Bonjour, j'ai un très gros problème sur mon nouvel ordinateur avec Windows xp que j'ai préféré garder par sécurité...
 
Après l'identification, je vois mon image d'arrière-plan et c'est tout.
Avec Avira Antivir, j'ai 3 messages successifs qui m'informent que:
 
- C: /Windows/system32/userinit.exe est infecté par le cheval de troie TR/Buzus.cuoc
- C: /Windows/system32/sshnas.dll est infecté par le cheval de troie TR/Agent.bws.C
- C: /Windows/system32/hostse.exe est infecté par le cheval de troie TR/Agent.defg
 
S'agit-il d'une erreur, et sinon comment supprimer ces virus? Je les empêche d'accéder au système ou les mets en quarantaine par sécurité, mais apparemment ces fichiers sont nécessaires au démarrage de ma session. Comment faire pour les "nettoyer" sachant que je n'ai que le gestionnaire des tâches pour naviguer?
 
Je précise que j'ai aussi Ubuntu d'installé (où je suis actuellement), ce qui me permet de survivre en attendant que ça se répare...
 
Merci d'avance pour votre aide.

Bonjour,
 
Tu arrives quand même à voir les icones et autres sur le Bureau ou pas du tout?
 
Si non, est-ce que tu as le CD d'installation de Windows Xp?
 
Il est possible qu'il faille restaurer certains fichiers.
 
Et des trois fichiers cités, seul userinit.exe est légitime.

Bonjour,
 
Non, je ne vois que l'arrière-plan et les messages.
 
J'ai toujours le CD d'installation, mais je l'ai laissé chez moi (là je suis en vacances pour deux semaines)...
 
J'ai par contre une partition "recovery" qui peut toujours servir  

Hum...  
 
Dans ce cas précis, il faut utiliser la console de récupération, et elle a besoin du CD d'installation pour être lancée... Je ne vois pas autre chose pour l'instant...
 
Sinon, peux-tu m'en dire plus sur la partition recovery?
 
On sait jamais ^^

Ah, je dois donc attendre de récupérer le CD, même s'il y a déjà des données stockées sur cette fameuse partition?
 
Elle fait un peu plus d'1 Go et c'est une partition cachée, donc je ne sais pas exactement ce qu'elle contient, mais j'imagine qu'on peut lancer un mode de récupération au démarrage de la machine.
C'est vraiment le seul moyen d'éliminer ces virus    

Salut
 
On dirait que le fichier nécessaire à l'ouverture de la session (userinit.exe) a été patché (-> trafiqué par l'infection), et il faudrait logiquement le remplacer par un fichier propre. Il y a bien un moyen d'aller le chercher directement sur ton disque dur dans le dossier de restauration de Windows, et ça aurait été même plus simple, mais pour ça il faut que la session soit utilisable... et là elle semble complètement bloquée.  
 
Essaie quand même d'ouvrir ta session, puis appuie sur la touche "Démarrer" de ton clavier... tu sais, celle qui porte le logo de Windows, à côté de la touche CTRL. Et vois ensuite si ton menu Démarrer s'ouvre en faisant ça. Si c'est le cas, alors on peut encore faire quelque chose.
 
Et si non... il faudra passer par la console de récupération qui se lance avec le CD d'installation de Windows, et qui ira chercher le fichier en question directement sur le CD.
 
Essaie de voir ça et dis-moi

 
C'est déjà ça, non?
 
Lorsque je fais semblant d'ouvrir une tâche et que je clique droit sur un dossier pour l'ouvrir, le menu démarrer avec le reste du bureau s'affiche. Mais ça me pose toujours un souci pour le démarrage, d'autant plus qu'il y a beaucoup plus de fichiers infectés que ça (à part les 3 du démarrage j'ai souvent des messages de l'antivirus).
 
Il vaut mieux réinstaller xp ou le fait de remplacer userinit.exe règlera aussi le problème des autres fichiers?
 
Merci de m'aider  

Ok, donc tu as toujours accès à certaines choses, c'est plutôt positif ^^
 
Est-ce que tu arrives à te connecter à Internet avec l'ordi infecté?
 
Normalement, le fait de remplacer userinit.exe devrait faire en sorte que l'ordi puisse être utilisé de façon plus ou moins normale. En tout cas, ça faciliterait grandement les prochaines étapes de la désinfection, donc ce sera déjà un grand pas en avant

Oui je peux me connecter, j'arrive même à utiliser plus ou moins le système maintenant, mais il y a toujours ces virus ainsi que des bugs de l'écran qui se fige parfois (alors que ça n'avait jamais été le cas avant les messages de virus).
 
J'aimerais donc procéder à la désinfection à proprement parler mais je ne sais pas comment faire, à commencer par userinit.exe   je ne possède pas le CD mais seulement la partition inaccessible. Ca ne me dérangerait pas de l'utiliser pour reformater vu que mes documents sont ailleurs, si c'est la seule solution.
 

Ok, je vais t'aider dans ce cas.
 
Il existe un outil spécifique qui s'occupe de remplacer et restaurer les fichiers systèmes de manière automatique.
 
