(bug) Microsoft Windows XP/Vista/7/8/8.1 reboot en boucle

ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

(bug) Microsoft Windows XP/Vista/7/8/8.1 reboot en boucle

Message par ѠOOT » 01 avr. 2014 17:58

Ce matin, j'ai vraiment cru à une blague digne d'un premier avril. Un poste de travail sous Microsoft Windows XP qui redémarre en boucle, mode normal, mode sans échec, console de récupération,... des écrans noirs et parfois un message s'affiche avec l'erreur "L'opération demandée n'a pas pu être menée à bien." intitulé "lsass.exe - L'opération a échoué". Question : Pourquoi LSA Shell refuse de fonctionner ?

L'analyse post-mortem indique que les usages du quotidien sont effectués depuis le compte Administrateur. Je rappel qu'il est vital d'utiliser des comptes limités, généralement associés au groupe Utilisateurs. Je commence par restreindre les possibilités en affinant mes recherches. Je vais délimiter aux deux dernières sessions en date : une "saine" et une autre qui "plante". Je superpose les activités de celles-ci et ne retient que les ajouts, les suppressions et les modifications et ensuite j'affine grâce à l'export du journal "SysEvent.Evt" qui va me renseigner sur les évènements, notamment sur des infos liées à l'apparition du premier message d'erreur.

Je positionne l'horaire du premier message sur ma timeline des activités et je constate que ça correspond à des écritures de fichiers et de valeurs dans le registre Windows. Je remarque alors qu'un utilitaire bien connu, que je ne citerai pas, qui permet principalement de lister la configuration d'une machine a été utilisé au moment de l'incident. L'utilisateur a simplement modifié le nom de l'ordinateur via ce logiciel, sans penser à mal...

J'ai reproduis l'incident ( voir vidéo ) sur un autre XP SP3 à jour. Voici ce qui se passe lorsque le nom de l'ordinateur est changé sans passer par Windows ( "Propriété du système" → "Nom de l'ordinateur" )

Ci-dessous le fichier .reg

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName]
"ComputerName"="BOOOOOOOOOOOOOOOOOM"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ActiveComputerName]
"ComputerName"="BOOOOOOOOOOOOOOOOOM"


J'applique les modifications...

31/03/2014 | 08:34:27 | EventLog | Informations | Aucun | 6011 | N/A | LESATH |
Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de LESATH vers BOOOOOOOOOOOOOOOOOM.


Le nom NetBIOS est supérieur strictement à 15 octets donc "services.exe" va se mettre à chanter.

31/03/2014 | 08:34:29 | Application Popup | Informations | Aucun | 26 | N/A | LESATH |
Application popup : services.exe - Erreur d'application : L'exception Exception logicielle inconnue (0xc0000409) s'est produite dans l'application à l'emplacement 0x77b8****.


De même, si le nom de domaine est supérieur strictement à 62 octets, c'est catastrophe assurée.
Problème résolu. J'ai envoyé un e-mail pour signaler ce dysfonctionnement au développeur du logiciel.

edit: Merci à xtrem47 & Xylitol d'avoir vérifié et confirmé ce crash.

Si vous êtes un jour confronté à une machine qui ne démarre plus, utilisez un système d'exploitation alternatif depuis un Live CD/DVD ou une clé USB bootable. Malekal Live CD, pensé pour dépanner des produits Windows, permet de manipuler aisément l'éditeur de registre. Même si nous connaissons l'origine du dysfonctionnement et comment le reproduire, ça ne suffit pas à le réparer. Au démarrage, le message mentionne "lsass.exe" mais dans les journaux il est question de "services.exe" ( qui s'était terminé de manière inattendue avec le code d'état 1282 ) Ironie du sort, le service qui part en cacahouète n'est autre que le journal des évènements lui-même ; suite à la nouvelle valeur de "ComputerName", celle-ci étant automatiquement répliquée dans "Eventlog". Il faut donc restaurer deux valeurs, comme le montre cette vidéo.

edit: Merci à angelique pour sa remarque et à Malekal pour son LiveCD.
Dernière édition par ѠOOT le 07 avr. 2014 01:22, édité 7 fois.


‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ


Avatar de l’utilisateur
xtrem47
newbie
newbie
Messages : 13
Inscription : 26 déc. 2012 15:15

Re: (bug) Microsoft Windows XP reboot en boucle - LSASS.EXE

Message par xtrem47 » 03 avr. 2014 20:24

Suite au post de ѠOOT sur ce bug, la question de savoir si il touchait uniquement Windows XP s'est posée.
Windows 7, sur lequel la manipulation a été reproduite est aussi affecté par le problème (pas au même niveau)
Configuration : Windows 7 home (64 bits) à jour.

De la même façon que sur Windows XP, le système nous empêche d'entrer un nom d'ordinateur trop long.

Image

Comme précédemment, on écrit le nom directement dans la base de registre.

Image

Aucun problème à ce moment là, essayons d'aller voir dans les propriétés de l'ordinateur si le nom est bien modifié.

Image

Bizarre ... Ça refuse de se lancer.
On va vouloir redémarrer, sauf que là ça se gâte, quand on essaye de redémarrer / éteindre l'ordinateur, Windows ne fait rien, puis plante. On est obligé de le "redémarrer à l'ancienne".

Avec Windows 7, l'ordinateur restaure les paramètre et redémarre normalement. L'ordinateur ne présente alors plus de problèmes liés à la manipulation.

Par contre, dans certains cas, le problème peut devenir persistant, un joli écran bleu apparaît au démarrage,

Image

Idem en mode sans échec. Il faut alors restaurer les valeurs du registre (avec le live CD Malekal par exemple).

Malheureusement je n'ai pas réussi à reproduire le bug, cela demanderait de plus amples test.

Avatar de l’utilisateur
xtrem47
newbie
newbie
Messages : 13
Inscription : 26 déc. 2012 15:15

Re: (bug) Microsoft Windows XP reboot en boucle - LSASS.EXE

Message par xtrem47 » 04 avr. 2014 14:10

Continuons, la dernière version de Windows ne doit pas être touchée par le problème, Microsoft a bien dû faire en sorte de corriger ce bug, qui comme nous l'a montré ѠOOT, peut poser de sacrés problèmes à des entreprises par exemple. Pas si sur ...

Système utilisé : Windows 8.1 Entreprise

Toujours pareil, on va entrer un nom d'ordinateur trop long dans le registre.

Image

A première vu ça ne pose pas de problèmes, quand on va dans les propriétés de l'ordinateur, le nom n'a pas été modifié. Par contre à un moment ou à un autre vous aurez envie d'éteindre / redémarrer le PC, ça se gâte, ça refuse de s'éteindre et ça termine un écran noir (au bout de quelques minutes néanmoins ça fini par s'éteindre).

Au démarrage une jolie erreur nous attend.

Image

L'ordinateur redémarre en boucle.

Image

Les options de dépannage (mode sans échec, réparation) échouent.

Comme précédemment, il faut restaurer les valeurs du registre pour faire repartir Windows :)


Répondre

Revenir vers « Tech, Tips & Tricks »