Bonjour.
J'ai récupéré un PC (sous XP pro) qui n'arrive à se logger sur aucune
session utilisateur, y compris administrateur. On arrive sur le bureau
sans icône, puis déconnexion immédiate.
Idem en mode sans échec.
J'ai monté le DD sur une autre machine, et j'ai pu nettoyer quelques
virus avec Kaspersky.
Le redémarrage "dernière bonne configuration connue" et autres sont sans
effet.
Via la console de récupération, j'ai fait la manip décrite ici :
http://www.d2i.ch/pn/az/o.html#o007 = sans effet
J'ai fait un fixboot c: = sans effet
J'ai le plaisir de confirmer l'efficacité de ta méthode de résolut ionhttp://groups.google.com/groups?threadmGf6267a%240%248361%24426a74c.. .
Aurais-tu des commentaires sur le fait que la valeur Userinit a été trouvée vide ? Connais-t-on le responsable de cette situation ?
--
Salutations, Jean-François.
Bonjour
Je travail dans un service technique ou les ordinateurs sont déposés avec des pannes différentes et variées mais il y a environ 2 semaines nous avons eu une série de ordinateurs venant de différents clients qui n'arrivaient plus à ouvrir leur session utilisateur. Je leur ai demandé si il avaient ouvert la pièce jointe que leur contact MSN leur avait envoyé et tous sans exception confirment qu'ils sont tombés dans le piège.
En gros votre contact vous envoi une pièce jointe infectée à son ins u. Vous l'acceptez car vous avez confiance Et c'est la que le virus est dangereux, il vous attaque par l'intermédiaire d'une personne de confiance donc vous êtes plus que vulnérable Il semblerait donc qu'une variante de ce virus(restarter/f) effacerait la valeur du registre userinit.exe.
Wsaupdater.exe est un logiciel espion qui remplace Userinit.exe par Wsaupdater.exe dans le Registre. Ad-Aware de Lavasoft supprime le fichier Wsaupdater.exe de votre ordinateur, mais il ne peut pas redonner à la sous-clé de Registre la valeur Userinit.exe,. La sous- clé de registre modifiée est HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion Winlogon
J'ai le plaisir de confirmer l'efficacité de ta méthode de résolut ionhttp://groups.google.com/groups?threadm=47f6267a%240%248361%24426a74c.. .
Aurais-tu des commentaires sur le fait que la valeur Userinit a été
trouvée vide ? Connais-t-on le responsable de cette situation ?
--
Salutations, Jean-François.
Bonjour
Je travail dans un service technique ou les ordinateurs sont déposés
avec des pannes différentes et variées
mais il y a environ 2 semaines nous avons eu une série de ordinateurs
venant de différents clients qui n'arrivaient plus à ouvrir leur
session utilisateur.
Je leur ai demandé si il avaient ouvert la pièce jointe que leur
contact MSN leur avait envoyé et tous sans exception confirment qu'ils
sont tombés dans le piège.
En gros votre contact vous envoi une pièce jointe infectée à son ins u.
Vous l'acceptez car vous avez confiance
Et c'est la que le virus est dangereux, il vous attaque par
l'intermédiaire d'une personne de confiance donc vous êtes plus que
vulnérable
Il semblerait donc qu'une variante de ce virus(restarter/f) effacerait
la valeur du registre userinit.exe.
Wsaupdater.exe est un logiciel espion qui remplace Userinit.exe par
Wsaupdater.exe dans le Registre. Ad-Aware de Lavasoft supprime le
fichier Wsaupdater.exe de votre ordinateur, mais il ne peut pas
redonner à la sous-clé de Registre la valeur Userinit.exe,. La sous-
clé de registre modifiée est
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
Winlogon
J'ai le plaisir de confirmer l'efficacité de ta méthode de résolut ionhttp://groups.google.com/groups?threadmGf6267a%240%248361%24426a74c.. .
Aurais-tu des commentaires sur le fait que la valeur Userinit a été trouvée vide ? Connais-t-on le responsable de cette situation ?
--
Salutations, Jean-François.
Bonjour
Je travail dans un service technique ou les ordinateurs sont déposés avec des pannes différentes et variées mais il y a environ 2 semaines nous avons eu une série de ordinateurs venant de différents clients qui n'arrivaient plus à ouvrir leur session utilisateur. Je leur ai demandé si il avaient ouvert la pièce jointe que leur contact MSN leur avait envoyé et tous sans exception confirment qu'ils sont tombés dans le piège.
En gros votre contact vous envoi une pièce jointe infectée à son ins u. Vous l'acceptez car vous avez confiance Et c'est la que le virus est dangereux, il vous attaque par l'intermédiaire d'une personne de confiance donc vous êtes plus que vulnérable Il semblerait donc qu'une variante de ce virus(restarter/f) effacerait la valeur du registre userinit.exe.
Wsaupdater.exe est un logiciel espion qui remplace Userinit.exe par Wsaupdater.exe dans le Registre. Ad-Aware de Lavasoft supprime le fichier Wsaupdater.exe de votre ordinateur, mais il ne peut pas redonner à la sous-clé de Registre la valeur Userinit.exe,. La sous- clé de registre modifiée est HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion Winlogon
up! petit oublien voici le la page microsoft http://support.microsoft.com/kb/892893
JF
Salut, Merci beaucoup d'avoir accepté de partager ces informations.
Wsaupdater.exe est un truc connu de longue date :
Ouverture de session impossible après suppression de spyware (Blazefind) www.d2i.ch/pn/az/o.html#o007
Zone de Lancement rapide - Disparition à chaque redémarrage www.d2i.ch/pn/az/z.html#z009
Le surprenant est de le voir ainsi réapparaitre en masse. Il faut dire à tous ces utilisateurs d'arrêter de se connecter avec les pouvoirs administrateur. Et d'être plus méfiants.
Merci coop,
--
Salutations, Jean-François.
Salut,
Merci beaucoup d'avoir accepté de partager ces informations.
Wsaupdater.exe est un truc connu de longue date :
Ouverture de session impossible après suppression de spyware
(Blazefind)
www.d2i.ch/pn/az/o.html#o007
Zone de Lancement rapide - Disparition à chaque redémarrage
www.d2i.ch/pn/az/z.html#z009
Le surprenant est de le voir ainsi réapparaitre en masse.
Il faut dire à tous ces utilisateurs d'arrêter de se connecter avec les
pouvoirs administrateur. Et d'être plus méfiants.
Salut, Merci beaucoup d'avoir accepté de partager ces informations.
Wsaupdater.exe est un truc connu de longue date :
Ouverture de session impossible après suppression de spyware (Blazefind) www.d2i.ch/pn/az/o.html#o007
Zone de Lancement rapide - Disparition à chaque redémarrage www.d2i.ch/pn/az/z.html#z009
Le surprenant est de le voir ainsi réapparaitre en masse. Il faut dire à tous ces utilisateurs d'arrêter de se connecter avec les pouvoirs administrateur. Et d'être plus méfiants.
