userinit.exe est un fichier système Windows qui est exécuté, tout au début du démarrage de la session.
userinit se charge de démarrer les applications userland et charger certains paramètres utilisateurs (éléments du profil, couleurs, polices de caractères etc) et charge ensuite les clefs Shell (valeur Userinit de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
userinit.exe est donc un fichier vital pour le bon fonctionnement de Windows.
Au démarrage de la session en temps normal, nous obtenons donc ceci à savoir userinit.exe qui lance explorer.exe et les processus utilisateurs.
Infection qui patch/remplace le fichier userinit.exe
Lorsque l'infection modifie le fichier userinit.exe, c'est un autre fichier qui charge les élélements au lancement de la session
Pourquoi ?
car pour démarrer la session userinit.exe doit être présent sur le système.
L'infection modifie le fichier userinit.exe et copie la version légitime de userinit.exe sous un autre nom de fichier afin que la session puisse continuer à se lancer.
La version infectieuse de userinit.exe charge le "vrai" userinit.exe copié afin que la session puisse démarrer.
Dans l'exemple ci-dessus, la version légitime de userinit.exe a été copiée en stu2.exe
userinit.exe infectieux charge stu2.exe au démarrage de l'ordinateur.
En regardant la date du fichier userinit.exe on voit très bien que ce dernier a été modifié :
Voici la date du fichier userinit.exe initial sur le système 2004 :
Les difficultés de désinfectionFile userinit.exe received on 2009.10.31 10:24:04 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 12/41 (29.27%)
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.31 Trojan.Crypt!IK
AhnLab-V3 5.0.0.2 2009.10.30 -
AntiVir 7.9.1.53 2009.10.30 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2009.10.30 -
Authentium 5.1.2.4 2009.10.31 -
Avast 4.8.1351.0 2009.10.30 -
AVG 8.5.0.423 2009.10.31 Downloader.Generic9.KDN
BitDefender 7.2 2009.10.31 -
CAT-QuickHeal 10.00 2009.10.31 -
ClamAV 0.94.1 2009.10.31 -
Comodo 2790 2009.10.31 Heur.Packed.Unknown
DrWeb 5.0.0.12182 2009.10.31 Trojan.DownLoad.40447
eSafe 7.0.17.0 2009.10.29 -
eTrust-Vet 35.1.7094 2009.10.30 -
F-Prot 4.5.1.85 2009.10.31 -
F-Secure 9.0.15370.0 2009.10.30 -
Fortinet 3.120.0.0 2009.10.31 -
GData 19 2009.10.31 -
Ikarus T3.1.1.72.0 2009.10.31 Trojan.Crypt
Jiangmin 11.0.800 2009.10.31 -
K7AntiVirus 7.10.884 2009.10.30 -
Kaspersky 7.0.0.125 2009.10.31 -
McAfee 5787 2009.10.30 -
McAfee+Artemis 5787 2009.10.30 Artemis!C80197A24EE8
McAfee-GW-Edition 6.8.5 2009.10.31 Trojan.Crypt.XPACK.Gen
Microsoft 1.5202 2009.10.31 -
NOD32 4559 2009.10.30 Win32/TrojanDownloader.FakeAlert.AAA
Norman 6.03.02 2009.10.30 -
nProtect 2009.1.8.0 2009.10.31 -
Panda 10.0.2.2 2009.10.30 Suspicious file
PCTools 7.0.3.5 2009.10.30 -
Prevx 3.0 2009.10.31 -
Rising 21.53.52.00 2009.10.31 Packer.Win32.Mian007.a
Sophos 4.47.0 2009.10.31 Mal/EncPk-KH
Sunbelt 3.2.1858.2 2009.10.30 -
Symantec 1.4.4.12 2009.10.31 -
TheHacker 6.5.0.2.056 2009.10.28 -
TrendMicro 8.950.0.1094 2009.10.31 -
VBA32 3.12.10.11 2009.10.30 -
ViRobot 2009.10.31.2015 2009.10.31 -
VirusBuster 4.6.5.0 2009.10.30 -
Additional information
File size: 15872 bytes
MD5...: c80197a24ee803ca346fec9125141827
SHA1..: 646f75cc8ef5c93b9ffbc967d05f3e224d8f72e8
Le problème de cette infection et que les antivirus vont détecter le fichier userinit.exe modifié comme infection (vous allez me dire c'est normal) sauf que si ce dernier est supprimé la session ne démarrera plus.
Cela signifie que si vous scannez avec un antivirus et mettez tous en quarantaine et que ce dernier parviens à supprimer le fichier userinit.exe la session ne se lancera plus.
Voici une vidéo qui illustre le problème :
Il faut absolument restaurer le fichier userinit.exe - comme expliqué sur la page Malwares et patch/remplacement fichiers systèmes, vous pouvez :
WinFileReplace ou via la console de récupération.