Message a propos de lsase.exe au demarrage [Résolu]

[Nick]

Je suis assez ignare en informatique, mais j'ai tout de meme reussi a eliminer un worm qui m'empechait d'acceder au gestionnaire des taches en supprimant l'application lsase.exe dans system32. Mais au demarrage, windows ouvre une fenetre d'erreur (lsase introuvable). Ai-je detruit une application importante? Comment modifier le demarrage de windows pour eviter cette erreur?
Si vous avez des lumieres merci beaucoup!

[M@rie]

Bonjour

Tu es sûr de l'orthographe: lsase.exe?

Le programme doit être appelé au démarrage de l'ordinateur.
Télécharge le logiciel HijackThis, décompresse le. Crée un dossier HijackThis sur ton disque dur et fais un copier-coller du programme HijackThis.exe dans ce dossier.
Double-clique sur le programme et choisis Do a system scan and save a log file.
(Ne touche pas aux autres boutons et ne coche aucune case dans la fenêtre d'HijackThis).
Fais un copier-coller du rapport dans le forum et on te dira comment réparer.
@+

[Nick]

Voici le scanlog

Log HijackThis

Merci bcp de prendre en charge le probleme, j'espere que l'erreur apparait!

[M@rie]

Il y a beaucoup de virus sur ton PC.

Crée un répertoire à la racine de ton disque dur C:/HijackThis, par exemple. Tu fais un copier-coller du programme HijackThis.exe dans ce répertoire. Le programme HijackThis.exe devra toujours être lancé à partir de cet emplacement si on veut disposer d'une sauvegarde des entrées supprimées en cas de fausse manip.

Désactive la restauration système:
Dans Panneau de configuration/Système/onglet Restauration du système, cocher Désactiver la restauration du système sur tous les lecteurs.

Fais Ctrl+Alt+Suppr, puis onglet Processus.
Arrête les processus suivants si présents:Pour arrêter un processus, clic droit sur ce processus et choisir terminer le processus.
netmon.exe
smrss.exe (Attention de ne pas confondre avec smss.exe qui lui est un processus légitime de Windows)
msveup.exe

Fais un contrôle antivirus en ligne >>Panda<<
(toutes recherches de malwares cochées)

Télécharge a²free, installe le et enregistre toi (ligne rouge: créer un compte. Renseigne une adresse mail valide et entre le code qui va t'être retourné par courrier dans A²Free).Le logiciel a²free est gratuit mais il faut être enregistré pour l'utiliser.
Ne le lance pas pour le moment (on l'utilisera en mode sans échec). A²free est spécialisé dans la recherche de troyens. Les troyens ne sont pas toujours décelés par les anti virus.

Redémarre le PC en mode sans échec. (Tapote le touche F8 au démarrage).

Relance HijackThis (à partir de son répertoire) et coche les lignes suivantes:
F2 - REG:system.ini: Shell=explorer.exe lsase.exe
O4 - HKLM\..\Run: [MicrosoftOEM] C:\WINDOWS\System32\smrss.exe
O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] systemse.exe
O4 - HKLM\..\Run: [Microsoft Services] lsrv.exe
O4 - HKLM\..\Run: [.msfupdate] C:\WINDOWS\System\msveup.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lsrv.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] systemse.exe
O4 - HKCU\..\Run: [msn] msnmsgr.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Network Client (nwclntmon) - Unknown owner - C:\WINDOWS\system32\netmon.exe

Clique sur Fix Checked.

Lance A²Free et supprime tout ce qu'il trouve.

Redémarre en mode normal et poste un nouveau log.

@+

[M@rie]

Normalement, après ça, il ne doit rester que les lignes 015 à virer.

Fais une sauvegarde de ta base de registre:
Démarrer/Executer/saisis regedit
Fichier/Exporter. Donne un nom à ta sauvegarde et enregistre la.

La solution est dans ce topic (2ème message de queruak):

Tu ouvres le bloc notes et tu copies les lignes suivantes:(entre les ============== et sans oublier la ligne vide à la fin)


==============================================
REGEDIT4

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix]
@="http://"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes]
"ftp"="ftp://"
"gopher"="gopher://"
"home"="http://"
"mosaic"="http://"
"www"="http://"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults]
@=""
"http"=dword:00000003
"https"=dword:00000003
"ftp"=dword:00000003
"file"=dword:00000003
"@ivt"=dword:00000001
"shell"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults]
@=""
"http"=dword:00000003
"https"=dword:00000003
"ftp"=dword:00000003
"file"=dword:00000003
"@ivt"=dword:00000001
"shell"=dword:00000000

============================================

Tu enregistres ce document, en lui donnant pour nom Fixreg.reg et en sélectionnant Tous les fichiers dans Type de fichiers

Ferme toutes les fenêtres d'Internet Explorer, puis double clique sur le fichier Fixreg.reg que tu viens de créer.
Il va te demander confirmation pour la fusion: tu confirmes.

Redémarre et poste un nouveau log HijackThis.

@+

[Nick]

Merci, bonne fee, pour tous ces conseils!
Je vais essayer de m'en sortir dans toutes ces manips compliquees, et des que c'est fait, je te dirai ce qu'il en est!
A tres bientot
Nick

[M@rie]

Bonjour

Tu vas y arriver.
@+

[Nick]

Voici le premier log, apres panda et a2.

Log HijackThis

Je vais maintenant essayer de toucher au registre!

[Nick]

Voici le log apres avoir recopie les donnees dans Fixreg.reg. Plusieurs dossiers sont apparus en pale dans C:.

Log HijackThis

En revanche, je n'ai pas tres bien compris ce que je devais faire comme dans le topic de queruak.
Dois-je telecharger Del_Domain.dif? Cocher des lignes dans Hijackthis? Effacer des trucs en mode sans echec? Ne rien faire du tout?
A bientot!
Nick

[Nick]

Je crois que j'ai compris le repport avec queruak!
J'ai coche et eliminer dans le rapport de Hijack
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
C'etait le seul element que j'avais en commun avec ce topic. J'espere que je n'ai pas fait une boulette...

[M@rie]

Aprés la premiére manip, il ne reste plus que Netmon à supprimer.

Pour ça
Fais clic droit sur Poste de travail/Gérer/double-clic sur Services et Applications/Double-clic sur Applications. Dans la liste des services, tu cherches le service qui s'appelle Network Client (nom exact). Double clique sur ce service. Vérifie que dans le champ chemin d'accés tu as C:\WINDOWS\system32\netmon.exe .
Si tu as bien cela, sous statut du service, tu cliques sur Arrêter.

Fais Ctrl+Alt+Suppr/onglet Processus et vérifie que netmon.exe n'est plus dans la liste des processus.

Tu relances HijackThis (toutes les fenêtres de Internet Explorer fermées) et tu coches:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O23 - Service: Network Client (nwclntmon) - Unknown owner - C:\WINDOWS\system32\netmon.exe

Tu cliques sur Fix Checked.

Tu affiches les fichiers cachés:
(Panneau de configuration/Options des dossiers/onglet Affichage/cocher Afficher les fichiers et dossiers cachés, décocher Masquer les extensions de fichiers connus, décocher Masquer les fichiers protégés du Système ).

Tu recherches le fichier netmon.exe dans C:/Windows/system32 et tu le supprimes.

Tu vides la corbeille.

Tu redémarres l'ordinateur et tu postes un nouveau log.


@+

[M@rie]

En revanche, je n'ai pas tres bien compris ce que je devais faire comme dans le topic de queruak.
Dois-je telecharger Del_Domain.dif? Cocher des lignes dans Hijackthis? Effacer des trucs en mode sans echec? Ne rien faire du tout?
A bientot!

Non, tu double-cliques sur le fichier reg que tu as créé et tu redémarres l'ordi. Ensuite tu postes un nouveau log.
@+

[Nick]

Alors voila, j'ai fait tout comme tu m'as dit, et voici le dernier log

Log HijackThis

D'autre part j'ai doubleclique sur le dossier Reg cree, et il a copie les donnees sur le registre. Seul petit couac, il m'a affiche le message suivant :
« Impossible d’importer C:\DOCUME~1\MESDOC~1\REGEDIT~1.REG : erreur d’acces au Registre »
Apres tout, ce n'est peut-etre pas grave...
J'espere que l'on voit le bout du probleme!
Nick

[M@rie]

Bonjour

On avance! Netmon est moribond et il ne reste plus que ces entrèes 015 à corriger.

Fais un copier-coller du contenu du fichier .reg dans le forum.
Tu cliques droit sur le fichier et tu choisis Modifier. Tu fais sélectionner tout puis copier-coller.

Si tu as eu cette erreur, c'est normal que les lignes 015 soient restées (Ton registre n'a pas été modifié car les fichier .reg que tu as fait ne lui plait pas).

On est presque au bout.
@+

[Nick]

Je ne suis pas sur d'avoir tout compris a tes instructions, mais en gros, ca fait plusieurs fois que j'essaie sans succes de recopier le contenu de Fixreg.reg dans cette fenetre. La quantite de texte (20 Mo) semble trop importante. Y a-t-il un autre moyen de regler le pbl?