Voilà ce qu'il te faudra faire :
 

• Télécharge WinFileReplace sur ton ordi
• Ferme tes autres applications en cours, puis double-clique sur WinFileReplace.exe pour le lancer
• Au menu qui s'affichera, il te proposera de choisir une langue : tu peux taper 1 pour Français, puis faire Entrée pour valider
• Le programme se lancera alors et verifiera ta version de Windows. Puis, un bloc-note vide s'ouvrira dans lequel il te faudra taper le nom du fichier système à restaurer. Fais un copier/coller de ce qui est en gras dans le bloc-note :

C:\Windows\system32\userinit.exe
 

• Puis ferme le bloc-note et enregistre les modifications.
• Le programme va alors commencer à télécharger la version de ton Service Pack actuel et tu devras accepter la license.
• Puis, une fois le téléchargement terminé, le programme te demandera de confirmer la restauration du fichier : tape O (comme Oui), puis Entrée pour confirmer
• Une fois le fichier restauré, WinFileReplace te demandera de redémarrer ton ordi => accepte en faisant de nouveau O et Entrée pour valider.
• Au redémarrage du PC, un rapport devrait apparaître en même temps que ton Bureau => poste son contenu dans ta prochaine réponse stp.

Tu peux aussi consulter ce tutoriel de WinFileReplace en images : http://forum.malekal.com/winfilere [...] ml#p158425

Merci   cela fait plusieurs heures que j'ai lancé WinFileReplace; le temps de téléchargement du SP3 est extrêmement long.
 
Je reviendrai lorsque ce sera fini pour dire si ça a marché  

Ok !
 
Oui, le téléchargement peut être plus ou moins (voire très) long en fonction de la vitesse de connexion... Il faut le laisser faire, peu importe le temps que ça prend.
 
J'attendrai de voir ce que ça a donné

Voilà: déjà je ne sais pas si ce rapport est fiable car la connexion a planté avant la fin du téléchargement mais le programme est tout de même passé aux étapes suivantes comme si c'était fini:
 
http://www.2shared.com/file/101687 [...] t-WFR.html
 
et le problème n'était pas réglé    
 
Par contre j'ai relancé une vérification intégrale du système et apparemment les fichiers concernés ont été réparés puisque le bureau revient comme avant au démarrage et que je n'ai plus les (mêmes) messages de virus    
 
Merci de ton aide    
 
Cette petite mésaventure m'a décidé à passer sous 7 (encore faut-il que 7 rime avec sécurité   ) dès que je pourrai, en espérant qu'il y ait moins de problèmes de ce genre...

J'ai bien eu le rapport ^^
 
Et effectivement, il n'a pas eu le temps de finir :
 

 
Pour l'instant ton ordi est encore infecté, mais si tu y as accès, alors on doit pouvoir s'en occuper.
 
Commence par faire ce scan généraliste très efficace avec Malwarebytes Antimalware :
 
• Télécharge et installe Malwarebytes' Anti-Malware  
• Veille à ce que la case "Mettre à jour Malwarebytes" soit cochée  
• Une fois installé, lance MBAM et va dans l'onglet "Recherche", coche "Exécuter un examen Complet" puis fais "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés (s'ils ne le sont pas déjà) puis clique sur Supprimer la sélection
• Enregistre le rapport qui s'affichera, et pense à vider la quarantaine
• S'il t'est demandé de redémarrer l'odinateur, accepte
• Pour finir, poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

Je suis désolée mais le programme se bloque tout seul après la vérification j'ai réessayé et il ne répond toujours pas.
 
Mais je crois que les fichiers ne sont plus infectés puisque je ne reçois plus les messages en question, non?
 
edit: il a fini par répondre après plusieurs heures, voici le rapport : http://www.2shared.com/file/102198 [...] 8-20_.html , j'ai supprimé tous les éléments détectés.
 
Merci encore  

Salut
 
Et Joyeux Noël
 
J'espère que tu passes de bonnes fêtes malgré les soucis informatiques ^^
 
Ok pour le scan de MBAM. Il a été particulièrement long, mais utile. Tu as bien fait de le laisser ^^
 
On va utiliser ComboFix pour la suite.
 
/!\ A l'attention de ceux qui lisent ce sujet /!\
 
Le logiciel qui suit doit être utilisé avec précaution et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si une personne du forum qui connait bien cet outil vous l'a recommandé.
 
/!\ Désactive tous les logiciels de protection sur Pc (antivirus, pare-feu, antispyware etc) car ils risquent de gêner l'outil /!\
 
• Télécharge ComboFix (de sUBs) et enregistre-le sur le Bureau (pas ailleurs, sinon il ne foncitonnera pas)
• Ferme toutes tes applications et double-clique sur le fichier exécutable présent sur le Bureau  
• Lance le scan, puis laisse travailler l'outil jusqu'au bout sans rien faire d'autre et sans l'interrompre (peu importe le temps que cela peut prendre). Il faut éviter aussi de cliquer dans la fenêtre de ComboFix.
• Il est possible que ComboFix fasse redémarrer ton ordi pour relancer un scan au démarrage => laisse-le faire jusqu'au bout
• Lorsque la recherche sera terminée, ComboFix te le dira et un rapport apparaîtra. Poste ce dernier (C:\Combofix.txt) dans ta prochaine réponse stp.
 
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix