VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

altinformatique

VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par altinformatique »

Ce tutoriel s’adresse à tous ceux qui ont un problème de déconnexion immédiate de leur session après le chargement des paramètres utilisateurs.
Vous ne pouvez pas ouvrir de session même en mode administrateur et même en mode sans échec ?
Après diverses recherches de tutoriaux divers, une bonne semaine de galère sur une dizaine de PC infectés chez nos clients, l’aide de Microsoft et de Jean-Claude BELLAMY grâce à son super site, et le site de Malekal qui nous aide dans notre quotidien ; voici la solution (pour les débutants nous vous conseillons l’aide de votre informaticien le plus proche) :

La finalité est d’accéder à la base de registre pour redéfinir la clé Winlogon modifiée par le virus .

Vous pouvez démarrer votre ordinateur à partir du CD UBCD4Win (https://www.malekal.com//Scanner_CDLive_Ubcd4Win.php) ou brancher votre disque dur en esclave sur un ordinateur sain.

Méthode par UBCD4Win :
1. Une fois démarré cliquer sur le bouton START puis choisir la commande RUN
2. Taper regedit puis valider
3. Dans la base de registre, faire un clic gauche sur la branche Hkey_Local_Machine (HKLM)
4. Cliquer sur Fichier puis Charger la ruche
5. Dans la liste déroulante de l’emplacement en haut de la fenêtre choisir le disque local C
6. Puis aller dans le répertoire c:\windows\system32\config\
7. Choisir le fichier software
8. Donner un nom arbitraire à la clé (« monprenom » ou ce que vous voulez !)
9. Celle-ci apparait dans la base de registre sous la branche HKLM


EDIT MARS 2009 - ne pas continuer la suite de la procédure le vers WIN32.Restarter.F étant mort depuis 1 an, vous devez copier le fichier C:\Windows\System32\dllcache\userinit.exe en C:\Windows\system32 ou recopier le fichier userinit.exe d'un autre Windows XP dans C:\Windows\system32.
Voir explication sur ce topic : http://forum.malekal.com/viewtopic.php? ... 35#p145135

Voir aussi le tutorial basique sur la restauration de fichiers ça peut aider dans le cas de userinit.exe : Restauration de fichiers systèmes



10. Aller dans HKLM\ « monprenom »\Microsoft\WindowsNT\CurrentVersion\Winlogon
11. Faire un double-clic sur la clé Userinit (le virus laisse vide cette valeur) et entrer la valeur suivante : c:\windows\system32\userinit.exe,
12. (attention la virgule qui suit le fichier userinit.exe est très importante)
13. Valider, sélectionner par un clic gauche sur la branche "monprénom" et aller dans le menu Fichier --> Décharger la ruche
14. Choisir Oui pour enregistrer les modifications.
15. Fermer la base de registre
16. Cliquer sur START puis « Turn off Computer »
17. Au redémarrage enlever le CD car le Pc va rebooter dessus et entrez dans votre session.
18. Ensuite vous pouvez suivre les indications du site pour faire toutes les analyses antivirus nécessaires et surtout MSNFix http://sosvirus.changelog.fr/MSNFix.zip et Clean Virus MSN (http://www.viruskeeper.com/fr/clean_virus_msn.htm)

Méthode en branchant le disque dur sur un autre PC :
1. Démarrer votre Ordinateur sain en mode normal
2. Vérifier que le disque dur infecté est reconnu dans le Poste de travail
3. Cliquer sur Démarrer puis Exécuter
4. Taper REGEDIT puis valider
5. Reprendre le point n°3 de la méthode par UBCD4Win en changeant la lettre C par la nouvelle lettre attribuée sur le PC Sain dans les chemins d'accès.

Nous espérons que ce tuto servira à beaucoup et sauvera des formatages parfois inutiles et encore merci à JC Bellamy pour sa réponse dans ce sujet (http://groups.google.fr/group/microsoft ... 58a94150fe) qui nous a guidé vers la solution et à ce site où beaucoup devraient y faire un tour avant de s’aventurer partout sur le net.
Dernière modification par altinformatique le 04 avr. 2008 15:36, modifié 2 fois.
Laurent

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par Laurent »

Bonjour altinformatique,


je crois que c'est un poil Compliqué tout ca alors qu'un simple fichier .reg et un reboot donnera le même résultat, sans risque d'erreur dans le registre.
De plus MSNFix effectue ces opération en un seul passage suivi d'un reboot


++
altinformatique

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par altinformatique »

Bonjour Laurent,

Nous avons testé évidemment cette solution de fichier .reg mais elle ne fonctionne pas car les utilisateurs n'ont pas d'accès à leur session...
Dans toutes les méthodes trouvées dans les forums ainsi que celles aidées de Microsoft, si on ne charge pas la ruche, la valeur de la clé de registre est notée comme étant bonne et on peut la modifier autant de fois que l'on veut, le virus la change au reboot.
Effectivement ce n'est pas une solution très simple mais ce virus a des variantes qui ne sont pas simples ...

Impossible d'installer MSNFix sur un Pc qui ne se lance ni en mode normal ni en mode sans echec, même en installant le disque dur sur un autre Pc avec MSNFix d'installé dessus, rien n'est détecté (essai sur 6 PC différents infectés) (ni même avec aucun autre antivirus que nous avons essayé (Bitdefender, Norton, AVG, Avast, Antivir ainsi que les scans en ligne Trend Micro, Live OneCare, etc ...)

Pendant 1 semaine on a pu tester beaucoup de choses et pas mal pointaient surtout sur le virus Blazefind d'où est inspiré ce virus, mais si quelqu'un a une solution plus simple qui fonctionne, nous sommes preneur.
Laurent

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par Laurent »

Re,

Je crois qu'il y a erreur .. ou incompréhension.

Une problème de déconnexion immédiatement apres le loggin est caractéristique d'un fichier userinit.exe manquant ou une clé corrompue.
Cela est souvent du à une mauvaise manipulation mais en aucun cas imputable à ce ver ou ses variantes.

en tout état de cause, que ce soit la valeur de registre qui soit erronée ou le fichier userinit.exe qui est altéré ou supprimé la théorie me laisse supposer qu'une simple procédure de réparation à l'aide du CD de XP devrait suffire.
Effectivement ce n'est pas une solution très simple mais ce virus a des variantes qui ne sont pas simples ..
Etant le développeur de MSNFix je crois comprendre ce point de vue.

En tout cas merci pour ces quelques mots,

Je testerai quelques méthodes de restauration sur une VM histoire vérifier l'hypothèse de la restauration.
Malekal_morte
Messages : 116722
Inscription : 10 sept. 2005 13:57

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par Malekal_morte »

altinformatique a écrit :Pendant 1 semaine on a pu tester beaucoup de choses et pas mal pointaient surtout sur le virus Blazefind d'où est inspiré ce virus, mais si quelqu'un a une solution plus simple qui fonctionne, nous sommes preneur.
Voir : https://www.malekal.com/virus_MSN_c_est_pas_toi.php

En application : http://forum.malekal.com/viewforum.php?f=3
et sur bien d'autres forums.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
altinformatique

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par altinformatique »

oui la méthode de restauration fonctionne, sauf que sur la majorité des PC infectés nous n'avions pas accès à la restauration par le Cd d'XP en console de récupération. Pourtant on fait ça quasi tous les jours pour d'autres problèmes (???)

Pour notre part (cela n'engage que nous) on préfère passer 5 minutes sur cette méthode plutôt qu'1/2heure pour la restauration et ensuite il faut refais les mises à jours.

En tout cas merci pour ce logiciel car c'est le seul qui enlève cette saloperie. On a aussi pensé à une fausse manipulation mais 10 Pc en 3 jours qui ont les mêmes symptômes, c'est un peu gros pour une fausse manip, surtout qu'après avoir mené notre enquête auprès des enfants des clients (ceux qui utilisent MSN ...) ils ont tous cliqué sur le lien qui propose de voir leur photo sur le site isuisse.

Nous avons testé pleins de méthodes postées sur pleins de forum (je ne les compte plus) mais la plupart donnent comme soluce de télécharger MSNFix sur le bureau ... comment faire quand rien ne permet d'accéder au bureau ?

remplacement du fichier userinit.exe, méthode microsoft pour virus blazefind à propos de wsaupdater.exe, chkdsk /r, sfc /scannow, j'en passe, rien ne permettais d'accéder ni au bureau ni à la base de registre (en ouvrant celle ci soit par UBCD soit sur un autre PC, le champ était bien rempli ...

Merci de vous interessé à ce problème car tous les jours on a des appels pour ce souci et c'est en trouvant l'alerte sur le site de secuser.com que nous avons pu nous orienter sur cette solution. En tout cas une fois que l'on a accès à la session, MSNFix est le seul à réparer, je pourrais vous poster quelques rapports demain matin si vous désirez.
altinformatique

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par altinformatique »

Merci Malekal, c'est la première page que nous avons visitée la semaine dernière.
Mais comment installer MSNFix ou Hijackthis sur un Pc dont on ne peut ouvrir de session ? (ou autre antivirus)
Malekal_morte
Messages : 116722
Inscription : 10 sept. 2005 13:57

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par Malekal_morte »

Réparation ou resto à partir de la ligne de commande, peut-être : http://www.pc-ressources.com/smartfaq+faq.faqid+230.htm

Le prb c'est pas le fichier userinit.exe l'infection ne le touche pas..
C'est surement que la clef du registre a été pourrie ou le fichier de l'infection est plus lent mais il est encore mentionné dans le registre.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
altinformatique

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par altinformatique »

Je crois que mon technicien a essayé mais j'ai un gros doute, je vérifie demain car il m'en reste (encore) à désinfecter.
Ouis c'est sûr que le fichier userinit.exe n'est pas touché car simplement en remettant la bonne valeur de la clé de registre ça repart.
Je refais l'essai et posterais quand même un rapport MSNFix pour être sûr que ce soit bien ce virus et je vous retiens au courant demain car là les yeux fatiguent.
Merci
Laurent

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par Laurent »

Bonsoir,

Après plusieurs essais il apparait que l'origine du problème ne soit pas l'infection elle même mais le teatimer de Spybot qui lui, vient shooter la clé userinit lorsque l'utilisateur répond "non" aux différentes demandes d'autorisation de modification auxquelles suit un redémarrage de la machine.

Donc Origine du problème = Teatimer de Spybot (Spybot a été prévenu)

a voir s'il se retrouve sur chacune des machines rencontrant le problème.

Pour la remise en marche, effectivement, recuperation pour ceux ayant la console installée ou Réparation avec tout ce que cela implique. (La méthode citée ci haut ne fonctionne pas en l'état pour la réparation du registre)


++
altinformatique

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par altinformatique »

Bonjour Laurent, Merci pour ces test tard dans la soirée.

Mon souci est que Spybot est sur 1 seul machine sur les 10 que j'ai à l'atelier, pas d'installation sur les autres et j'ai peur que aucun de mes clients ne sache ce que c'est ?
(La méthode citée ci haut ne fonctionne pas en l'état pour la réparation du registre)
est-ce bien la méthode de PC-Ressources que vous citez ?

voici un rapport MSNFix :

MSNFix 1.685

D:\VIRUS\MSNFix
Fix exécuté le 18/03/2008 - 9:53:10,87 By Frank
mode normal

************************ Recherche les fichiers présents

... C:\DOCUME~1\Frank\LOCALS~1\Temp\services.exe
... C:\DOCUME~1\Frank\LOCALS~1\Temp\services.exe
... C:\WINDOWS\mrofinu*.exe
... C:\WINDOWS\system32\real.txt

