VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

[aBsInThE]

Bonjour à tous, je ne sais pas mon virus est le même que vous mais les symptômes si on peut les appeler comme ca sont similaires
Lorsque j'allume mon ordinateur, je peux lancer Windows, mais arrivé au choix des sessions, le système me demande un mot de passe pour chaque session que je n'ai jamais mis
Même en mode sans échec, le compte administrateur me pose le même problème
Ceci est du à un virus, j'en suis quasiment sur, il est apparu entre la fin de période de BitDefender 9 et l'activation de Total Security 2008 (BitDefender toujours)

J'ai tenté de faire la manipulation, on sait jamais ca peut toujours marché (je pense que c'est winlogon qui est touché par le virus. L'antivirus m'avait signalé l'infection et je pensais l'avoir supprimé)

Tout fonctionne sauf au niveau du changement de nom de la clé, car lorsque je double-click sur SOFTWARE et qu'il me demande le nom de la clé, je met nimporte quelle valeur et le message comme quoi le fichier SOFTWARE (ou SOFTWARE.log) ne peut être chargé depuis le CD de boot (lecteur D)

Cela m'ennuirait vraiment de devoir formater mon PC

En attente de votre réponse
Merci D'avance

aBsInThE

[Warryck]

J'ai une solution pour démarrer la session malgré le virus ^^.
Au lancement de la session ctrl alt suppr, et vous fermer le processus explorer.exe.
j'ai exactement le même probleme, le fait de fermer l'explorer block certainement le lancement d'un programme a la bse du restart de session (je ne sais pas, j'ai juste eu une illumination ).
Après vous relancez explorer.exe et vous avez de nouveau accès entierement à votre session et vous pourrez réparer le problème plus facilement.
Voilà j'espere que cela vous sera utile

[lapeiche]

Bonsoir,

Après plusieurs essais il apparait que l'origine du problème ne soit pas l'infection elle même mais le teatimer de Spybot qui lui, vient shooter la clé userinit lorsque l'utilisateur répond "non" aux différentes demandes d'autorisation de modification auxquelles suit un redémarrage de la machine.

Donc Origine du problème = Teatimer de Spybot (Spybot a été prévenu)

++

c 'est ce que j'ai subi.

j'ai installé la dernière version de Spybot avec le teatimer. j'ai aussi fait tournée quelques anti-bidule au même moment (lors de la même session) comme 'a-squared free' et 'ad-aware6'

j'ai du répondre "non" aux différentes demandes d'autorisation de modification de clef par soucie de sécurité dans mon esprit

et à la relance suivante j'ai buger comme les autres ici. , impossible d'ouvrir une sesion XP plus de Deux second.

mais je n'ai pas le virus MSN, je n'utilise pas MSN et Clean Virus MSN n'a rien trouvé.

j'ai fait la réinstallation 2 comme indiqué plus haut, en plaçant mon disque dur dans un ordie sains,

ca a marché.

ma question maintenant c'est que faire avec le teatimer de Spybot ?

en général ?

et surtout la maintenant quand il me redemande si j'autorise la modification du registre ?

Element : NvCpILemon

nouvelle valeur : RUNDLL.32.EXE C:\WINDOWS\system32\Nv.dll,NvStartup

la j'ose plus éteindre mon ordie de peur que le problème revienne et je ne répond rien a cette demande.

dois-je desinstaller le Teatimer ou bien même tout Spybot.

par ailleurs je lit sur le forum que Spybot c'est pas top donc si il y a moyen de m'en passer pourquoi pas.

essayer de me répondre vite que je puisse éteindre mon ordie ;-)

merci

voici les info qui accompagen la demande spybot

Info : Nom de fichier actuel: RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

Etat base de données: Tout à fait inutile
Valeur: NvCplDaemon
Nom de fichier: rundll32.exe NvQtwk.dll, NvCplDaemon

Description
System Tray icon used to change display settings, change the clock rate and memory speed for nVidia based graphics cards. This is unnecessary since you can easily configure these settings the way you want them in the Display Properties and not have to mess with them again. Also disable the "NVIDIA Driver Helper Service" if enabled as it can cause this entry to be re-enabled on re-boot (note that this service can also cause extreme shutdown delays if enabled - see _here_)

Source: Paul Collins Startup list

[Malekal_morte]

Accepte.

[Placebo]

Salut; enfin j'ai trouver le bon forum.
Je ne peut pas ouvrir ma session même en mode administrateur et même en mode sans échec.
J'ai téléchagr UBCD4WIN suivi toutes les instructions d'après la Méthode UBCD4Win de 01 à 18 et tout fait mais à la (8) huitième étape quand j'ai fait charger la ruche en donnant un nom, windows me signale

"impossible de charger C:\WINDOWS\system32\config\software : le processus ne peut pas accédr au fichier car il est en cours d'utilisation par un processus."

il ne me resete que le formatage
merci.

[Malekal_morte]

Mouais, j'ai pas trop de recul sur ce truc, perso.
Peut-être un prog sur le CD qui lock/ouvre le fichier... ou prb de droits.
regedit a surement besoin de l'ouverture exclusive du fichier

Si tu copies le fichier software et que tu ouvres la copie ça donne quoi ?
Vérifie les droits aussi, éventuellement mets controle total.

[Placebo]

Bonjour ;
J’ai fait contrôle total.
La copie du fichier software « impossible de copy ce fichier software, est utilisé par un autre utilisateur …» sur certain fichiers la copy ça marche et sur d’autre non.

NB : le chemin HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonUserinit = C:\WINDOWS\system32\userinit.exe, existe belle et bien et il n’est pas vide.

J’ai pu récupérer tous mes fichiers et je ne veux formater question d’y faire front au virus

[Insky]

Bonsoir,

Cela fait maintenant deux jours que je suis confronté à des symptomes très similaires à tout ceux décrits. Je suis passionnée d'informatique, et n'ai jamais eu ni vu ce genre de virus/ver/problème.

Dans mon cas, (que ce soit en mode sans échec, ou normal), après m'être identifié sur ma session, celle-ci se charge, puis commence a se fermer, comme lorsque le pc va s'éteindre (disparition de toutes les icônes du bureau, de la barre de système/menu démarrer), et plus rien ne se passe.

Je relance par le gestionnaires des tâches le fichier explorer.exe qui relance tout (icone + appli), mais si je ne fais rien d'autre, le problème resurvient quelques secondes après.

Etant rapide, si j'arrive à faire menu démarrer/programmes/accessoires/explorateur windows : celui ci s'ouvre, et ne se fermera pas....

J'ai essayé la méthode décrite sur le premier message à partir d'un PC portable sain. J'arrive à la fin de la méthode sans problème mais cela n'a rien arrangé. Il m'étonnerait fortement avoir pu cliqué sur un lien msn.

En revance, j'ai téléchargé il y a peu de temps un fichier pas très catholique pour mon iphone 3G (un jeu à partir d'un torrent). Avant sa décompression, je l'ai pourtant analysé avec Kaspersky anti virus (à jour), qui n'a rien trouvé. Et c'est en éxécutant l'archive décompressée que le problème est survenu. Kaspersky a détecté des risques en éxécution (mais pas de virus ni worm), j'ai laissé couler.. je n'aurais pas du.

Après analyse complète, il m'a trouvé le fichier system32.exe infecté dans c:\windows et l'a supprimé sans problème. Puis plus rien.

Aujourd'hui en bataillant j'ai réussi a lancer firefox pour télécharger msnfix qui tourne en ce moment même.. Kaspersky m'a remis une alerte de type "Invader" sur le fichier rundll32.exe...

Edit : msnfix m'indique que l'infection est présente.. J'ai cliqué pour nettoyer.. Juste après un rapide message m'indiquant qu'un fichier est manquant (n'a pas été trouvé) est apparu... le nettoyage a fini sur un bel écran rouge m'indiquant de fichiers infectés sont toujours présents et qu'il faut redémarrer pour terminer le nettoyage.. çà sens le cercle vicieux!

[Malekal_morte]

Tu as l'archive sous la main ?
Si elle est sur le PC, tu peux la récup via le CD Live ?

Upload la sur http://upload.malekal.com
on va voir ce qu'elle fait.

[Insky]

Je me permet de mettre le lien directement.. le pc n'est pas assez opérationnel pour que je fasse des uploads, et j'ai supprimé l'archive.

Il s'agissait de ce fichier : http://www.mininova.org/tor/1638432

J'ai donc essayé msn fix, et l'autre programme de fix plus poussé.. tout deux ont bien détectés, supprimer, nettoyer des bestioles et fichiers, mais rien n'y fait, j'ai toujours le meme problème..

J'ai réussi en montant le disque dur infecté sur un boitier adapté a faire mes sauvegardes et je pense formater très bientot.

Pour info, le disque infecté est un WD Raptor X de 150go SATA

[Insky]

Suite aux problèmes récurrents et au manque d'infos sur les solutions pour résoudre le problème, je me suis restreint à formater.

C'est bien la première fois que je formate sans en connaitre réellement la cause tiens!

[SkyTech]

Salut,
Sa serait pas plus simple avec un CD live antivir ou kaspersky ?
https://www.malekal.com/tutorial_Antivi ... System.php

[yadlafumé]

bonjour à tous et merci énormément pour la mine d'information que l'on peut trouver sur ce forum

donc j'ai le pc d'un client qui a les mêmes symptomes
il a avast
il a fait un scan qui lui a trouvé 4 virus qu'il a mis en quarantaine et depuis, le problème s'est déclenché.
j'ai branché son disque sur un autre pc, je l'ai scanné avec antivir qui a trouvé 20 virus
je l'ai scanné avec malware bytes et avg antispyware qui n'ont rien trouvé
bon déja, je n'avais plus de mot de passe a l'ouverture de session
mais toujours déconnexion de suite à l'ouverture de session
j'ai fait toutes les manips que j'ai trouvé dans les 8 pages précédentes, mais rien de concluant
j'ai même lancé quelques logiciels a partir du boot cd mais rien

le truc au sujet de la bdr ne me propose pas d'enregistrer les modifs, il me dit seulement voulez vous décharger la ruche et toutes les sous clés qui en dépendent.
et aussi quand j'édite la clé userinit, la bonne valeur est déja dedans, je l'ai quand même réécrite, mais rien n'y fait.

le pc est en xp media center édition
ah oui, yavait spybot que j'ai désinstaller via le boot cd
j'ai aussi lancé hijackis, mais je n'ai pas trouvé les clés incriminés

le seul truc que je n'ai pas essayé est la réparation de xp, faut'il le cd media center édition ou avec juste home édition ça marche aussi

donc voila ou j'en suis, j'aimerais ne pas avoir a formater le pc, si vous avez des suggestions je suis preneur
est ce qu'il y a des variantes de ce virus qui traine en ce moment?
encore merci

[SkyTech]

Salut,

Créé ton propre sujet en disant que cela ressemble à cette infection.

[yadlafumé]

ok