[LOGICIEL] IE8 - Mise à jour Jscript - Vérrouillage comptes

[Claude63]

Bonjour;

J'ai refait un PC de A à Z en XP, installé toutes les mises à jour Windows, les Net Framework 1, 2, etc.

Deux utilisateurs, Administrateur et mon utilisateur, avec mot de passe.

Il ne restait que IE8, bien que j'utilise personnellement Firefox, mais le PC est destiné à mon gendre et il a d'autres habitudes. Alors j'ai fait la mise à jour hier soir.

Ce matin avec Windows Update, je suis allé voir s'il existait encore des mises à jour.

Oui Une.

"Mise à jour de sécurité pour Jscript 5.8 pour Windows XP (kB971961)"

Bien sur j'ai exécuté la mise à jour.

Au redémarrage, mot de passe utilisateur pas bon ?

Mode sans échec Administrateur, mot de passe pas bon.

Redémarrage en invite de commande, je dois m'identifier ? Administrateur ou utilisateur ?

Bizarre ?

Il n'est plus possible de faire aucune session.

Solution : remettre une image avant installation (j'essaie d'être méthodique) ? Ou réinstaller ?

Cela ne me satisfaisant pas, j'ai cherché et j'ai trouvé sur le net des outils qui m'ont permis de constater que certains comptes étaient "VERROUILLE" ?

Administrateur

Mon Utilisateur

HelpAssistant

Support_388945a0 (je ne sais pas à quoi il correspond)

Avec ces outils, j'ai réussi à déverrouiller tous ces comptes et à supprimer le PW de mon Utilisateur.

Mon interrogation : coïncidence fortuite ou conséquence de cette dernière mise à jour ?

Merci si vous avez une réponse

[Amour]

Je suis surpris, même si je n'ai pas constaté ce problème...

[Claude63]

Moi aussi je suis surpris et c'est pour cela que je m'interroge.

Non informaticien de formation, j'ai appris sur le tas au début de la micro (pour mémoire avec le Z80 - si cela rappelle des souvenirs à certains), ce qui veut dire que mes compétences sont comme un puzzle et il me manque des pièces.

J'essaie de comprendre ce qui s'est passé, car cela peut se reproduire.

Un compte Administrateur et Utilisateur VERROUILLE sur XP familiale, c'est assez surprenant. NON ?

J'ai repris mes notes, car lorsque je réinstalle un micro, je le fais si possible méthodiquement, je note ce que je fais et régulièrement je fais une image de mon installation avant une installation importante.

Je ne dit pas que c'est cette mise à jour Jscript qui est la conséquence. Mais c'est très exactement après. Lors de l'installation IE7 j'ai eu un "blue screen" ? Mais ?

Merci en tout cas de ta réponse

[Shtong]

C'est bizarre, la mise à jour dont tu parles se contente de remplacer un fichier (jscript.dll) et ne modifie pas les comptes utilisateurs, ce qui serait de toute façon très étonnant en effet... Peut-être un virus arrivé en même temps ?

[Claude63]

Merci

Antivirus AVAST (à jour) et KERIO v4 (version basique)

J'ai lancé un scan d'avast au démarrage mais rien ne s'est passé => écran noir

Je lance une vérification avec Bit-Defender CD V2

A voir ?

C'est parti

[Claude63]

Bonsoir,

Têtu, je cherche toujours à comprendre.

Test avec Bit-Defender CD v2.0 => OK

Reste à voir pourquoi avast ne veut pas faire un scan au démarrage ?

22h38 J'ai lancé un scan avast au démarrage ... écran noir ... j'ai laissé faire car j'ai vu de l'activité sur le disque dur.

après longtemps je suis arrivé en ouverture de session

Donc nous pourrions en déduire que j'ai un pb de video ? Nvidia Geforce Mx 460

Une piste !

Patient mais quand même

[Shtong]

La carte vidéo qui désactive les comptes utilisateurs ? Ca m'étonnerait encore plus

Un virus qui déclenche un mécanisme d'auto-défense peut-être

[Claude63]

Bonsoir Shtong,

Virus, je n'y crois pas. Le scan de Bit-Defender v2 en CD linux n''a rien trouvé.

Avast scan au démarrage n'a rien trouvé même si je n'ai aucun affichange et à mon sens c'est la un des problèmes ?

La carte vidéo qui pose problème, OUI, peut-être, mais ne verrouille pas des comptes

Bon ce soir je vais me coucher et réfléchir.

La nuit porte conseil

Merci

[noisette]

Bonjour,

Le disque dur à vérifier ? :gratgratgrat:

[Claude63]

Merci

Test générique long du disque dur avec SeaTools 1.1.1.0 => OK

Hier, j'ai remis des PW aux comptes et j'ai même créé un autre compte Admin que j'ai masqué dans les utilisateurs.

Ce matin c'est OK. Je vois pas ce qui a pu provoquer ce verrouillage de compte ?

[noisette]

Bonjour,

voilà au moins une hypothèse d'écartée.

Vous dites avoir eu un écran bleu à l'installation d'IE7: vous souvenez-vous de l'erreur indiquée ?

Cet écran bleu et votre soucis actuel sont peut-être liés, peut-être pas.

Commençons par imaginer qu'ils le soient: alors, par exemple, est-ce qu'une alim qui a des petites sautes d'humeur de temps en temps peut générer un écran bleu (oui) et votre soucis de session (je ne sais pas) ?

Ou est-ce que ce peut être votre écran bleu qui a généré votre soucis actuel ?

Est-ce que l'observateur d'évènements indique quelque chose ?

Désolé de ne pas vous apporter de réponse, j'apporte au moins quelques questions en espérant que l'une d'elles sera un piste intéressante pour vous.

[Claude63]

Bonjour,

voilà au moins une hypothèse d'écartée.

Vous dites avoir eu un écran bleu à l'installation d'IE7: vous souvenez-vous de l'erreur indiquée ?

Stop 0x0000008E(0xc000..5, je n'ai pas noté la suite, ensuite, j'ai directement mis IE8 me semble t-il. Redémarré sans problème.

Cet écran bleu et votre soucis actuel sont peut-être liés, peut-être pas.

Pourquoi pas

Commençons par imaginer qu'ils le soient: alors, par exemple, est-ce qu'une alim qui a des petites sautes d'humeur de temps en temps peut générer un écran bleu (oui) et votre soucis de session (je ne sais pas) ?

J'ai arrêté et redémarré le PC de très nombreuses fois hier. Par le réseau, j'ai transféré mes images successives (2 Go actuellement) sur un PC de sauvegarde. Aucun problème.

Ou est-ce que ce peut être votre écran bleu qui a généré votre soucis actuel ?

Est-ce que l'observateur d'évènements indique quelque chose ?

Tiens, je n'ai pas pensé à l'observateur d'événements ? ça alors. Je vais le regarder de prés.

Désolé de ne pas vous apporter de réponse, j'apporte au moins quelques questions en espérant que l'une d'elles sera un piste intéressante pour vous.

Toutes les pistes pour comprendre sont bonnes à prendre. Quand on a un problème on a tendance à focaliser sur quelque chose et on ne voit pas le reste. C'est là l'intérêt d'un forum.

Je vais noter plus en détail la configuration.

Merci

[noisette]

A faire éventuellement: http://rapidshare.com/files/140970549/RkU3...41.553.rar.html

=> Téléchargement de RootkitUnhooker pour s'assurer de la non-présence du rootkit Rustock.

[Claude63]

Le Lien

http://rs352tl.rapidshare.com/files/140970...92;services.exe

Avast me envoi Win32:Trojan-gen {Other}

J'ai testé le PC avec le CD v2 de Bit-Defender et Avast

[noisette]

Le Lien

http://rs352tl.rapidshare.com/files/140970...92;services.exe

Avast me envoi Win32:Trojan-gen {Other}

J'aurais du le préciser avant, c'est normal: les techniques d'installation de RKUnhooker réveillent un antivirus - pas trop mauvais - en fonctionnement. Elles sont néanmoins parfaitement légitimes.

J'ai testé le PC avec le CD v2 de Bit-Defender et Avast

oui, mais non

aucun de ces deux outils ne détectent Rustock.

Ceci dit, je vous laisse juge de l'opportunité de vérifier de la présence ou non de ce Rootkit sur votre machine, après tout d'ailleurs c'est peu probable (il est a priori peu répandu), mais le code erreur que vous décrivez peut aussi être du à sa présence.

Bon, allez, je tutoies.

Ce que tu peux faire aussi, en cas d'écran bleu, c'est noter le code mais aussi le nom d'un éventuel fichier incriminé en bas de l'écran bleu: A titre d'exemple, il ne faudrait pas tomber la-dessus: lzx32.sys

Ou encore passer SmitfraudFix: http://siri.urz.free.fr/Fix/SmitfraudFix.zip option 1, pour vérifier dans le rapport la présence d'une variante de Rustock (je ne sais pas si la variante C sera détectée).

Bon, bah c'était au cas où ^^.

[Claude63]

Pas de problème, on peut se tutoyer, c'est plus simple.

Je n'ai plus accès au lien de rapideshare.

J'ai épluché l'observateur événéments application et système

J'ai trouvé trace de 2 EcranBleu (System Error)

le premier 1000008e, c0000005, 804de798, f4866cf0, 00000000 correspond à l'installation ratée d'IE7 - qui a ensuite été correctement installé (vu dans les evts)

le deuxième le lendemain 30 minutes aprés une manip dans la base de registre pour masquer les comptes Admin, ASPNET

0000005c, 00000000,00000002, 00000001, 8054c0b9

d'autre part, il ne me semble pas avoir remarqué sur l'écran de nom de fichier, sur un c'est sur, mais je ne sais plus lequel.

Je note beaucoup, mais parfois j'oublie !!!!!!!!!!!