************************ Recherche les dossiers présents

Aucun dossier trouvé




************************ Suppression des fichiers

.. OK ... C:\DOCUME~1\Frank\LOCALS~1\Temp\winlogon.exe
.. OK ... C:\DOCUME~1\Frank\LOCALS~1\Temp\services.exe
.. OK ... C:\DOCUME~1\Frank\LOCALS~1\Temp\services.exe
.. OK ... C:\DOCUME~1\Frank\LOCALS~1\Temp\services.exe
.. OK ... C:\WINDOWS\mrofinu*.exe
.. OK ... C:\WINDOWS\system32\real.txt



************************ Nettoyage du registre



Les fichiers encore présents seront supprimés au prochain redémarrage
altinformatique

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par altinformatique »

Pour Laurent voici un autre rapport d'un autre Pc si cela peut aider pour analyse :
MSNFix 1.684

C:\Program Files\MSNFix
Fix exécuté le 2008-03-17 - 18:55:21.75 By Marion
mode normal

************************ Recherche les fichiers présents

... C:\ypvrinp.exe
... C:\ypvrinp.exe
... C:\??????.exe
... C:\DOCUME~1\ALLUSE~1\DOCUME~1\Settings\config.ini
... C:\Documents and Settings\Marion\??????.exe
... C:\Documents and Settings\Marion\????????.exe
... C:\WINDOWS\system32\real.txt

************************ Recherche les dossiers présents

Aucun dossier trouvé




************************ Suppression des fichiers

.. OK ... C:\DOCUME~1\Marion\LOCALS~1\Temp\winlogon.exe
.. OK ... C:\DOCUME~1\Marion\LOCALS~1\Temp\services.exe
.. OK ... C:\WINDOWS\system32\fsiocu.exe
.. OK ... C:\WINDOWS\system32\vbsxkh.exe
.. OK ... C:\WINDOWS\system32\kxgelc.exe
.. OK ... C:\WINDOWS\system32\brxdoy.exe
.. OK ... C:\ypvrinp.exe
.. OK ... C:\ypvrinp.exe
/!\ ... C:\??????.exe
.. OK ... C:\DOCUME~1\ALLUSE~1\DOCUME~1\Settings\config.ini
/!\ ... C:\Documents and Settings\Marion\??????.exe
/!\ ... C:\Documents and Settings\Marion\????????.exe
.. OK ... C:\WINDOWS\system32\real.txt



************************ Nettoyage du registre



Les fichiers encore présents seront supprimés au prochain redémarrage


************************ Suppression des fichiers

.. OK ... C:\??????.exe
.. OK ... C:\Documents and Settings\Marion\??????.exe
.. OK ... C:\Documents and Settings\Marion\????????.exe



************************ Fichiers suspects

Aucun Fichier trouvé


Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 2008-03-18_101105.64.zip

************************ HKLM\...\Winlogon\Userinit

Userinit = C:\WINDOWS\system32\userinit.exe,


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------
Laddy

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par Laddy »

Salut altinformatique
tu ne possèdes pas la derniere version de msnfix : MSNFix 1.684 version actuelle MSNFix 1.685
altinformatique

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par altinformatique »

bonjour Lady
effectivement le dernier rapport posté est celui que nous avons fait fin de semaine dernière, sur le premier rapport posté c'est bien le 1.685 et tout ceux que nous analysons au jour d'ajourd'hui est bien la dernière .
J'ai bien repassé la dernière sur ce Pc mais il me dit que plus rien n'est présent inutile de poster ...
Merci
Malekal_morte
Messages : 116722
Inscription : 10 sept. 2005 13:57

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par Malekal_morte »

.. OK ... C:\WINDOWS\system32\brxdoy.exe
.. OK ... C:\ypvrinp.exe
Ca pue celui en gras... possible dropper Rustock.
Faudrait voir du côté des rootkits.
Au passage, le fichier doit être dans la quarantaine de MSNFix, je veux bien le récup svp : http://upload.malekal.com
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »