VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

gregnalex

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par gregnalex »

Oui altinformatique, pas de problème pour améliorer l'aide aux utilisateurs en détresse (ce que je fus hier matin!).

L'ensemble est clair mais , à quelques moments, il a fallu que je me creuse un peu la tête.

Je vais essayer de te redire cela même si ça ne sera pas forcément facile car je n'ai pas à refaire la manip. Je vais essayer de faire ça samedi et je t'envoie un mp dès que possible.
altinformatique

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par altinformatique »

Tu as donc choisi la méthode radicale ^^

Je pense que tu n'étais pas loin dans la démarche mais a un ou deux clics pres tu ne pouvais pas décharger ta ruche.
De toute façon je vais proposé un tutorial un avec captures d'écrans et vous n'aurez qu'a vous laissez guidé pour les éventuelles personnes qui seraient en train de lire ce post et qui n'oseraient pas se lancé à cause d'une démarche peut etre un peu trop technique.

Soyez patient... Je travaille dessus.
R-design

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par R-design »

Bonjour,
La méthode indiquée en haut à fonctionné au poil!

Merci pour cette info.
Salutations
néooooooooo

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par néooooooooo »

Je vous remercie bien, j'ai réussi à ouvrir la session. C'est déjà un bon début.
Je vais continuer l'irradication tranquillement.
merci encore
TheGreaTeacher

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par TheGreaTeacher »

j'ai réussi a désinfecter et relancer windows sans formater et en ayant rien perdu très simplement, je pense fournir un solution efficace en tout cas ca a bien marché

je me suis basé sur l'excellent article du site
L'infection ajoute la clef sur HijackThis :
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\xxxx\LOCALS~1\Temp\services.exe
O4 - HKLM\..\Run: [Flash Media] C:\DOCUME~1\xxxx\LOCALS~1\Temp\services.exe

après ce que j'ai fait :


*J'ai booté sur UBCD for windows Live
*J'ai chargé HijackThis sur le disque infecté a partir d'une clé USB (bizarrement il n'était pas installé sur le live)
*J'ai fait clic-droit sur HijackThis.exe et Execute with remote registry
*J'ai sélectionné l'utilisateur infecté et j'ai enlevé les clée incriminé

Reboot en mode sans échec, Clean MSN et c'est reparti PDT_001

En espérant que ca aide du monde !
coksa

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par coksa »

Hello à tous,
Pour le DD avec un autre sain: Est ce que ca marche avec un portable sous Vista ?
Merci!
altinformatique

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par altinformatique »

bonjour,
oui avec le disque sain ça fonctionne, suffit par contre d'avoir un adaptateur IDE 3,5" vers 2,5" si on se branche sur un PC de bureau.
On a testé sur 1 seul Pc car la plupart était sous XP mais ça a marché.
Si vous avez des soucis redites nous.
Invité

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par Invité »

http://info.entraide.free.fr/

Pas besoin de démonter son disque dur ni de charger la ruche
UBC4WIN permet de modifier le registre comme si vous étiez dans votre propre session
ce qui permet amplement de modifier la clé.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit.exe

pour lui assigner la valeur

c:\windows\system32\userinit.exe,
Invité

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par Invité »

altinformatique a écrit :Ce tutoriel s’adresse à tous ceux qui ont un problème de déconnexion immédiate de leur session après le chargement des paramètres utilisateurs.
Vous ne pouvez pas ouvrir de session même en mode administrateur et même en mode sans échec ?
Après diverses recherches de tutoriaux divers, une bonne semaine de galère sur une dizaine de PC infectés chez nos clients, l’aide de Microsoft et de Jean-Claude BELLAMY grâce à son super site, et le site de Malekal qui nous aide dans notre quotidien ; voici la solution (pour les débutants nous vous conseillons l’aide de votre informaticien le plus proche) :

La finalité est d’accéder à la base de registre pour redéfinir la clé Winlogon modifiée par le virus .

Vous pouvez démarrer votre ordinateur à partir du CD UBCD4Win (https://www.malekal.com//Scanner_CDLive_Ubcd4Win.php) ou brancher votre disque dur en esclave sur un ordinateur sain.