Sinon dans les evts que des choses normales, à part un message pour scanner qui ne trouve pas le fichier (je ne sais pas lequel ?)

Le dernier lien pour SmitfraudFix j'ai un message d'erreur.

En tout cas je te remercie

J'arrête pour ce soir, car je dois partir

Salut

[noisette]

Pour le second lien, j'avais laissé trainé un ":", j'ai édité mon précédent message.

Pour le second lien, le message suivant apparait, qui te permet d'accéder au fichier malgrè tout:

"You want to download the following file:

http://rapidshare.com/files/140970549/RkU3.8.341.553.rar | 155 KB

The download session has expired. Please click here to start the download again."

Mais attendons éventuellement un autre écran bleu ?

Bonne soirée !

[Claude63]

Bonsoir,

J'ai téléchargé les deux fichiers et je passe la moulinette ... demain matin.

Ensuite je vais créer un nouvel image.

Puis je ferais une mise à jour de la carte vidéo car j'ai un problème. L'écran s'éteint par moment lors de l'ouverture de l'explorateur par exemple (le voyant devient jaune) puis se rallume et retourne au vert ?

Un autre écran bleu ... , j'aimerais éviter. Il faut que j'amène le PC à mon gendre lundi après-midi, ça va être dur de régler tout cela d'ici là. Enfin on va essayer.

Note : le scanner est un ARTEC USB auto-alimenté (personnellement j'aime pas bien ce type de matériel, mais se n'est pas le mien)

Merci

[Claude63]

Bonjour Noisette,

Hier soir, téléchargement des deux liens que tu m'as donné.

Ce matin, avant toute chose j'ai fait une nouvelle image de mon installation (prudent).

Sur le PC désactivation d'Avast (qui n'était pas d'accord)

Instal de Ruk3. La, souci, je ne sais pas le faire fonctionner. Tous les onglets en revue avec Scan. Puis à la fin j'ai fait report tous les disques. Sauvegarde du rapport.

A noter : au cours du changement d'un onglet, l'écran s'est figé environ 5 a 10 ", s'est éteint, puis rallumé. Le nettoyage de l'écran ne s'est pas fait, il restait une partie de l'écran précédent ?

A la fin du rapport il est indiqué : "POSSIBLE ROOTKIT ACTIVITY DETECTED" ?

Quant à SmitfraudFix ... je ne sais pas l'exe qui faut lancer. (l'anglais, je déchiffre mais trèssss mal)

Merci

[noisette]

Pour Smitfraudfix, c'est smitfraudfix.cmd, mais tu peux aussi télécharger cette version : http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Choisir l'option 1 pour faire un simple rapport.

En ce qui concerne RKU, je te propose ces deux liens:

http://infomars.fr/forum/index.php?showtopic=334 pour sa présentation

http://infomars.fr/forum/index.php?s=&...ost&p=28894 pour un exemple de crochetage du système par le rootkit Rustock.C

Ces deux outils méritent parfois d'être utilisés par plus expert que moi pour y voir parfaitement clair, mais je ferai de mon mieux pour t'aider.

[Claude63]

Merci

Ou là là ?

Si toi, tu n'es pas expert dans ces outils, moi pas du tout. Je vais essayer de mettre en français.

J'ai regardé l'exemple de crochetage, à priori, je n'ai pas de trace sur le PC.

Je continue ...

[Claude63]

Eh bien, pas facile

Smitfraudfix : le plus simple m'a fait un rapport, cela me parait normal, mais je suis incapable de savoir ce qui est bon ou mauvais

RuK : La, c'est autre chose. Il dépasse très largement mes compétences, j'ai fait UnHoock ... lors du redémarrage il les remet. En fait, je ne sais pas ou chercher, et quoi.

Lorsque j'ai installé ce PC, je l'ai fait avec des installations à priori saine. Comment un Rootkit peut-il venir ? S'il en existe un !

Je ne sais plus quoi faire. Le PC fonctionne bien à part ce souci par moment d'affichage.

[frenchjesus]

Bonjour,

Le verrouillage des comptes est une des caractéristiques d'une infection par Conficker.

Sinon tu peux aussi regarder les journaux d'évènements, notamment celui de sécurité, et vérifier s'ils ne contiennent pas d'anomalies.

[Claude63]

Bonjour,

J'ai regardé les journaux des évènements, il n'y a rien d'anormal.

Je pense que si j'avais Conficker le verrouillage des comptes devrait se reproduire ?

J'ai remplacé la carte vidéo plusieurs fois, Nvidia Geforce4... qui plantait au démarrage après l'installation des pilotes, puis une Nvidia GeForce 2... qui en fait n'était pas bonne.

pour en définitive installée une Intel740 Compatible Graphics Adapter.

Il faut que je refasse une analyse complète des problèmes rencontrées, mais qui n'ont plus rien à voir me semble t-il avec le verrouillage des comptes.

Je pense que je vais clore ce dossier et le cas échéant en ouvrir un autre avec plus de réflexion.

Merci en tout cas à toutes les aides.