Se connecter / S'enregistrer
Votre question

lsass.exe : erreur système

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Août 2010 15:51:01

Bonjour à toute la communauté,

J'ai besoin de votre aide pour résoudre mon problème.

J'ai un PC (système XP SP3) qui présente le message suivant depuis que j'ai désinstallé AVAST pour le remplacer par BITDEFENDER :
'lsass.exe - Erreur Système
Une opération E/S demandée par le registre a échoué irrémédiablement.
Le registre n'a pu lire ni écrire les informations de l'un des fichiers contenant son image système, ni vider ce fichier.'

Je sais qu'il s'agit d'un problème connu pour avoir parcouru quelques posts sur des forums existants.
J'ai suivi les conseils proposés sur ces forums mais le problème persiste.

Deux solutions :
- soit la base de registre est réellement endommagée
- soit il s'agit du ver SASSER ou l'une de ses variantes.

Une précision :
J'arrive à faire redémarrer le PC uniquement lorsqu'il n'est pas connecté sur le réseau donc à Internet (Bizarre, cela ne correspond pas aux comportements de du ver SASSER).

J'ai téléchargé FxSasser (Symantec) qui a analysé le PC à la recherche de ce ver sans résultat.
En parallèle, j'ai lancé HiJackThis dont voici le résultat :

Citation :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:20:36, on 06/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\BrmfBAgS.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Program Files\BitDefender\BitDefender 2010\seccenter.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\LECOQ\Mes documents\Téléchargements\Antivirus\FxSasser\FxSasser.exe
C:\Documents and Settings\LECOQ\Mes documents\Téléchargements\Antivirus\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2010\IEToolbar.dll
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2010\IEShow.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/F...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O23 - Service: BitDefender Serveur Arrakis (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Program Files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe
O23 - Service: Brother BidiAgent Service for Resource manager (brmfbags) - Brother Industries, Ltd. - C:\WINDOWS\system32\BrmfBAgS.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe

--
End of file - 5643 bytes


A priori, rien ne fait penser à une infection par le ver SASSER.

Reste la base de registre endommagée :
Avez-vous une idée pour corriger ce problème sans devoir formater le système et tout réinstaller ?

Merci par avance de vos conseils et de votre aide.

Macbee

Autres pages sur : lsass exe erreur systeme

7 Août 2010 08:13:45

Bonjour à tous,

Mon problème n'étant pas lié à la présence d'un virus, je suis allé voir dans les pages de support de Microsoft 'Comment récupérer une base de registre endommagée ?'

Voici une page intéressante sur le sujet : http://support.microsoft.com/kb/307545/fr
(Le principe est valable également sous VISTA ou WIN 7, mais il faut rechercher la bonne page du support).

Pour ma part, et je ne sais pas pour quelles raisons, aucun point de restauration n'a été effectué auparavant. Je ne peux donc pas revenir à une configuration stable précédente.

Il me reste à formater le DD et réinstaller le tout. Parfois cela a du bon ;) 
Contenus similaires
10 Août 2010 22:51:24

Merci de ces conseils OmaR.

Mon problème n'est toujours pas résolu et j'en suis à mon 8ème formatage et réinstallation du système.
sfc /scannow n'aurait rien donné de plus.
Quand au deuxième lien que tu proposes décrit la procédure de réinstallation complète du système que j'ai effectué à 8 reprises.
Une autre façon de réparer le système consiste à utiliser le CD d'installation et suivre une procédure décrite dans les support de Microsoft.
Exemple : Récupérer une base de registre endommagée : http://support.microsoft.com/kb/307545/fr

Pour revenir à mon problème :
Si cela aurait été le virus SASSER, le premier formatage aurait suffit à résoudre le problème.
Je vais par élimination.
Au départ, je pensais qu'il s'agissait d'un composant : ajout d'une carte graphique, d'une carte son avec des drivers non compatible avec les différents packs de XP.

Le problème vient toujours à peu près au même niveau : après l'installation du SP2.
J'installe alors un antivirus (J'ai essayé BITDEFENDER, puis AVAST, puis ANTIVIR) aucun ne s'installe, tous bloqués par le pare feu de Windows.
Lorsque j'arrive à désactiver le parefeu de windows afin de permettre l'installation de ces logiciels, le message apparaît.
Je précise qu'une fois que le message apparaît, je ne peux plus lancer le système pas même en mode échec.
Le problème proviendrait de la carte réseau donc de la carte mère ???

Je vais reprendre le formatage du système, mais cette fois-ci je vais placer le disque dur sur une autre tour (qui lui fonctionne correctement).
10 Août 2010 23:43:43

Salut,

Comment te connectes-tu à internet ? As tu une box, un routeur, un modem ?
Si tu n'as pas de firewall sur ce routeur/modem, c'est le firewall qui empèche toute infection, et donc, dès que tu le désactives, tu te prends une infection.
Et il me semble que Sasser fait parti de ces virus qui se propagent de partout, sans rien faire.
Ce que je te conseillerai c'est de télécharger ton anvirus, te déconnecter d'internet, et alors installer l'antivirus/firewall. Une autre solution serait d'avoir directement le SP3 de Windows XP qui permettrait d'avoir déjà le fix pour Sasser.
11 Août 2010 10:48:42

Je me connecte à Internet via mon réseau constitué d'une LiveBox en amont puis d'un routeur NETGEAR qui possède un Firewall intégré qui bloque toutes les entrées autres que les ports HTTP, HTTPS, FTP, TELNET, SMTP, POP, etc. (Bref les ports nécessaires pour une navigation Internet basique par l'ensemble des applications courantes).

Le virus doit être très rapide pour venir contaminé le PC avant l'update SP2 (mais c'est possible).
J'ai modifié la procédure pour éviter toute contamination.
J'ai ré-installé le système XP, puis AVAST.
Télécharger le SP2 en exécutable depuis un autre poste.
Lancer l'update sur le PC.

J'ai un autre message :
'WinLogon.exe
L'application ou la DLL c:\windows\system32\ODBC32.dll n'est pas une image valide.
Vérifier à l'aide de votre disquette d'installation.'

Je recherche comment me corriger de ce nouvel incident.
D'autant plus que le mode sans échec (avec ou sans prise en charge du réseau, ou encore en mode invite de commande) ne fonctionne pas.

Malheureusement, je n'ai pas le CD d'installation de XP SP3.
Je pars toujours du CD d'origine XP SP1a.

Encore merci pour tes conseils ;) 
11 Août 2010 11:37:42

Oh, Merci OmaR pour ce lien.
11 Août 2010 12:12:37

Mon système est redémarré avec le SP2.
J'installe maintenant le SP3.
11 Août 2010 13:55:07

Cool :) 

Tiens moi au courant ;) 
11 Août 2010 14:44:23

Le service pack 3 est installé mais Internet Exporer a disparu.
Par la même occasion, plus d'accès à la liste des programmes installés.
Pas plus pour aller sur Internet.
J'ai installé Firefox pour me permettre de débloquer une fenêtre de sélection par défaut d'un navigateur.

J'ai beau réinstallé IE8 pas moyen de le faire fonctionner.
J'obtiens le message suivant :
'iexplore.exe - Erreur application
L'installation à '0x7df6059f' emploie l'adresse mémoire 0x00000000.
La mémoire ne peut-être 'read'...'

Décidément, j'en aurais vu avec ce PC.

11 Août 2010 15:06:20

Hmm, bizarre qu'il ait disparu complètement !
Essaie de continuer les mises à jour qui sont après le SP3, il doit y avoir des MAJ d'IE8, on sait jamais
11 Août 2010 15:15:41

Windows Update ne fonctionne plus (origine IE8)

Je vais reprendre cette installation dans la soirée.
Je dois m'absenter.

Je pense passer par le mode sans échec voir de ce coté si possible de réparation
11 Août 2010 16:21:08

Ah oui, c'est vrai qu'IE est nécessaire pour Windows Update avec Windows XP.
Je suis habitué à Vista/7 depuis un moment, j'avais oublié ce détail.

Bah bon courage... ça a l'air d'être un beau merdier !
11 Août 2010 17:56:14

Moi aussi je suis sous Win 7 et j'avoue que c'est un système appréciable.

Là il s'agit d'un PC d'un copain qui voulait au départ seulement changer d'Antivirus au profit de Bitdefender.
Depuis, que des problèmes.

En mode sans échec, j'ai constaté que IE8 était installé 2 fois.
J'ai donc tout désinstallé pour refaire une install propre.

Mais dans la désinstallation, le parefeu a été désactivé. Normal.
Et mon problème du début est revenu de plus bel : Isass.exe - Erreur Système...'

J'avoue que je baisse un peu les bras et le moral en prend un coup.
11 Août 2010 19:50:03

Forcément... je te comprend, si en plus c'est pas ton PC ça doit être encore plus embêtant.
Il aurait fallu essayer de démarrer en mode sans échecs sans prise en charge réseau, t'aurais pas pu avoir accès à internet, mais tu aurais pu désinstaller tout ça sans problème (normalement)...
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS