Hijack.userinit Résolu/Fermé

Question

Bonjour à vous, j'aurais besoin de votre aide pour régler ce problème : en effet, lors de mes scans avec Malwarebytes, un élément est repérer. Son nom est "Hijack.userinit" (C:\Windows\system32\userinit.exe). Je souhaiterais savoir ce qu'est un Hijack, et comment m'en débarrasser si dans le cas échéant il devait être un problème important pour mon ordinateur.

Dans l'attente de votre participation et de votre aide.

PS : Peut-il expliquer une baisse de régime de la connexion internet ? De l'ordinateur lui même ? Des deux peut être ? Est-il dangereux pour mon ordinateur ?

Malekal_morte- · Answer

Salut,

Donne le rapport de scan Malwarebyte.

CR0WS0NGI1I · Answer

Désolé du retard et merci de votre aide :

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.07.25.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16635
Mazis :: ACER [administrateur]

Protection: Activé

28/07/2013 11:47:48
MBAM-log-2013-07-28 (21-50-07).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 476130
Temps écoulé: 7 heure(s), 8 minute(s), 19 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Mauvais: (C:\Windows\system32\userinit.exe,C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe) Bon: (userinit.exe) -> Aucune action effectuée.

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Malekal_morte- · Answer

yep malicieux.

Par contre : Aucune action effectuée. 

On dirait que tu ne corriges pas, donc ça risque pas de partir :)

~~

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).  
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  


puis:


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

CR0WS0NGI1I · Answer

Désolé pour le retard ^^" Voici le rapport ADWCleaner :

# AdwCleaner v2.007 - Rapport créé le 28/07/2013 à 23:32:12
# Mis à jour le 06/11/2012 par Xplode
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
# Nom d'utilisateur : Mazis - ACER
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Mazis\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\APN
Dossier Supprimé : C:\Users\Mazis\AppData\Local\Temp\APN

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\Conduit

***** [Navigateurs] *****

-\ Internet Explorer v9.10.9200.16635

[OK] Le registre ne contient aucune entrée illégitime.

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Mazis\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S9].txt - [973 octets] - [28/07/2013 23:32:12]

########## EOF - C:\AdwCleaner[S9].txt - [1032 octets] ##########

Voici le rapport OTL.txt (MDP : 147369258) :
https://pjjoint.malekal.com/files.php?id=20130729_h11h7f8q715
Et le Extras.txt (MDP : 147369258) :
https://pjjoint.malekal.com/files.php?id=20130729_j7j12f11o11j15

CR0WS0NGI1I · Answer

Que dois-je faire ensuite ? Les résultats sont ils normaux ?

J'attend votre conseil avec impatience.

Malekal_morte- · Answer

ta version d'AdwCleaner est dépassé, donc il reste plein d'Adwares.
Supprime ton AdwCleaner et retélécharge le.
Suppression et donne le rapport. 


Relance OTL. 

o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
O20 - HKLM Winlogon: UserInit - (C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe) -  File not found 
  
* redemarre le pc sous windows et poste le rapport ici 


 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

CR0WS0NGI1I · Answer

Voici le rapport AdwCleaner :

# AdwCleaner v2.306 - Rapport créé le 29/07/2013 à 21:14:58
# Mis à jour le 19/07/2013 par Xplode
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
# Nom d'utilisateur : Mazis - ACER
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Mazis\Desktop\AdwCleaner-2.306.exe
# Option [Suppression]


***** [Services] *****

Arrêté & Supprimé : APNMCP
Arrêté & Supprimé : BrowserProtect

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\AskPartnerNetwork
Dossier Supprimé : C:\Program Files (x86)\LyricsPal
Dossier Supprimé : C:\ProgramData\AskPartnerNetwork
Dossier Supprimé : C:\ProgramData\BrowserProtect
Dossier Supprimé : C:\Users\Mazis\AppData\Local\Bundled software uninstaller
Dossier Supprimé : C:\Users\Mazis\AppData\Local\Temp\APN
Dossier Supprimé : C:\Users\Mazis\AppData\Roaming\BabSolution
Dossier Supprimé : C:\Users\Mazis\AppData\Roaming\delta
Dossier Supprimé : C:\Users\Mazis\AppData\Roaming\file scout
Dossier Supprimé : C:\Users\Mazis\AppData\Roaming\yourfiledownloader
Fichier Supprimé : C:\END
Fichier Supprimé : C:\Users\Mazis\AppData\Local\Google\Chrome\User Data\Default\bProtector Web Data
Fichier Supprimé : C:\Users\Mazis\AppData\Local\Google\Chrome\User Data\Default\bprotectorpreferences

***** [Registre] *****

Clé Supprimée : HKCU\Software\AskPartnerNetwork
Clé Supprimée : HKCU\Software\BabSolution
Clé Supprimée : HKCU\Software\BI
Clé Supprimée : HKCU\Software\Delta
Clé Supprimée : HKCU\Software\filescout
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKCU\Software\5f578adab435b846
Clé Supprimée : HKLM\Software\AskPartnerNetwork
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{39CB8175-E224-4446-8746-00566302DF8D}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\secman.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr.1
Clé Supprimée : HKLM\SOFTWARE\Classes\delta.deltaappCore
Clé Supprimée : HKLM\SOFTWARE\Classes\delta.deltaappCore.1
Clé Supprimée : HKLM\SOFTWARE\Classes\delta.deltadskBnd
Clé Supprimée : HKLM\SOFTWARE\Classes\delta.deltadskBnd.1
Clé Supprimée : HKLM\SOFTWARE\Classes\delta.deltaHlpr
Clé Supprimée : HKLM\SOFTWARE\Classes\delta.deltaHlpr.1
Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.deltaESrvc
Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.deltaESrvc.1
Clé Supprimée : HKLM\Software\Delta
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\boxore_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\boxore_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetPacksUpdateManager_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetPacksUpdateManager_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\5f578adab435b846
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{348C2DF3-1191-4C3E-92A6-B3A89A9D9C85}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKLM\Software\YourFileDownloader
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes [bProtectorDefaultScope]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{8E5025C2-8EA3-430D-80B8-A14151068A6D}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{8E5025C2-8EA3-430D-80B8-A14151068A6D}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnTbMon]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{82E1477C-B154-48D3-9891-33D83C26BCD3}]

***** [Navigateurs] *****

-\ Internet Explorer v10.0.9200.16635

[OK] Le registre ne contient aucune entrée illégitime.

-\ Google Chrome v28.0.1500.72

Fichier : C:\Users\Mazis\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S10].txt - [5123 octets] - [29/07/2013 21:14:58]
AdwCleaner[S9].txt - [1101 octets] - [28/07/2013 23:32:12]

########## EOF - C:\AdwCleaner[S10].txt - [5244 octets] ##########

Et pour OTL, dois-je copier-coller seulement les lignes du dernier post ? Ou celles du post antérieur aussi ?

CR0WS0NGI1I · Answer

Voilà :

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit:C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe deleted successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 07292013_212932

Malekal_morte- · Answer

ok refais un scan OTL : https://forums.commentcamarche.net/forum/affich-28361883-hijack-userinit#3
voir ce qui reste.

Je pense que Malwarebyte ne devrait plus rien détecter.
Mais Malwarebyte aurait pu gérer la détection, j'ai l'impression que tu n'as tout simplement pas supprimé ce qui a été détecté.

CR0WS0NGI1I · Answer

Voici le rapport OTL :
https://pjjoint.malekal.com/files.php?id=20130729_x11m10u9p15h11

mdp : 147369258

Malekal_morte- · Answer

Sur Firefox : Menu Outils / Modules complémentaires
Onglet Extension.

Supprime :
01NET.com
cacaoweb


Refais un scan Malwarebyte, ça doit rouler, je pense.

CR0WS0NGI1I · Answer

MalwareBytes détecte toujours Hijack.userlnit :

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.07.28.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16635
Mazis :: ACER [administrateur]

Protection: Activé

29/07/2013 22:00:27
mbam-log-2013-07-29 (22-00-27).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 472329
Temps écoulé: 2 heure(s), 44 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Mauvais: (C:\Windows\system32\userinit.exe,C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe) Bon: (userinit.exe) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Je l'ai encore supprimé dans la zone de quarantaine et je relance une recherche mais je pense que il y sera encore.
Pourquoi revient-il toujours ? :(
Ais-je mal fait une étape ?

Malekal_morte- · Answer

Fais ça :
Menu Démarrer / executer et tape regedit et OK.

Déroule l'arborescence à gauche suivante en cliquant sur les + : 
HKEY_LOCAL_MACHINE => SOFTWARE => Microsoft => Windows NT=> CurrentVersion => Winlogon
A droite tu dois avoir Userinit.
Double-clic dessus et arrange toi pour qu'il n'y est que C:\WINDOWS\system32\userinit.exe,
(la virgule est importante).
fais OK,

redémarre l'ordinateur

et refais un scan Malwarebyte.
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

CR0WS0NGI1I · Answer

Et pas de changement, toujours ce même Hijack.userInit de détecté... 

