Hijack.userinit
Résolu/Fermé
CR0WS0NGI1I
Messages postés
118
Date d'inscription
samedi 27 juillet 2013
Statut
Membre
Dernière intervention
5 mars 2016
-
28 juil. 2013 à 00:01
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 1 août 2013 à 07:24
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 1 août 2013 à 07:24
25 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
Modifié par Malekal_morte- le 30/07/2013 à 19:30
Modifié par Malekal_morte- le 30/07/2013 à 19:30
Télécharge ici : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau
Clic sur l'onglet >>> en haut.
Registry.
Déroule l'arborescence à gauche suivante en cliquant sur les + :
HKEY_LOCAL_MACHINE => SOFTWARE => Microsoft => Windows NT=> CurrentVersion => Winlogon
A droite tu dois avoir Userinit.
y a quoi dedans ?
Y aurait pas un autre Userinit ?
En tout 2 ?
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Clic sur l'onglet >>> en haut.
Registry.
Déroule l'arborescence à gauche suivante en cliquant sur les + :
HKEY_LOCAL_MACHINE => SOFTWARE => Microsoft => Windows NT=> CurrentVersion => Winlogon
A droite tu dois avoir Userinit.
y a quoi dedans ?
Y aurait pas un autre Userinit ?
En tout 2 ?
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
CR0WS0NGI1I
Messages postés
118
Date d'inscription
samedi 27 juillet 2013
Statut
Membre
Dernière intervention
5 mars 2016
30 juil. 2013 à 19:39
30 juil. 2013 à 19:39
Non juste un.
CR0WS0NGI1I
Messages postés
118
Date d'inscription
samedi 27 juillet 2013
Statut
Membre
Dernière intervention
5 mars 2016
30 juil. 2013 à 19:40
30 juil. 2013 à 19:40
Au faite le "blabla.reg" sur mon bureau je peux le supprimer sans soucis ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
30 juil. 2013 à 19:41
30 juil. 2013 à 19:41
oui.
Tu as quoi dans le userinit affiché par GMER comme contenu ?
Tu as quoi dans le userinit affiché par GMER comme contenu ?
CR0WS0NGI1I
Messages postés
118
Date d'inscription
samedi 27 juillet 2013
Statut
Membre
Dernière intervention
5 mars 2016
30 juil. 2013 à 19:43
30 juil. 2013 à 19:43
C:\Windows\system32\userinit.exe, <<< c'est ca dont tu parles ?
CR0WS0NGI1I
Messages postés
118
Date d'inscription
samedi 27 juillet 2013
Statut
Membre
Dernière intervention
5 mars 2016
31 juil. 2013 à 13:47
31 juil. 2013 à 13:47
alors ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
31 juil. 2013 à 13:56
31 juil. 2013 à 13:56
alors ta clef userinit est bonne dans le registre via l'éditeur ou GMER.
Je sais pas ce qu'OTL et Malwarebyte détecte c'est bizarre.
Dans tous les cas, le fichier du malware a été viré, ce sont les restes pour le charger.
Eventuellement, fais ça :
Télécharger SystemLook à partir d'un des liens ci dessous sur ton Bureau.
http://jpshortstuff.247fixes.com/SystemLook.exe
http://images.malwareremoval.com/jpshortstuff/SystemLook.exe
SE 64 bits là : http://jpshortstuff.247fixes.com/SystemLook_x64.exe
[*]Double-click SystemLook.exe pour le lançer...clic droit executer en tant qu'administrateur sous vista/7
[*]Clic droit|copier le contenu du cadre ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook:
:regfind
Userinit
C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe
[*]Click le bouton Look pour commencer le scan.
[*] Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt
Je sais pas ce qu'OTL et Malwarebyte détecte c'est bizarre.
Dans tous les cas, le fichier du malware a été viré, ce sont les restes pour le charger.
Eventuellement, fais ça :
Télécharger SystemLook à partir d'un des liens ci dessous sur ton Bureau.
http://jpshortstuff.247fixes.com/SystemLook.exe
http://images.malwareremoval.com/jpshortstuff/SystemLook.exe
SE 64 bits là : http://jpshortstuff.247fixes.com/SystemLook_x64.exe
[*]Double-click SystemLook.exe pour le lançer...clic droit executer en tant qu'administrateur sous vista/7
[*]Clic droit|copier le contenu du cadre ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook:
:regfind
Userinit
C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe
[*]Click le bouton Look pour commencer le scan.
[*] Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt
CR0WS0NGI1I
Messages postés
118
Date d'inscription
samedi 27 juillet 2013
Statut
Membre
Dernière intervention
5 mars 2016
31 juil. 2013 à 14:21
31 juil. 2013 à 14:21
SystemLook 30.07.11 by jpshortstuff
Log created at 14:14 on 31/07/2013 by Mazis
Administrator - Elevation successful
========== regfind ==========
Searching for "Userinit "
No data found.
Searching for "C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Avira\AntiVir Desktop\Overwrite_Keys\HKEY_LOCAL_MACHINE\Software\Wow64_32Node\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit]
"UseAsDefault"="C:\Windows\system32\userinit.exe,C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\Windows\system32\userinit.exe,C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe"
-= EOF =-
Log created at 14:14 on 31/07/2013 by Mazis
Administrator - Elevation successful
========== regfind ==========
Searching for "Userinit "
No data found.
