Perte de comptes utilisateurs

[Dylav]

Bonsoir,

 

Mon PC est sous Windows XP SP2.

J'ai constaté tout à l'heure un dysfonctionnement dans ma session utilsateur : je ne pouvais ouvrir un certain sous-répertoire en double-cliquant, sous windows explorer, sur son nom dans le répertoire qui le contient. Inquiet, j'ai ouvert l'invite de commande cmd, avec laquelle j'ai pu naviguer jusque dans ce sous-répertoire.

 

Je suis sorti de ma session, pour aller dans la session administrateur installer “Spybot - Search & Destroy”.

 

Au retour dans ma session utilisateur, j'ai eu un petit panneau du genre "windows n'a pas trouvé votre profil et va vous attribuer un profil standard". Je perds alors l'aspect de mon "bureau", et mon dossier "Mes documents" semble vide (comme si j'étais un nouvel utilisateur).

Pour voir, je tente d'ouvrir la session d'un autre utilisateur. Même topo !

 

Je suis retourné dans la session administrateur où, dans la liste du répertoire "Poste de travail", les lignes "Dossiers de utilisateur" des deux utilisateurs que j'avais ouverts ont disparu.

 

En passant par C: / Documents and Settings, je retrouve bien les noms de tous les utilisateurs et, pour ceux qui ont "disparu", je peux atteindre utilisateur / Mes Documents /etc. Les données et leur arborescence générale ne semblent donc pas perdues.

 

En revanche, elles ne sont plus accessibles "naturellement" par les sessions utilisateurs elles-mêmes. Je suis relativement inquiet, et surtout très embêté, car ma fille utilise le PC pour son boulot de 7h à midi (dans quelques heures).

 

Que puis-je faire pour mieux éclairer la question ?

Nota : je ne pense pas que l'installation de Spybot y soit pour quelque chose : simple coïncidence ?

 

-edit-

Je suis retourné voir : le petit panneau parle de "droits insuffisants ou profil local endommagé".

Modifié le 8 décembre 2008 par dylav

[Dylav]

À tout hasard, un rapport HijackThis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 02:09:40, on 08/12/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\CTSvcCDA.EXE

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.100.1/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 91.121.188.81 forum.zebulon.fr

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\PROGRA~1\MICROA~1\EFFACE~1\ANTI-P~1.DLL

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [setDefaultMIDI] MIDIDEF.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [setDefaultMIDI] MIDIDEF.EXE (User 'Default user')

O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Micro Application Anti-Popup - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\MICROA~1\EFFACE~1\ANTI-P~1.DLL

O9 - Extra 'Tools' menuitem: Anti-Popup - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\MICROA~1\EFFACE~1\ANTI-P~1.DLL

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 6194 bytes

[Loup blanc]

Bonsoir Dylav,

 

Je ne vois rien d'infectieux dans ton rapport, il y a juste cette ligne qui est bizarre

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.100.1/

Est-ce que l'adresse 192.168.100.1 correspond à quelque chose chez toi ?

 

Pour ton problème de sessions corrompues, tu devrais commencer par faire une vérification complète de ton disque.

 

Ensuite, le plus rapide pour résoudre le problème (au moins temporairement) , ce serait de recréer de nouvelles sessions puis de transférer les données utilisateur dans celles-ci.

 

Edit : as-tu fait des modifications dans les permissions ?

Modifié le 8 décembre 2008 par Loup blanc

[Dylav]

Bonsoir Loup Blanc,

 

Pour répondre à tes questions,

 

1) adresse IP : c'est celle de "Thomson CABLE MODEM DIAGNOSTICS" ? Aucune idée de sa provenance.

 

2) Pour cette histoire de sessions, ça ne viendrait pas de la base de registres ?

 

3) Quant au transfert vers de nouvelles sessions, ça va être fastidieux pour cause d'espace disque (60Go libres seulement, sur 180 Go)…

 

-edit-

Je n'ai pas modifié les permissions de ma session utilisateur AVANT l'apparition du panneau "profil endommagé". Je l'ai ensuite fait passer de administrateur à limité.

 

Nota : qu'entends-tu par "vérification complète du disque" ? Un scan de l'antivirus ? Ou une analyse d'intégrité de l'arborescence (j'ai oublié comment faire) ?

Modifié le 8 décembre 2008 par dylav

[Loup blanc]

1) adresse IP : c'est celle de "Thomson CABLE MODEM DIAGNOSTICS" ? Aucune idée de sa provenance.

 

2) Pour cette histoire de sessions, ça ne viendrait pas de la base de registres ?

 

3) Quant au transfert vers de nouvelles sessions, ça va être fastidieux pour cause d'espace disque (60Go libres seulement, sur 180 Go)…

 

Pour le registre, c'est effectivement une possibilité, ce serait les fichiers ntuser.dat qui seraient corrompus, mais ce serait étonnant qu'il y en ai plusieurs de corrompus d'un seul coup.

 

C'est sur que ça peut être fastidieux de transférer les données, mais si le PC doit servir ce matin...

 

Pour vérifier, fait quand même un scan avec Mbam en mode sans echec :

• Télécharge Malwarebyte Antimalwares, lance l'installation puis accepte la mise à jour,
  
• Ferme le programme,
  
• Redémarre ton PC en mode sans échec (touche F8 au démarrage du PC, avant l'apparition du chenillard de Windows))
  
• Lance Malwarebyte
  
• Dans l'onglet «Recherche», sélectionne «Exécuter un examen rapide»
  
• Clique sur «Rechercher»
  
• A la fin du scan, si des malwares ont été trouvés, clique sur «Afficher le résultat», puis clique sur «Supprimer la sélection» .
  
• Redémarre ton PC en mode normal.
  
• Poste le rapport que tu trouveras dans l'onglet Rapport/Logs avec la date du scan,
  

Profite aussi du mode sans échec pour faire un scan avec Antivir et poste son rapport si il trouve quelque chose.

 

Edit: Je te laisse pour l'instant, il commence à être très tard pour moi.

Modifié le 8 décembre 2008 par Loup blanc

[Dylav]

Je comprends qu'il faille vérifier mais... j'ai justement fait un scan Antivir vendredi : durée 3h25 !

Ça sent la nuit blanche…

[Dylav]

OK, installé. Je passe en mode sans échec.

[Dylav]

Je reviens déjà, pour deux raisons,

- primo, Malwarebytes' Anti-Malware a trouvé 4 clefs de registre infectées,

- secundo, les ventilos se sont mis à fond au bout de 6 minutes (ma tour doit être un peu empoussiérée, et je projette d'y remédier le week-end prochain) : je risquais de réveiller toute la maisonnée (je relancerai demain en fin d'après-midi).

 

En tout cas, j'ai vu passer un message qui m'angoisse : “tous les éléments infectés ont été mis en quarantaine et détruits”. J'avais pourtant bien cliqué sur "supprimer la sélection"…

 

Malwarebytes' Anti-Malware 1.31

Version de la base de données: 1472

Windows 5.1.2600 Service Pack 2

 

08/12/2008 03:09:17

mbam-log-2008-12-08 (03-09-17).txt

 

Type de recherche: Examen rapide

Eléments examinés: 24026

Temps écoulé: 6 minute(s), 8 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 4

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{622cc208-b014-4fe0-801b-874a5e5e403a} (Adware.123Mania) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{42f2c9ba-614f-47c0-b3e3-ecfd34eed658} (Adware.ISTBar) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

Question : pourquoi ne tenterais-je pas de restaurer mon système à partir du point de sauvegarde pris samedi à l'occasion du chargement de iTunes v8.0 ? Avec l'espoir que l'infection serait plus récente ?

[Loup blanc]

Bonjour Dylav,

 

Le message de mbam est normal, tout ce qui est supprimé par ce logiciel est d'abord transféré dans la quarantaine avant d'être supprimé.

 

Tu n'as pas indiqué si tu as fait une vérification de ton disque ?

 

Pour la restauration, il y a une chance que ça fonctionne, surtout si ce sont les fichiers du registre utilisateur qui sont touchés, mais fait la vérification du disque avant.

 

Suite à la restauration, il faudra re- nettoyer et compte tenu de ce que Mbam à trouvé, je te propose de passer un outil spécialisé :

 

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.

• Lance l'installation du programme en exécutant le fichier téléchargé.
  
• Double-clique sur le raccourci de Toolbar-S&D.
  
• Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
  
• Choisis l'option 1 (Recherche) et patiente jusqu'à la fin de la recherche.
  
• Poste le rapport généré. (C:\TB.txt)
  

[Dylav]

Bonjour Loup Blanc, et merci de suivre mon cas.

 

Suivant tes conseils, et afin que ma fille puisse travailler dans un quasi-confort,

- je lui ai ouvert un nouveau compte,

- j'y ai recopié toutes ses données (12 Go, quand même),

- j'ai "désactivé" son ancien compte,

- elle a quand même perdu toute sa custom, mais n'a pas trop râlé

 

Fin des opérations : 5 h. du matin. J'ai dormi 2 heures, puis ai filé au bureau expédier le principal des affaires courantes, et me voici (je crois que l'après-midi va être difficile)…

 

Qu'entends-tu par vérification du disque,

- scan Windows d'intégrité des données (j'ai oublié comment faire) ?

- scan Antivir ?

 

Je te remercie d'avance de m'éclairer

 

Pour le nettoyage à faire après restauration système, je prends note de tes suggestions, et j'espère pouvoir en faire un maximum en fin d'après-midi et en soirée, parce que je suis un peu déstabilisé, j'avoue…

 

-edit-

Une analyse d'intégrité du disque ne risque-t-elle pas de "tuer" des "branches mortes" (en d'autres termes, les dossiers "Mes Documents" et fils de tous les utilisateurs corrompus, c'est-à-dire en réalité les 4 utilisateurs, semble-t-il) ? Alors qu'actuellement ces données sont "encore" accessibles ?

 

-edit-2-

J'ai retrouvé : Poste de travail / Disque C: / Clic droit / Propriétés / Outils / Vérification des erreurs / Vérifier maintenant / Cocher les deux cases “Réparer auto…” et “Rechercher et tenter…” / Démarrer

… et c'est bien ces deux cases à cocher qui m'inquiètent ?

Modifié le 8 décembre 2008 par dylav