Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Sujet de LadyHunter

Apollo

Par Apollo
dans Analyses et éradication malwares

 Partager

Messages recommandés

Apollo Devil Member !

Apollo

Posté(e)
  • Auteur
Posté(e)

L'exe userinit est d'origine comme ça, j'ai vérifié sur mon pc bien sûr.

 

De toutes manières, il te faudra installer le SP3 et IE8 car certains autres outils de replacement de fichiers légitimes ont besoin du dernier pack. Je te dirai comment faire un cd avec le SP3 pour pouvoir l'installer sans encombre et hors net.

 

IE8 est aussi beaucoup plus sécurisé...

 

@++

LadyHunter Member

LadyHunter

Posté(e)
Posté(e) (modifié)

Mais est-ce que ca ne va pas perturber le lancement au demarrage d'autres logiciels ? Et comme je t'ai dit, j'avais deja essaye de modifier manuellement le chemin dans le registre, mais ca n'avait rien change, le ficheir avait continue de se generer et en plus, le userinit avait ete remodifie.

 

"Userinit"="c:\windows\system32\userinit.exe,,c:\programmes\jwxuxaga\rdphiapq.exe" J'avais supprime cet objet : c:\programmes\jwxuxaga\rdphiapq.exe mais ca n'avait rien change, il faut trouver l'association qui rajoute l'objet a userinit.

Modifié par LadyHunter
Apollo Devil Member !

Apollo

Posté(e)
  • Auteur
Posté(e)

Il faut que je demande à l'auteur de Winfile Replace si son outil peut fonctionner avec un XP SP2; il s'agit de cet outil: Malekal's forum • WinFileReplace : restauration de fichiers systèmes : Programmes utiles

 

Je sais qu'il fonctionne très bien sous SP3 mais j'ignore complètement pour le pack 2.

J'espère qu'il est disponible.

 

Normalement le script de combofix devrait fonctionner et remplacer le fichier patché.

 

S'il devait encore se modifier, le dropper n'a pas été trouvé, ni par Kaspersky ni par combofix, un vrai sac de noeuds.

 

++

LadyHunter Member

LadyHunter

Posté(e)
Posté(e) (modifié)

Effectivement, dans tous les rapports que j'ai fait, aucune ligne n'a stipule qu'un virus modifiait le userunit dans le registre.

 

PS : Par contre, depuis ComboFix, y'a eu une legere modification, le processus double d'opera.exe n'apparait plus au demarrage, lui... Ah ! mais attends !! Il a change d'hote ! on s'croirait dans Alien ! Il est dans ieplorer.exe maintenant !... Ffff T_T

Modifié par LadyHunter
Apollo Devil Member !

Apollo

Posté(e)
  • Auteur
Posté(e)

Exécute toujours le CFScript.txt sur ComboFix, tu verras bien si cela arrange les choses.

 

De quand date le virus removal tool de kaspersky? Parce qu'il y a plusieurs mises à jours de l'outil (par jour); c'est la raison pour laquelle il faut toujours le désinstaller après usage.

 

Je ne sais pas quand j'aurais une réponse du développeur de WinfileReplace.

 

Ou alors on tentera d'installer le SP3 avec un cd créé d'après une ISO de même qu'IE8.

 

Apollo Et Compagnie XP SP3, installer avec un CD.

LadyHunter Member

LadyHunter

Posté(e)
Posté(e) (modifié)

Il date d'y il y a peu de jours, 2 je crois. Je ne tiens pas trop a installer le SP3, je suis restee volontairement avec le SP2 et je ne fais jamais de maj microsoft. Et le SP3 ne contient que des maj justement, et je ne me sers pas des logiciels de base de windows. Ni meme du centre de securite. L'installer ne va strictement rien changer au probleme.

Il faut essayer de comprendre comment cette ligne se greffe au userinit pour une generation de ce satane fichier rdphiapq

 

PS : Tu ne connaitrais pas un logiciel qui remonte le fil depuis un fichier pour trouver sa generation ? Une sorte de logiciel biographique des fichiers, lol. Ou un logiciel qui epie ce qu'il se passe en details pour qu'un fichier se genere sans arret au demarrage. Ca doit bien exister...

Modifié par LadyHunter
Apollo Devil Member !

Apollo

Posté(e)
  • Auteur
Posté(e)

Il n'y a pas de programme miracle...

 

Fais ceci, cela devrait fonctionner:

 

Télécharge http://fradesch.perso.cegetel.net/transf/WinFileReplace.exe et enregistre-le sur le bureau.

 

Ferme tous les programmes et double-clique sur l'icône WinFileReplace.

Dans le menu qui apparaît , choisis la langue du programme. soit F puis Entrée pour mettre le programme en Français.

 

Le programme se lance et vérifie ta version de Windows.

Le bloc-note s'ouvre lorsque tu appuies sur une touche comme demandé, et tu dois y indiquer le ou les fichiers à restaurer,sous forme de liste..

 

C:\WINDOWS\system32\userinit.exe

 

Ferme le bloc-note et enregistre les changements.

 

Le service pack correspondant à ton système va être alors téléchargé.

Ceci peut prendre plusieurs minutes selon la vitesse de connexion (le % d'avancement du téléchargement apparaît en haut de la fenêtre).

 

Tu devras ensuite accepter le contrat d'utilisateur de Microsoft

 

Confirme la restauration du fichier en appuyant sur la touche o et Entrée

 

Une fois le remplacement effectué, tu devras redémarrer l'ordinateur en appuyant sur la touche o puis Entrée.

Au redémarrage, un rapport s'ouvre qui vérifie et t'indiquera si la restauration a réussi.

Si tu te fais aider sur un forum, fais un copier/coller ce rapport.

LadyHunter Member

LadyHunter

Posté(e)
Posté(e) (modifié)

"Le service pack correspondant à ton système va être alors téléchargé." Ca va m'installer un sp... ?

 

Je ne pense pas que le remplacement du userinit va changer quelque chose puisqu'il y a un rajout avec la seconde ligne qui normalement n'existe pas... Si ca avait ete une modification, le virus aurait fait un rajout de code dans le userinit meme et il n'y aurait pas la presence de la ligne qui le suit...

Modifié par LadyHunter
Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...