Searching for "C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Avira\AntiVir Desktop\Overwrite_Keys\HKEY_LOCAL_MACHINE\Software\Wow64_32Node\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit]
"UseAsDefault"="C:\Windows\system32\userinit.exe,C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\Windows\system32\userinit.exe,C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe"
-= EOF =-
CR0WS0NGI1I
Messages postés
118
Date d'inscription
samedi 27 juillet 2013
Statut
Membre
Dernière intervention
5 mars 2016
31 juil. 2013 à 14:21
31 juil. 2013 à 14:21
Alors ça donne quoi ? ^^
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
Modifié par Malekal_morte- le 31/07/2013 à 14:53
Modifié par Malekal_morte- le 31/07/2013 à 14:53
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :reg en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"
* redemarre le pc sous windows et poste le rapport ici
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :reg en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"
* redemarre le pc sous windows et poste le rapport ici
CR0WS0NGI1I
Messages postés
118
Date d'inscription
samedi 27 juillet 2013
Statut
Membre
Dernière intervention
5 mars 2016
31 juil. 2013 à 15:27
31 juil. 2013 à 15:27
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Userinit"|"C:\\Windows\\system32\\userinit.exe," /E : value set successfully!
OTL by OldTimer - Version 3.2.69.0 log created on 07312013_152704
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Userinit"|"C:\\Windows\\system32\\userinit.exe," /E : value set successfully!
OTL by OldTimer - Version 3.2.69.0 log created on 07312013_152704
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
31 juil. 2013 à 15:28
31 juil. 2013 à 15:28
vas y refais un scan malwarebyte.
CR0WS0NGI1I
Messages postés
118
Date d'inscription
samedi 27 juillet 2013
Statut
Membre
Dernière intervention
5 mars 2016
31 juil. 2013 à 15:42
31 juil. 2013 à 15:42
Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.07.31.02
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16635
Mazis :: ACER [administrateur]
Protection: Activé
31/07/2013 15:33:09
mbam-log-2013-07-31 (15-33-09).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 245497
Temps écoulé: 7 minute(s), 35 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Mauvais: (C:\Windows\system32\userinit.exe,C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe) Bon: (userinit.exe) -> Mis en quarantaine et réparé avec succès
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
C'est toujours la même chose XS
www.malwarebytes.org
Version de la base de données: v2013.07.31.02
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16635
Mazis :: ACER [administrateur]
Protection: Activé
31/07/2013 15:33:09
mbam-log-2013-07-31 (15-33-09).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 245497
Temps écoulé: 7 minute(s), 35 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Mauvais: (C:\Windows\system32\userinit.exe,C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe) Bon: (userinit.exe) -> Mis en quarantaine et réparé avec succès
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
C'est toujours la même chose XS
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
31 juil. 2013 à 15:44
31 juil. 2013 à 15:44
Fais ça :
Menu Démarrer / executer et tape regedit et OK.
Déroule l'arborescence à gauche suivante en cliquant sur les + :
HKEY_LOCAL_MACHINE => SOFTWARE => Wow6432Node => Microsoft => Windows NT=> CurrentVersion => Winlogon
A droite tu dois avoir Userinit.
Double-clic dessus et arrange toi pour qu'il n'y est que C:\WINDOWS\system32\userinit.exe,
(la virgule est importante).
fais OK,
Menu Démarrer / executer et tape regedit et OK.
Déroule l'arborescence à gauche suivante en cliquant sur les + :
HKEY_LOCAL_MACHINE => SOFTWARE => Wow6432Node => Microsoft => Windows NT=> CurrentVersion => Winlogon
A droite tu dois avoir Userinit.
Double-clic dessus et arrange toi pour qu'il n'y est que C:\WINDOWS\system32\userinit.exe,
(la virgule est importante).
fais OK,
CR0WS0NGI1I
Messages postés
118
Date d'inscription
samedi 27 juillet 2013
Statut
Membre
Dernière intervention
5 mars 2016
31 juil. 2013 à 15:56
31 juil. 2013 à 15:56
C'est fait (en effet y'avais une ligne supplémentaire)
je scan malware ?
je scan malware ?
CR0WS0NGI1I
Messages postés
118
Date d'inscription
samedi 27 juillet 2013
Statut
Membre
Dernière intervention
5 mars 2016
31 juil. 2013 à 15:58
31 juil. 2013 à 15:58
Ah mais il veut pas enregistrer les modification :
il redevient toujours comme ca :
C:\Windows\system32\userinit.exe,C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe
Quand je supprime aprés la virgule, je ferme regedit et je re ouvre regedit quand je regarde le reste et réapparu
il redevient toujours comme ca :
C:\Windows\system32\userinit.exe,C:\Users\Mazis\AppData\Roaming\Microsoft\winlogon.exe
Quand je supprime aprés la virgule, je ferme regedit et je re ouvre regedit quand je regarde le reste et réapparu
CR0WS0NGI1I
Messages postés
118
Date d'inscription
samedi 27 juillet 2013
Statut
Membre
Dernière intervention
5 mars 2016
31 juil. 2013 à 16:01
31 juil. 2013 à 16:01
Je vois que Avira bloque l'accés a une modif du registre. Il faut enlever Avira pour le faire ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
31 juil. 2013 à 16:03
31 juil. 2013 à 16:03
Tu peux essayer mais je ne pense pas qu'avira bloque l'accès au modif du registre.
CR0WS0NGI1I
Messages postés
118
Date d'inscription
samedi 27 juillet 2013
Statut
Membre
Dernière intervention
5 mars 2016
31 juil. 2013 à 16:05
31 juil. 2013 à 16:05
Alors pourquoi il se "corrige" en remettant le morceau supprimé ?
