Security-X
Forum Security-X => Désinfections => Discussion démarrée par: jacquesyveslg le décembre 17, 2012, 19:28:22
-
Bonjour, ou plutôt rebonjour car vous m'avez déjà bien aidé il y a quelaque temps !
Là, je ne sais pas si c'est les problèmes que j'avais eu qui l'ont rendu parano mais j'ai un ami qui a de gros soucis avec son pc et appelle au secours. Je lui ai dit de vous écrire mais il imagine ne pas savoir :oups: Il m'a donc preté son ordinateur et c'est moi qui suis chargé de prendre cpontact !
Alors : il est sous Vista et a créé un compte autre qu'administrateur pour naviguer (je lui avais conseillé après avous avoir lu). Pas de chance, il n'y a plus accès (à ce compte administrateur). Au début, je pensais juste qu'il avait oublié son mot de passe mais il m'affirme que non, qu'il est absolument certain de ce qu'il tape et "qu'on a du lui changer"...
En plus, il me dit maintenant qu'il a des fichiers qui ont disparus, d'autres qui ont été déplacés... Bref, bizarre de bizarre. J'ai essayé de voir sur internet et je ne trouve pas de "symptômes" ressemblant vraiment à ça mais, après tout, je n'y connais rien.
Habituellement, il est seul sur cet ordinateur (sauf ce soir où il me l'a prêté), ce n'est donc pas quelq'un de son entourage qui lui aurait fait une blague non plus.
Est-ce que vous pourriez me dire quoi faire pour vérifier qu'il n'y a pas de choses malicieuses cachées ? Comme il n'y a pas accès à l'administrateur, je ne peux pas non plus installer de programmes.
Merci beaucoup
-
Et j'ai oublié de préciser que j'ai essayé de démarrer en mode sans échec mais ça ne marche pas, il demande également le mot de passe Administrateur.
Et aussi, j'avais vu qu'on pouvait démarrer sur un "CD Live" dans ce cas. Mais je n'arrive pas à en graver un sur ma vieille machine. Et sur le sien évidemment, il ne veut rien entendre sans le mot de passe. Bref, c'est la galère.
-
ça y est ! j'ai réussi à graver un CD OTLPE ;D Je ne sais pas trop comment faire avec mais si ça peut aider...
Merci d'avance.
-
Je ne suis pas compétent (encore) pour la désinfection (mais j'y travaille, si, si...) par contre pour effacer le mot de passe Administrateur tu peux utiliser la méthode bien connue de Petter Nordhal citée pazr exemple sur http://www.passwordone.com/component/option,com_remository/Itemid,28/func,fileinfo/id,42/ (http://www.passwordone.com/component/option,com_remository/Itemid,28/func,fileinfo/id,42/).
C'est archi-testé sur tous les Windows de type NT (NT, 2000, XP, Vista, 7 et 8).
-
Bonjour,
Pour compléter les dire de Quartzkyte, j'ai jamais vu une infection qui modifie un mot de passe, elle peuvent "bloquer" l'accès au session par d'autres méthodes, mais pas en le modifiant.
Donc ce n'est probablement pas un problème d'infection.
Vu que maintenant tu as un liveCD, on va regarder vite fait, et après je déplacerais le sujet au besoin si nous n'avons pas d'infection.
Télécharge OTLPEnet (http://oldtimer.geekstogo.com/OTLPENet.exe) sur le bureau d'un pc fonctionnel (Taille > 120 Mo)
- Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
- Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
- Patiente le temps de la décompression et de la gravure du CD.
- Passe sur le PC bloqué/infecté
- Modifie l'ordre de Boot (http://www.inforumatique.fr/forum/acceder-au-bios-pour-changer-l-ordre-de-boot-t2299.html) pour démarrer sur le CD
- Redémarre ton PC en utilisant le LiveCD venant d'être créé.
- Ton système doit montrer un bureau REATOGO-X-PE
Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.
- Double-clique sur l'icône OTLPE
- Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
- Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
- L'outil OTL doit se lancer maintenant.
- Copie-colle ceci sous "Custom Scan/Fix"
netsvcs
msconfig
drivers32
/md5start
explorer.exe
lsass.exe
lsm.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
- Presse Run Scan pour démarrer le scan.
- Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
- Poste la contenu du rapport OTL.txt dans ta prochaine réponse.
Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.
Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
-
Bonsoir Quartzkyte et bonsoir Hyunkel30
Merci beaucoup pour vos réponses déjà !
J'ai un souci, je n'arrive pas à démarrer sur le CD :'( J'ai bien fait les manips indiqué : bien été dans le BIOS, trouvé l'onglet BOOT, sélectionné CD et sauvegardé avant de sortir (F10 en l'occurrence). Mais quand je re-démarre (avec le CD dans le lecteur évidemment), il démarre normalement. Je suis retourné voir plusieurs fois et chaque fois il fallait recommencer à sélectionner CD (comme si je n'avais pas sauvegardé).
J'ai aussi pensé à un moment que c'était peut-être parce que j'avais gravé OTLPE sur un DVD... Du coup, j'ai recommencé avec un vrai CD. Mais ça ne change rien.
Je suis en train de télécharger le programme pour les password par ailleurs. Mais le problème va être le même.
Que puis-je faire ?
Encore merci
-
Re,
Tu entends le cd/dvd se lancer au démarrage du pc ?
Tu as regardé si une touche comme F12 ne donnait pas un accès rapide au lancement du pc pour le choix de boot sur le cd justement ?
-
Re
Oui, on entend bien le CD/DVD se lancer quelques secondes.
J'ai essayé F12 mais il a démarré normalement sur lezs propositions de sessions (est-ce que je peux essayer tous les "F" sans risque ?)
Pour le BIOS, a priori c'est F2. J'ai noté tout ce que j'ai pu pour le cas où ce serait moi qui ne fais pas ce qu'il faut :
- j'arrive sur une fenêtre "BIOS SETUP UTILITY"
- plusieurs onglets : Main - Advanced - Security - Power - Boot - Exit
- je vais sur Boot
- par défaut, ce qui est sélectionné c'est "Boot Setting Configuration"
- en descendant avec la flèche, j'arrive sur CD/DVD Drives
- quand je suis dessus, on voit dans la partie droite de la fenêtre le texte : "Specifies the Boot Device Priority Sequence from avalaibale CD/DVD Drives"
- pour la sortie j'ai essayé F10 comme proposé, Esc, le menu Exit etc. J'ai une fenêtre "Save configuration changes and exit settings ?" Par défaut OK est sélectionné. Je fais "Enter" et boom je repars sur un allumage normal de l'ordinateur :AAM
Merci en tout cas ! J'avais peur que tu répondes qu'il n'y avait plus rien à faire
-
Ca marche ! C'est moi qui avais mal fait. Je lance l'analyse.
++
Décidément je ne suis pas doué
Quand je clique sur l'icône OTLPE j'ai une fenêtre avec "Browse For Folder", que je dise ok pour "my computer" ou pour "ReatogoPE (X:) il me répond "RunScanner Error" Target is not windows 2000 or later"
J'ai essayé aussi en cliquant sous ReatogoPE sur I386 et là le message est un peu différent ("Target is current windows installation !")
Normalement l'ordi est sous Vista et le CD OTLPE démarre sous XP, je ne sais pas si ça a un rapport...
-------------------------------
Et je n'ai pas pu récupérer le mot de passe avec PasswordOne non plus. J'obtiens un message d'erreur "Failed to copy registry file Sam"
Sur le coup je me suis dit que ça devait bien signifier qu'il y avait du lourd là-dessous. Mais un peu plus haut à l'étape 2 dans "DEBUG path", je vois qu'il indique windows not found, winnt not found, winnt35 not found
Et ça me donne une autre idée... ça ne voudrait pas dire que ce n'est pas une version originale par hasard ? Jevais lui poser la question demain mais ça expliquerait bien des choses non ?
Qué galère...
-
Re,
Vu les erreurs rencontré, je commence à me dire surtout que son système est OUT, pas qu'il a oublié son mot de passe ...
Sur OTLPE, y'a un "disk local" nommé C: ou non ?
-
Bonjour Hyunkel30
"OUT" ? :-\
Il y a trois "local disk"
- RAMDisk (B:)
- VistaOS (C:)
- Local Disk (D:)
Bonne journée
-
Re,
Ok, donc tu choisis "VistaOS" C:, c'est lui le disque système sur lequel doit chercher OTLPE
Poursuit la procédure.
-
Re,
J'ai ré-essayé --> fenêtre "Run Scan Error" avec message : "Target is not Windows 2000 or later"
:-[
-
Re,
Sans passer par OTL, donc juste comme si tu voulais accéder au disque C:, avec "My compouter", arrives-tu à entrer dans le disque VistaOs C: ? aller jusqu'au dossier C:\Windows, etc ...
-
Oui, c'est bon ! Windows ok, je suis allé voir System et System32... "tout" est là on dirait !
un espoir...
-
Re,
Alors OTLPE devrait fonctionner, indique bien le disque VistaOS, va jusqu'au dossier System32 en dépliant avec les "+" au besoin.
-
Eh ben non :-\
Je vais bien sous VistaOS, Windows, System32 et même message "Target is not windows 2000 or later" (je reste sur "System32" sans rentrer sur un sous-dossier") et en-dessous, dans Folder, j'ai bien sytem32 qui apparaît...
-
Re,
Essaye avec le dossier Windows au dessus.
Si cela ne fonctionne pas, j'avoue que là, la seule solution restera de récupérer les documents importants via clé usb ou disque externe, puis formater.
Car je pense que le système a été endommagé.
A la rigueur s'il possède un DVD original de Vista, il peut tenter la réparation :
http://www.vista-xp.fr/forum/topic428.html
Tu es certains qu'il n'aurait pas trafiqué justement pour récupérer le mot de passe ou je ne sais quoi ?
Parfois, les gens n'osent pas tout te dire, or cela nous empêche de comprendre et avancé.
Demande lui le déroulement de ce qu'il s'est passé.
-
Extraordinaire !!!
Sous Windows directement ça a marché :o (quelques demandes de plus que ce qui était indiqué ci-dessus, genre "pour tous les utilisateurs etc.). Et aussi, j'ai retapé le texte du script avec unclavier passé en Qwerty j'espère ne pas avoir fait d'erreur !
Encore un très grand merci
Lien : http://security-x.fr/up/file.php?h=R0c4e6093159dcc7b183907e52aabba89
-
Re,
Tant mieux.
Mais comme je le pensais, aucune infection majeure, juste quelque sadwares (logiciels publicitaires) qui ne peuvent en aucun cas avoir "modifié" un mot de passe.
Par contre :
[2012/12/17 07:57:14 | 000,000,000 | ---D | C] -- C:\Users\Invité
[2012/11/30 13:53:40 | 000,000,000 | ---D | C] -- C:\Users\Breizh Storming
Deux session ont été crée dernièrement.
Ne s'embrouillerait-il pas les pinceaux avec les mots de passe ?
Parce que sont compte par défaut, c’était celui-ci :
C:\Users\asus
Y'a donc au moins 3 sessions sur ce pc ...
:AAN
-
Ouf voilà de bonnes nouvelles ! Au moins pour ce qui aurait pu être grave.
Pour les sadwares je vais essayer de les lui enlever mais c'est annexe comme vus dites. J'ai vu aussi qu'il avait de nombreuses toolbars et je lui ai déjà conseillé le lien de Malekal.
Il y a bien 3 sessions sur l'ordinateur ; ce qui est peut-être intéressant c'est que l'administrateur ne s'appelle pas "asus" mais porte un nom particulier qu'il a créé lui-même... Ca ne pourrait pas avoir mis la zone ça aussi ?
Comment dois-je procéder maintenant ? Créer un nouveau sujet dans "logiciel" ?
En tout cas, merci beaucoup pour tout. Quelle patience !
-
Re,
On continuera ici pour nettoyer les adwares, mais nous ne pourrons le faire que si nous avons accès normalement à une session administrateur de ce pc, plus particulièrement celle nommée "asus" donc ...
Peut-être l'a-t-il renommé ensuite.
Il n'y a rien d'autre à faire pour le moment que rechercher l'accès au session, donc les bons mot de passe. ;)
-
Bonsoir,
Ok merci. Bon, je n'aurai plus accès au PC aujourd'hui (pas tous les soirs!) mais demain après-midi seulement. Je noterai alors pour les trois étapes de PasswordOne ce qu'il propose, ce que je mets et ce qu'il répond, c'est sans doute là qu'il faut chercher (comme pour OTL, il ne doit pas aller directement "où il faut").
Et sinon, j'ai vu en passant qu'ils parlent des mots de passe sous l'onglet Security dans le BIOS, il y aura peut-être une piste aussi par là.
Encore merci et à bientôt
-
Re,
Attention, le mot de passe BIOS n'a rien à voir avec les mots de passes session, n'y touche surtout pas.
:AAN
-
(Bien noté pur le BIOS Hyunkel)
Bon, j'en reviens donc au souci du mot de passe.
Je pars sur le CD précédemment chargé (PasswordOne) qui propose
- Step 1
1 : /dev/sda1 10001MB FAT32 (LBA)
2 : /dev/sda2 119232MB BOOT
3 : /dev/sda5 109239MB
--> Choix 1 (je viens d'essayer avec le choix 3 = même résultat)
- Step 2
DEBUG Path : windows not found
DEBUG Path : winnt not found
DEBUG Path : winnt35 not found
première proposition = What is the path to registry... [windows/system32/config] (j'ai fait Enter)
Et j'obtiens donc au final "Failed to copy registry file Sam"
Mon interprétation, c'est qu'il se passe un peu la même chose que ce qu'on a eu avec OTL : le programme ne va pas chercher automatiquement dans le bon répertoire (?)
Mais je ne sais pas quoi mettre, ni où ni comment.
Voili-voiloù; Si donc quelqu'un peut me guider pour récupérer les droits administrateurs et pouvoir continuer avec Hyunkel 30 ! Merci !
-
Re,
C’est le choix 2 qu'il faut tenter, ta première partition est un disque dur externe ou un clé usb, ou un disque flash
Le choix deux indique que c'est le disque de démarrage (BOOT), donc c'est lui ton disque système.
-
Et encore un merci !
Je n'avais pas essayé celui-là (pas la même logique que l'ordi moi)
Mais j'ai encore besoin d'aide... j'ai du mal faire autre chose :-[ ou pas osé aller assez loin je ne sais pas
En fait maintenant sous l'icône du supposé administrateur (et de l'utilisateur aussi d'ailleurs :'() j'ai la proposition de changer le mot de passe et quand je clique, il me demande un périphérique pour le réinitialiser...
Hum, je suis allé voir ici : http://windows.microsoft.com/fr-FR/windows-vista/Create-a-password-reset-disk
mais ça commence à m'inquiéter.
Ca peut servir à quelque chose de faire ça ?
Ou je repasse PasswordOne où j'ai dû mal répondre à une question ?
+ autre élément inquiétant : il n'y aurait pas 3 mais 4 sessions
- Breizh Storming et l'invité ça on s'en fiche
- Administrateur
- asus
ça c'est ce qui apparaît dans la liste de PasswordOne
mais quand j'allume son ordi, ce qui apparaît comme "noms de sessions"
- il y a bien BS et l'invité
- le troisième ne s'appelle ni administrateur ni asus (El quelque chose)
:AAG
Je vais le lui reformater son ordi si ça continue il a bien mis le binzz quand même :triste:
-
Re,
Le disque de récupération de mot de passe doit être crée sous la session administrateur, celle bloquée en ce moment, si tu ne peux plus entrer dans celle-ci tu ne pourras créer ce disque de manière à ce qu'il soit utile.
En effet, il serait trop simple d'avoir un disque passe partout qui ouvrirais toutes les session Windows de n'importe quel pc, chaque disque est lié à un pc est une session, c'est un double de la clé, mais il fallait donc le faire "avant" ...
Vois avec l'utilisateur s'il avait crée ce disque, et/ou permis l'utilisation de celui-ci pour la récupération.
Moi je maintiens que son problème reste dans sa gestion des sessions et mot de passe lié ...
-
Hello :AAC
...
Ca peut servir à quelque chose de faire ça ?
hyunkel30 a répondu au comment, mais oui, ça sert !
...
Ou je repasse PasswordOne où j'ai dû mal répondre à une question ?
C'est vraiment une procédure connue, Jean-Claude Bellamy en parle depuis très longtemps (http://www.bellamyjc.org/fr/pwdnt.html#exec (http://www.bellamyjc.org/fr/pwdnt.html#exec)) même si la mise en page de PasswordOne est plus jolie - et le discours plus facile quand on ne connaît pas le principe.
...
+ autre élément inquiétant : il n'y aurait pas 3 mais 4 sessions
- Breizh Storming et l'invité ça on s'en fiche
- Administrateur
- asus
ça c'est ce qui apparaît dans la liste de PasswordOne
mais quand j'allume son ordi, ce qui apparaît comme "noms de sessions"
- il y a bien BS et l'invité
- le troisième ne s'appelle ni administrateur ni asus (El quelque chose)
:AAG
Ou alors il y a eu du renommage de compte "sauvage" sans faire toute la manip (voir le second encadré dans
http://www.chantal11.com/2009/05/changer-le-nom-utilisateur-apres-installation-windows-7-vista/ (http://www.chantal11.com/2009/05/changer-le-nom-utilisateur-apres-installation-windows-7-vista/)).
...
Je vais le lui reformater son ordi si ça continue il a bien mis le binzz quand même :triste:
Pas une mauvaise idée non plus vu que tu as accès aux fichiers pour les sauvegarder...
;D