[Résolu] Problèmes userinit.exe

[bernard53]

Content de t'avoir rendu service

 

Valide ton post en résolu comme ceci s.t.p

 

 

http://forum.zebulon.fr/comment-afficher-son-sujet-comme-resolu-t180253.html

 

Bon Weekend

[Dylav]

Le problème semble avoir trouvé sa solution.

Ainsi, afin de signaler clairement à ceux qui ont un problème similaire qu'ils ont peut-être une solution toute trouvée (s'ils pensent à utiliser la fonction Recherche en indiquant le mot-clé "résolu" auparavant), et afin de signaler aux autres contributeurs qu'il est inutile de continuer à se creuser la tête sur le problème (à moins d'avoir des suppléments d'informations à apporter pour mieux comprendre ce qui posait problème), un modérateur a préfixé le titre du topic avec la mention [résolu].

Merci, à l'avenir, de bien vouloir prendre à votre charge cette mise à jour quand vous estimez que votre problème a été résolu de manière satisfaisante (et parallèlement, si le problème a disparu "mystérieusement", inutile d'induire les gens en erreur ) Pour cela, votre premier message

[FATHER JACK]

Bonjour

 

Je viens de réallumer mon ordi et l'alerte

 

PID : 336

C\Windows\System32\userinit.exe

 

est réapparue.

De plus j'ai publié un autre post il y'a une demie heure demandant si je devais bloquer

AdobeAcrobatSpeedlauncher 10.1.2.45

car Online Armor me l'a signalé comme programme inconnu.

Je l'ai donc bloqué.

En regardant le tableau des trafics entrée sortie de mon pare feu, j'ai constaté une connexion avec une adresse en Iran (!)

Est-ce dû à mon antivirus NOOD32 car la sortie était à son nom.

J'avoue que là j'en ai un peu ras le bol

 

Je commence par quel rapport ?

hijackthis ou ZHPdiag ?

 

Merci

[Dylav]

Désolé pour toi, Father Jack…

Je vais enlever le tag [Résolu].

 

 

 

 

 

[bernard53]

ok alors on va vérifier si ce fichier est sain ou pas.

 

 

* Télécharge >> OTL <<sur ton bureau.

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal " soit cochée.

 

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL " Personnalisation"

HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs

HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs

hklm\software\clients\startmenuinternet|command /rs

hklm\software\clients\startmenuinternet|command /64 /rs

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers /s

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 /s

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\drivers.desc /s

%temp%\smtmp\1\*.* /s

%temp%\smtmp\2\*.* /s

%temp%\smtmp\4\*.* /s

nslookup Google /c

SAVEMBR:0

NetSvcs

%systemroot%\system32\drivers\*.sys /lockedfiles

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

netsvcs

/md5start

dwm.exe

taskhost.exe

taskeng.exe

wscntfy.exe

ctfmon.exe

rdpclip.exe

volsnap.sys

sptd.sys

explorer.exe

userinit.exe

winlogon.exe

wininit.exe

tcpip.sys

Sfloppy.sys

Changer.sys

cdrom.sys

disk.sys

ndis.sys

usbscan.sys

usbprint.sys

tdtcp.sys

tdpipe.sys

swmidi.sys

splitter.sys

rdpwd.sys

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

RASACD.SYS

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

/md5stop

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%Windir%\userinit.exe /s /MD5

* Cliques sur l'icône "Analyse" (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

ou la

Accueil de Cjoint.com

[FATHER JACK]

Hello Bernard

 

Voici le lien pour le premier rapport OTLtxt :

 

Lien CJoint.com 0Appt6nTRBr

 

Puis le lien pour le deuxième rapport Extras :

 

Lien CJoint.com 0Appxhkdcvo

 

Encore merci

Modifié le 15 janvier 2012 par FATHER JACK

[bernard53]

ok résultat négatif avec ton fichier.

Informations sur le fichier

Nom de fichier : userinit.exe

Taille du fichier : 26624 byte

Type de fichier : PE32 executable for MS Windows (GUI) Intel 80386 32-bit

MD5 : e74ddb12188c2ff57a78624dbf7332fc

SHA1 : 37514e0296ac819c1f5b304bd9087ef52c12a652

Résultats des moteurs

Résultats des moteurs : tous les moteurs ont dit ne pas avoir trouvé de malware !

Temps : 2011/02/02 17:43:47 (CST)

