je veux dire il déconne ou tu utilises ce terme juste pour le prb de session ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

olivierg
newbie
newbie
Messages : 6
Inscription : 23 avr. 2009 22:58

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

Message par olivierg » 23 avr. 2009 23:14

oui excuses moi , tu as raison , non non ,il fonctionne bien , sauf que je ne peux plus me connecter (donc en réalité difficile de dire s'il fonctionne encore , mais en le branchant sur un autre pc , j'y ai accés )

A+

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86155
Inscription : 10 sept. 2005 13:57
Contact :

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

Message par Malekal_morte » 23 avr. 2009 23:34

et si en chargeant la ruche du registre comme indiqué dans le premier post viewtopic.php?f=3&t=9396
Les clefs :
HKEY_LOCAL_MACHINE\\Microsoft\WindowsNT\CurrentVersion\Winlogon
et Userinit ça donne quoi ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Verrouillé

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 16 invités