Pagina 1 di 1
Utente administrator che cambia password da solo
Inviato: ven mag 16, 2014 2:19 pm
da crazy.cat
Ho un caso abbastanza strano, su un pc windows 7 aziendale, ho l'utente administrator che dopo il riavvio del pc, o dopo qualche minuto, gli si cambia la password da solo.
Kaspersky rescue cd, gmer, tdskiller, hitmanpro non hanno trovato niente di significativo, però il problema rimane e non riesco a capire cosa diavolo ci sia in quel pc.
E' mai capitato a qualcuno?
Grazie
Re: Utente administrator che cambia password da solo
Inviato: ven mag 16, 2014 3:45 pm
da Al3x
che ci sia qualcosa nello scheduler che lancia periodicamente un comando (batch)? Controllato Operazioni pianificate o da terminale a lanciare il comando AT?
E se fosse lo scherzo di qualche buontempone del CED che da remoto modifica la password? 
Controllato tra gli elementi in avvio automatico?
bel mistero, mai capitata una cosa del genere in tanti anni
Re: Utente administrator che cambia password da solo
Inviato: ven mag 16, 2014 3:56 pm
da crazy.cat
Al3x ha scritto:E se fosse lo scherzo di qualche buontempone del CED che da remoto modifica la password?
non credo, è successo anche oggi quando gli esperti del ced erano fuori a mangiare.
E' possibile farlo via policy aziendale?
Al3x ha scritto:bel mistero, mai capitata una cosa del genere in tanti anni
neanche a me.
Re: R: Utente administrator che cambia password da solo
Inviato: ven mag 16, 2014 5:06 pm
da The Doctor
Hai provato a vedere che succede se disattivi l'utente Administrator, e a dare i privilegi ad un altro utente?
Re: Utente administrator che cambia password da solo
Inviato: ven mag 16, 2014 7:36 pm
da hashcat
Il visualizzatore eventi di Windows non riporta nulla di particolare?
L'operazione di cambio password può essere automatizzata in numerosi modi (tutti non rilevabili da uno scanner antivirus).
Per cercare di capirci qualcosa di più potresti postare un report di Autoruns.
Re: Utente administrator che cambia password da solo
Inviato: ven mag 16, 2014 7:44 pm
da crazy.cat
Almeno sino a lunedì non rimetto le mani su quel pc, continuate pure a suggerire se vi viene in mente qualcosa.
Non ho nessuna voglia di rifare quel computer, disco da 500 gb con 70 gb di spazio libero.
Ancora grazie
Re: Utente administrator che cambia password da solo
Inviato: ven mag 16, 2014 7:45 pm
da Al3x
Via policy aziendale è possibile imporre il cambio password. Lo si può anche fare tramite script. Come suggerisce hash, una verifica con autoruns potrebbe mostrare eventuali script (caricati da qualche server) all'avvio del sistema.
Re: Utente administrator che cambia password da solo
Inviato: ven mag 16, 2014 8:18 pm
da The Walking Dead
Anche io comincerei dal visualizzatore eventi e da autoruns per raccogliere qualche info in più.
Non tutto è rilevabile attraverso l'antivirus. 
Re: Utente administrator che cambia password da solo
Inviato: gio mag 22, 2014 4:11 pm
da crazy.cat
Sono riuscito a riprendere in mano il pc, se io tento di cambiare la password dell'administrator, da windows attivo, ottengo un bel messaggio di accesso negato e la password non si cambia, sia dallo stesso administrator che da altro utente con poteri amministrativi.
Da cd di boot riesco a renderla blank, ma non ha scriverne una nuova.
I permessi sul file Sam, che dovrebbe contenere le password, ci sono tutti anche per l'administrator.
Però la password non si riesce a scrivere.
Niente processi strani o task in avvio, il problema è altrove.
Idee?
Re: Utente administrator che cambia password da solo
Inviato: gio mag 22, 2014 4:57 pm
da davide.pro
hai provato con il comando
net user administrator
eseguito da un prompt con permessi amministrativi?
ottieni una serie di informazioni sull'account, c'è anche una voce che specifica se l'utente è abilitato al cambio della password..
Re: Utente administrator che cambia password da solo
Inviato: gio mag 22, 2014 7:17 pm
da crazy.cat
Da altre prove fatte credo siano andati in malora i file di configurazione, un secondo account amminstratore era diventato account normale, dopo 3 o 4 spegnimenti sono poi riuscito a cambiare la password anche dell'administrator.
Non mi lasciava poi creare un nuovo utente dal nome normalissimo perché diceva avesse dei caratteri strani al suo interno.
Insomma un gran casino.
Domani recupero un vecchio punto di ripristino per vedere cosa cambia, tanto lavoro su un clone della macchina originale e quindi ci faccio quello che voglio.
Il format si avvicina...
Re: R: Utente administrator che cambia password da solo
Inviato: gio mag 22, 2014 7:32 pm
da The Doctor
crazy.cat ha scritto:Il format si avvicina...
Accanimento terapeutico direi 
Re: Utente administrator che cambia password da solo
Inviato: ven mag 23, 2014 8:23 pm
da The Walking Dead
Problema davvero strano.
Ho cercato in rete per una decina di minuti ma davvero senza risultato.
A questo punto piacerebbe anche a me conoscere la soluzione.
Re: Utente administrator che cambia password da solo
Inviato: ven mag 23, 2014 8:37 pm
da ninja
Magari si sta cercando nella direzione sbagliata, hai provato con un Memtest?
L'anomalo comportamento potrebbe essere stato generato nella macchina originale da un problema hardware, per quanto improbabile possa sembrare io non lo escluderei.
P.s.: Una volta mi capitò un Pc che dopo qualche settimana dal format inconinciava a funzionare male, scoprii che alcune celle della RAM producevano sporadicamente degli errori, errori che saltavano fuori dopo 5-6 cicli completi del Memtest, che inizialmente era perfetto. Questi errori a lungo andare compromettevano file system e i file di sistema in modo imprevedibile rendendo difficile comprendere la natura del problema e trovare una soluzione, mi accorsi della vera causa quasi per caso, perché il Memtest lo faccio di tanto in tanto nei Pc che mi danno problemi, ma normalmente mi fermo dopo un paio di cicli, quella volta lasciai il computer a lavorare per un po' finché ero impegnato con altro.
Re: Utente administrator che cambia password da solo
Inviato: sab mag 24, 2014 5:24 am
da crazy.cat
Il problema hardware lo escluderei visto che qualche comportamento strano mi è capitato anche sul pc che ho clonato.
Ieri ho fatto pulizia di utenti che erano presenti (un admin, un administrator di dominio, più altri due administrator locali), ricambiato la password dell'amministratore locale, tolto alcuni programmi inutili dall'avvio automatico, spento e riacceso più volte, fatto lavorare e la password sembra tenere.
Non ho capito perché però....