Scanner Vers. moteur Vers. Sig. Date Sig. Résultat du scan Temps

a-squared 5.1.0.2 20110201231741 2011-02-01

-

5.746

AhnLab V3 2011.02.02.00 2011.02.02 2011-02-02

-

2.507

AntiVir 8.2.4.158 7.11.2.50 2011-02-01

-

0.295

Antiy 2.0.18 20110121.7499324 2011-01-21

-

0.127

Arcavir 2010 201102021708 2011-02-02

-

0.055

Authentium 5.1.1 201102020322 2011-02-02

-

1.553

AVAST! 4.7.4 110201-1 2011-02-01

-

0.008

AVG 8.5.850 271.1.1/3417 2011-02-02

-

0.278

BitDefender 7.90123.6706017 7.36036 2011-02-02

-

6.592

ClamAV 0.96.5 12608 2011-02-02

-

0.003

Comodo 4.0 7564 2011-02-02

-

0.996

CP Secure 1.3.0.5 2011.02.02 2011-02-02

-

0.041

Dr.Web 5.0.2.3300 2011.02.01 2011-02-01

-

10.526

F-Prot 4.4.4.56 20110201 2011-02-01

-

1.521

F-Secure 7.02.73807 2011.02.02.01 2011-02-02

-

12.131

Fortinet 4.2.254 12.861 2011-02-01

-

0.243

GData 21.1695/21.660 20110202 2011-02-02

-

10.444

Ikarus T3.1.32.15.0 2011.02.02.77643 2011-02-02

-

4.857

JiangMin 13.0.900 2011.02.02 2011-02-02

-

1.590

Kaspersky 5.5.10 2011.02.02 2011-02-02

-

0.152

KingSoft 2009.2.5.15 2011.2.2.11 2011-02-02

-

1.063

McAfee 5400.1158 6244 2011-02-01

-

7.239

Microsoft 1.6502 2011.02.02 2011-02-02

-

8.082

NOD32 3.0.21 5838 2011-02-01

-

0.004

Norman 6.06.12 6.06.00 2011-01-26

-

10.018

nProtect 20110126.01 2974157 2011-01-26

-

6.059

Panda 9.05.01 2011.02.01 2011-02-01

-

1.957

Quick Heal 11.00 2011.02.02 2011-02-02

-

0.915

Rising 20.0 23.43.02.02 2011-02-02

-

2.272

Sophos 3.15.0 4.61 2011-02-02

-

3.232

Sunbelt 3.9.2474.2 8283 2011-02-01

-

1.271

Symantec 1.3.0.24 20110201.003 2011-02-01

-

0.051

The Hacker 6.7.0.1 v00122 2011-01-30

-

0.633

Trend Micro 9.200-1012 7.808.10 2011-02-02

-

0.034

VBA32 3.12.14.3 20110201.0828 2011-02-01

-

3.458

ViRobot 20110202 2011.02.02 2011-02-02

-

0.405

VirusBuster 5.2.0.28 13.6.152.1/4290073 2011-01-19

-

0.002

■Heuristic/Suspicious ■Exact

NB : ce fichier a déjà été analysé. Aussi, le résultat de l'analyse de ce fichier ne sera pas stocké dans la base de données

Presse-papier

 

donc il fait que tu mettes ce fichier dans les options de ton Pare feu comme sain.

Il le détectes comme intrus alors que cela n'est pas

[FATHER JACK]

Hello Bernard

 

Je viens de voir ton nouveau post et puisque tu dis que c'est ok je te fais confiance

 

D'autant que j'ai eu une nouvelle alerte de mon pare feu qui concerne ce fichier au démarrage de l'ordi il y'a 5 minutes.

 

Un processus caché a été détécté

PID :1580 C\WINDOWS\system32\userinit.exe

 

Alors qu'il y'a trois cases de choix à cocher, il n'y a que la case "ignorer" qui est opérationnelle.

J'étais plus zen quand j'avais mon pare feu windows tout pourri...

Maintenant j'ose plus allumer mon ordi de peur de voir une alerte car j'ai un problème avec ma boite hotmail et j'ai peur qu'elle soit corrompue.

Est ce que je peux te poster un rapport ZHPdiag dans le prochain post pour que tu me dises que tout est ok ou c'est vraiment pas la peine ?

En tout cas au risque de me répéter, je suis content d'etre tombé sur un site avec des gens formidables comme vous

 

Merci

FATHER JACK

[bernard53]

Pas de soucis avec ton fichier "userinit.exe" il est sain.

j'ai un problème avec ma boite hotmail et j'ai peur qu'elle soit corrompue.

si ton soucis de boite mail est sur le pc que tu viens de me poster ton rapport OTL, en mets pas un autre rapport tout indique qu'il est clean.

Par contre dis moi quel est ton soucis

 

Si c'est pour un autre pc ouvre un autre post pour que l'on ne se mélange pas dans les réponses.

[FATHER JACK]

Hello

 

Mon souci concerne un problème de deconnexion de ma boite hotmail.

Un message "deconnexion non terminée" avec un carré rouge à coté de hotmail s'affiche quand je veux me déconnecter.

J'ai fermé cette boite et j'ai pris Gmail mais je suis tombé sur un forum windows help qui traite des problèmes de hotmail.

J'ai réouvert ma boite pour pouvoir les contacter afin qu'il m'apporte des éclaircissements car apparemment je ne suis pas le seul.

En plus ma copine qui a un Mac et avec qui je partage ma connexion internet a le même problème mais elle préfère laisser les choses se rétablir d'elle même.

 

Et comme mon problème de userinit.exe d'aprés ce que j'ai pu en apprendre sur google est un gestionnaire de sessions, je me demandais si le problème n'était pas lié.

 

Lorsque j'ai voulu me connecter sur le site d'aide windows, le transfert de ma question était sans arrêt en processus et n'aboutissait jamais.

Il a fallu que je me connecte avec le Mac de ma copine pour transmettre ma requète.

Je l'ai posté samedi en fin d'aprés midi et ils n'ont toujours pas répondu.

J'ai supprimé tous les cookies de mon ordi avec CCcleaner et ma copine avec le gestionnaire de Firefox.

 

Donc j'avais peur que le problème d'alerte pare-feu et celui là soit lié.

 

Dis moi ce que tu en penses.

Salutations

Modifié le 17 janvier 2012 par FATHER JACK