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.07.30.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16635
Mazis :: ACER [administrateur]

Protection: Activé

30/07/2013 10:39:27
mbam-log-2013-07-30 (00-24-11).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 472540
Temps écoulé: 2 heure(s), 31 minute(s), 28 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Mauvais: (C:\Windows\system32\userinit.exe,C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe) Bon: (userinit.exe) -> Aucune action effectuée.

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Je vais faire "supprimer la sélection" ce qui va l'envoyer dans la quarantaine où je le supprimerai encore mais à chaque fois il est toujours là... :s

Pourquoi ? Comment faire pour s'en débarrasser en fois pour toute ?

CR0WS0NGI1I · Answer

Voilà j'ai cliqué sur supprimer la sélection, voilà le rapport :

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.07.30.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16635
Mazis :: ACER [administrateur]

Protection: Activé

30/07/2013 10:39:27
mbam-log-2013-07-30 (10-39-27).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 472540
Temps écoulé: 2 heure(s), 31 minute(s), 28 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Mauvais: (C:\Windows\system32\userinit.exe,C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe) Bon: (userinit.exe) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Donc il est bien mis en quarantaine cependant si je le supprime de la quarantaine même si il me dit que c'est supprimé avec succès il reviens toujours à la détection.

Malekal_morte- · Answer

https://forums.commentcamarche.net/forum/affich-28361883-hijack-userinit#25 <= on dirait que quelque chose le remets.

Tu peux faire un scan en ligne Kaspersky : https://forum.malekal.com/viewtopic.php?t=38450&start=

tu mets le rapport de scan sur pjjoint et tu fais passer pour voir.

CR0WS0NGI1I · Answer

Eset Online Scanner : Pas de problèmes détectés.

Malekal_morte- · Answer

ok tu peux revérifier la clef : https://forums.commentcamarche.net/forum/affich-28361883-hijack-userinit#24

Si tu redémarres le PC, ça reste sur userinit.exe ? 
pas de C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe après la virgule ?

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  


:reg
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"=-
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

* redemarre le pc sous windows et poste le rapport ici 
 

Refais un scan Malwarebytes pour voir.
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

CR0WS0NGI1I · Answer

Encore loupé ^^" :

Hijack.userinit (always on duty)

Malekal_morte- · Answer

Télécharge ici : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau 

Clic sur l'onglet >>> en haut.

Registry.

Déroule l'arborescence à gauche suivante en cliquant sur les + : 
HKEY_LOCAL_MACHINE => SOFTWARE => Microsoft => Windows NT=> CurrentVersion => Winlogon 
A droite tu dois avoir Userinit. 
y a quoi dedans ?

Y aurait pas un autre Userinit ?
En tout 2 ?
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

CR0WS0NGI1I · Answer

Non juste un.

Malekal_morte- · Answer

alors ta clef userinit est bonne dans le registre via l'éditeur ou GMER.
Je sais pas ce qu'OTL et Malwarebyte détecte c'est bizarre.
Dans tous les cas, le fichier du malware a été viré, ce sont les restes pour le charger.

Eventuellement, fais ça :

Télécharger SystemLook à partir d'un des liens ci dessous sur ton Bureau.
http://jpshortstuff.247fixes.com/SystemLook.exe
http://images.malwareremoval.com/jpshortstuff/SystemLook.exe

SE 64 bits là : http://jpshortstuff.247fixes.com/SystemLook_x64.exe

[*]Double-click SystemLook.exe pour le lançer...clic droit executer en tant qu'administrateur sous vista/7

[*]Clic droit|copier le contenu du cadre ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook:


:regfind
Userinit
C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe

[*]Click le bouton Look pour commencer le scan.
[*] Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt

CR0WS0NGI1I · Answer

SystemLook 30.07.11 by jpshortstuff
Log created at 14:14 on 31/07/2013 by Mazis
Administrator - Elevation successful

========== regfind ==========

Searching for "Userinit "
No data found.

Searching for "C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Avira\AntiVir Desktop\Overwrite_Keys\HKEY_LOCAL_MACHINE\Software\Wow64_32Node\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit]
"UseAsDefault"="C:\Windows\system32\userinit.exe,C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\Windows\system32\userinit.exe,C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe"

-= EOF =-

Malekal_morte- · Answer

Fais ça : 
Menu Démarrer / executer et tape regedit et OK. 

Déroule l'arborescence à gauche suivante en cliquant sur les + : 
HKEY_LOCAL_MACHINE => SOFTWARE => Wow6432Node => Microsoft => Windows NT=> CurrentVersion => Winlogon 
A droite tu dois avoir Userinit. 
Double-clic dessus et arrange toi pour qu'il n'y est que C:\WINDOWS\system32\userinit.exe, 
(la virgule est importante). 
fais OK,