Méthode par UBCD4Win :
1. Une fois démarré cliquer sur le bouton START puis choisir la commande RUN
2. Taper regedit puis valider
3. Dans la base de registre, faire un clic gauche sur la branche Hkey_Local_Machine (HKLM)
4. Cliquer sur Fichier puis Charger la ruche
5. Dans la liste déroulante de l’emplacement en haut de la fenêtre choisir le disque local C
6. Puis aller dans le répertoire c:\windows\system32\config\
7. Choisir le fichier software
8. Donner un nom arbitraire à la clé (« monprenom » ou ce que vous voulez !)
9. Celle-ci apparait dans la base de registre sous la branche HKLM
10. Aller dans HKLM\ « monprenom »\Microsoft\WindowsNT\CurrentVersion\Winlogon
11. Faire un double-clic sur la clé Userinit (le virus laisse vide cette valeur) et entrer la valeur suivante : c:\windows\system32\userinit.exe,
12. (attention la virgule qui suit le fichier userinit.exe est très importante)
13. Valider et aller dans le menu Fichier --> Décharger la ruche
14. Choisir Oui pour enregistrer les modifications.
15. Fermer la base de registre
16. Cliquer sur START puis « Turn off Computer »
17. Au redémarrage enlever le CD car le Pc va rebooter dessus et entrez dans votre session.
18. Ensuite vous pouvez suivre les indications du site pour faire toutes les analyses antivirus nécessaires et surtout MSNFix http://sosvirus.changelog.fr/MSNFix.zip et Clean Virus MSN (http://www.viruskeeper.com/fr/clean_virus_msn.htm)

Méthode en branchant le disque dur sur un autre PC :
1. Démarrer votre Ordinateur sain en mode normal
2. Vérifier que le disque dur infecté est reconnu dans le Poste de travail
3. Cliquer sur Démarrer puis Exécuter
4. Taper REGEDIT puis valider
5. Reprendre le point n°3 de la méthode par UBCD4Win en changeant la lettre C par la nouvelle lettre attribuée sur le PC Sain dans les chemins d'accès.

Nous espérons que ce tuto servira à beaucoup et sauvera des formatages parfois inutiles et encore merci à JC Bellamy pour sa réponse dans ce sujet (http://groups.google.fr/group/microsoft ... 58a94150fe) qui nous a guidé vers la solution et à ce site où beaucoup devraient y faire un tour avant de s’aventurer partout sur le net.
Bonjour,

j'étais victime de ce satané virus qui bloquait complètement mon pc, à force de lire des forums depuis une semaine j'avais à peu près cerné le problème de cette clé disparue ou corrompue mais sans parvenir à passer le paneau des comptes utilisateurs. J'ai appliqué la méthode ci dessus et hop ... c'est résolu! Génial! Aussi grace au cd de boot ultimate4win le truc magique qui boot tout seul.
Bref merci à vous..!!
Philippe
neisseria

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par neisseria »

Je suis apparemment infectée par ce virus ou une de ses variantes. Je viens de consulter votre procédure de désinfection : la procédure pour un dd en esclave, est ce que je peux l'appliquer dans mon cas :
initialement j'ai voulu réparer xp et en fait le cd a fait une réinstall mais pas sur C où est le système, mais sur la partition D (sur le même disque); ce qui fait que j'ai un dual boot; je peux donc lancer xp sur la 2ème install; est ce que la base de registre est commune aux 2 install? en clair, est ce que je peux aller modifier directement la bdr et changer la clé ": c:\windows\system32\userinit.exe," sans passer par le cd UBCD4Win?
Merci de vos conseils
ExtraBall

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par ExtraBall »

Bonjour,

Ca MARCHE !

Merci mille fois pour cet excellent post et sa simplicité. Juste une petite remarque pour améliorer encore la solution. A l'étape 13 :
Il faut préciser que pour décharger la ruche, il faut faire un clique gauche sur "monprenon" afin de faire apparaitre l'option "Décharger la ruche" dans le menu Fichier.

Encore merci et cordialement,

ExtraBall
altinformatique

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par altinformatique »

Bonjour Extraball,

merci pour cette excellente remarque, j'ai édité mon post et fait la modification.

Bientôt un tuto en image mais manque de temps ...

Alt informatique
barouch

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par barouch »

Bonsoir je viens de telecharger ubcd et gravé en mode bootable, mais lorsque je redemarre le pc a partir du cd j'ai un message qui apparait et rien ne se passe :

bot from cd :

1. fd 1.44 mb system type-(06)
starting caldera dr-dos...

EMM386 3.27 copyright (c) 1992, 1998 caldera, inc . all right reserved
EMM386: warning : adress line A20 already enabled.
Malekal_morte
Messages : 110260
Inscription : 10 sept. 2005 13:57

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par Malekal_morte »

Salut,

Windows ne démarre plus ou tu es simplement infecté?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Fredi125

Re: VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

par Fredi125 »

Merci beaucoup!!!
Cette solution a fonctionnée a merveille pour moi et m'a sauvé beaucoup de temps!
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »