lsass.exe

*Bonjour P@py.Net [MS-MVP]* ! Tu disais, dans le message
news:mn.1bd17d5b7667dce8.15765@m.fr

||| Cette erreur, est difficile à corriger sans passer par la réparation
||| d'XP! Je sais j'ai donné
|
|| As-tu conservé des notes sur l'affaire ? Quel était le message
d'erreur?

| Je mettais appuyé sur cette note, et en faisant la réparation le pb
est
| passé
| http://support.microsoft.com/Default.aspx?kbid24762|
| Ma question était plus pour lui dire, si SP2 pas installé, faites le,
| et s'il est installé pour faire la réparation il faut un CdROm XP SP2
| intégré

Titre de l'article: Message d'erreur :
Le point d'entrée de procédure est introuvable dans le fichier
Msvcrt.dll
Lsass.exe : Point d'entrée introuvable
http://support.microsoft.com/kb/324762

Remplacer msvcrt.dll serait une solution à une erreur LSASS, pourquoi
pas.
Il faut essayer. Merci de l'info.

Une discussion est en cours plus haut:
"windows/system32/config/system endommagé"
Date: Wed, 2 Nov 2005 09:27:08 -0800
Lien Google:
http://groups.google.com/groups?threadm•138ADF-E340-4F04-BA53-8213A3BC1986%40microsoft.com

Et la toute dernière :o=>
http://groups.google.com/groups?threadm’0B7D29-F70F-4795-91B0-2F2BB84D03D6%40microsoft.com
--
:o) Salutations, Jean-François
1- www.d2i.ch/pn/az
2- Joignez vos copies d'écrans avec http://cjoint.com
3- Outlook Express: Suivez vos fils avec [CTL+H]
4- OE-QuoteFix: mettez "news:" devant le Message-ID; merci!

*Bonjour Oscar* ! Tu disais, dans le message
news:dkd9bm$3t1$1@aphrodite.grec.isp.9tel.net

| Pour vous donner des nouvelles :
| chkdsk /R n' rien donné.
|
| J'ai donc démonté le disque et l'ai installé en esclave sur un autre
PC.
| J'ai passé des antivirus dessus (AVG, les antivirus de symantec pour
| retirer SASSER et d'autres dont j'ai oublié le nom). Aucun virus
| découvert.
|
| Si j'ai bien compris le travail de lsass.exe, il agit sur le mot de
| passe de session. Peut-être qu'en allant dans la base de registre et
en
| réinitialisant le mot de passe... Mais je ne sais pas ouvrir une base
de
| registre d'un système d'exploitation annexe.
|
| Je vais donc reformater et réinstaller. Toutefois, je serais tout de
meme
| très interessé si quelqu'un savait ce que peut-être cette panne.
| Merci.
| Amicalement à tous.
| Oscar

Si tu as le temps, nous serions très nombreux à être intéressés des
suites de l'affaire. Si tu formates, l'aventure s'arrête une fois de
plus sans solution. Et ce sera tant pis pour les autres qui auront cette
mésaventure à leur tour. Je t'invite à lire le fil suivant d'une
personne qui subit les mêmes ennuis avec LSASS:
http://groups.google.com/groups?threadm’0B7D29-F70F-4795-91B0-2F2BB84D03D6%40microsoft.com

Ce que tu dis recoupe les propos de Lucie, à savoir que le mot de passe
Admin a été modifié. J'ai indiqué à Lucie comment réinitialiser le mot
de passe, et comment supprimer la demande de mot de passe par la Console
de récupération.

Voici comment on édite un registre depuis un autre système:
http://groups.google.com/groups?as_umsgidêuuQN23EHA.2336%40TK2MSFTNGP15.phx.gbl
==>
Dans REGEDIT, il suffit de :

1) Sélectionner la branche
- HKLM si on veut charger une ruche
Software
System
SAM
Security
- HKU si on veut charger une ruche
NTUSER.DAT (compte utilisateur)

2) Menu Fichier/Charger la ruche
Sélectionner le fichier ruche désiré
Ces fichiers se trouvent dans :
- x:windowssystem32config
(Software, System, SAM, Security)
- x:documenst and settings<duschmurz>
(NTUSER.DAT)

3) Donner un nom arbitraire
(p.ex. "Ancien-System", ou "Homer-Old")

4) Il apparait alors une nouvelle branche
p.ex.
HKLMAncien-System
HKUHomer-Old

5) Ne pas oublier de "décharger" la ruche en question
quand on a fini ...

Merci JCB ! ! !
--
1- www.d2i.ch/pn/az :o) Salutations, Jean-François
2- Joignez vos copies d'écrans avec http://cjoint.com
3- Outlook Express: Suivez vos fils avec [CTL+H]
4- OE-QuoteFix: mettez "NEWS:" devant le Message-ID==> MERCI !

le remplacement du fichier msvcrt.dll n'a malheureusement pas fonctionné. En
fait j'ai remplacé, mais j'ai toujours le meme symptome :
bureau noir, pointeur et Clavier OK, message d'erreur : erreur
d'initialisation de lsass.exe, erreur à 0xc000005, faire ok pour arreter le
processus".
Tous les redémarrages proposés aboutissent à la même indication. En fait, il
semble que le PC boot normalement, tente quelque chose et redémarre tout de
go pour arriver au message idiot.
Seule la console de récup me donne accès à la lecture du disque et me permet
de remplacer les fichiers de mon choix.


J'ai essayé de suivre les indications pour aller dans le registre, mais je
n'ai pas su faire. En fait je n'ai pas retrouvé la clé à l'endroit indiqué.
Et comme je ne veux pas casser le registre qui fonctionne, je n'ai pas été
plus loin.
Comme Pénéloppe; je remets 100 fois mon travail sur le métier, démontage,
remontage de disque, démarrage et redémarrage...Je n'ai toujours pas
reformaté, car j'aimerais bien par curiosité arriver à quelque chose. (Ce
n'ai pas que j'ai beaucoup de temps, mais j'aime bien comprendre).
Si quelqu'un peut me donner plus d'explication sur la possiblité d'aller
examiner un registre annexe, je suis preneur.
Voila ce que j'ai tenté de faire :

==>

Dans REGEDIT, il suffit de :

1) Sélectionner la branche
- HKLM si on veut charger une ruche
Software
System
SAM
Security
- HKU si on veut charger une ruche
NTUSER.DAT (compte utilisateur)

Ces 2 branches n'existaient pas dans mon registre, est-ce que je dois les
créer ?

2) Menu Fichier/Charger la ruche
Sélectionner le fichier ruche désiré
Ces fichiers se trouvent dans :
- x:windowssystem32config
(Software, System, SAM, Security)
- x:documenst and settings<duschmurz>
(NTUSER.DAT)

Pas trouvé ces 2 fichiers à l'emplacement indiqué ni nulle part.

Donc je n'ai pas fait la suite.

3) Donner un nom arbitraire
(p.ex. "Ancien-System", ou "Homer-Old")

4) Il apparait alors une nouvelle branche
p.ex.
HKLMAncien-System
HKUHomer-Old

5) Ne pas oublier de "décharger" la ruche en question
quand on a fini ...
Pour info, décharger veut-il dire supprimer ?

Merci.
Oscar

oublié de vous dire

j'ai aussi lancé un démarrage avec journal de boot, si cela vous interesse,
je vous dirai ce qu'il y a dedans. Je ne l'ai pas encore lu, je verrai ce
week end. (faut de nouveau démonter le disque pour le lire ailleurs...

*Bonjour oups* ! Tu disais, dans le message
news:uYCqJDT4FHA.3876@TK2MSFTNGP09.phx.gbl

| le remplacement du fichier msvcrt.dll n'a malheureusement pas
| fonctionné. En fait j'ai remplacé, mais j'ai toujours le meme symptome
:
| bureau noir, pointeur et Clavier OK, message d'erreur : erreur
| d'initialisation de lsass.exe, erreur à 0xc000005, faire ok pour
arreter
| le processus".
| Tous les redémarrages proposés aboutissent à la même indication. En
| fait, il semble que le PC boot normalement, tente quelque chose et
| redémarre tout de go pour arriver au message idiot.
| Seule la console de récup me donne accès à la lecture du disque et me
| permet de remplacer les fichiers de mon choix.
|
|
| J'ai essayé de suivre les indications pour aller dans le registre,
mais
| je n'ai pas su faire. En fait je n'ai pas retrouvé la clé à l'endroit
| indiqué. Et comme je ne veux pas casser le registre qui fonctionne, je
| n'ai pas été plus loin.
| Comme Pénéloppe; je remets 100 fois mon travail sur le métier,
démontage,
| remontage de disque, démarrage et redémarrage...Je n'ai toujours pas
| reformaté, car j'aimerais bien par curiosité arriver à quelque chose.
(Ce
| n'ai pas que j'ai beaucoup de temps, mais j'aime bien comprendre).
| Si quelqu'un peut me donner plus d'explication sur la possiblité
d'aller
| examiner un registre annexe, je suis preneur.
| Voila ce que j'ai tenté de faire :
|
| ==>
|| Dans REGEDIT, il suffit de :
||
|| 1) Sélectionner la branche
|| - HKLM si on veut charger une ruche
|| Software
|| System
|| SAM
|| Security
|| - HKU si on veut charger une ruche
|| NTUSER.DAT (compte utilisateur)
|
| Ces 2 branches n'existaient pas dans mon registre, est-ce que je dois
les
| créer ?

Mais si elles existent. JCB note en abrégé:
HKLM = HKEY_LOCAL_MACHINE
HKU = HKEY_USERS




|| 2) Menu Fichier/Charger la ruche
|| Sélectionner le fichier ruche désiré
|| Ces fichiers se trouvent dans :
|| - x:windowssystem32config
|| (Software, System, SAM, Security)
|| - x:documenst and settings<duschmurz>
|| (NTUSER.DAT)
||
| Pas trouvé ces 2 fichiers à l'emplacement indiqué ni nulle part.
| Donc je n'ai pas fait la suite.

Sur ton PC, avec Windows installé sur le disque C, tu as obligatoirement
ces fichiers (appelés ruches du registre):
C:WINDOWSsystem32configSAM
C:WINDOWSsystem32configSecurity
C:WINDOWSsystem32configSoftware
C:WINDOWSsystem32configSystem

Si Windows n'est pas sur C, corriger en fonction, ou utiliser l'adresse:
%SystemRoot%susyem32config


Sur le disque à problème, qui doit se trouver avec la lettre E,
corriger:
E:WINDOWSsystem32configSAM
E:WINDOWSsystem32configSecurity
E:WINDOWSsystem32configSoftware
E:WINDOWSsystem32configSystem



|| 3) Donner un nom arbitraire
|| (p.ex. "Ancien-System", ou "Homer-Old")

Quel nom je donne quand Regedit me demande le nom de la clé ?
http://groups.google.fr/group/microsoft.public.fr.windowsxp/browse_frm/thread/9fa07d8c8ec597f0/5f703b0286216485#5f703b0286216485



|| 4) Il apparait alors une nouvelle branche
|| p.ex.
|| HKLMAncien-System
|| HKUHomer-Old
||
|| 5) Ne pas oublier de "décharger" la ruche en question
|| quand on a fini ...
| Pour info, décharger veut-il dire supprimer ?

Non, heureusement. C'est simplement pour sauvegarder ses modifs. Regedit
sauve la ruche et l'abandonne pour revenir au fonctionnement en local.
Habituellement les modifs sont instantanées.

Quel est le risque à ne pas Décharger une ruche ?
http://groups.google.com/group/microsoft.public.fr.windowsxp/browse_frm/thread/6a128021174dcc2d/0c79dae691027c20#0c79dae691027c20
(de ne pas sauvegarder ses modifs)

Merci de t'accrocher. Comme tu vois dans les exemples donnés, les gens
finissent par abandonner.
Tu aurais moins de problèmes de montages/démontages du disque dur en
utilisant un boitier externe USB. Ça rend bien service, et ça sert pour
faire de la sauvegarde, transporter ses données, dépanner...
Bon courage en tout cas, et merci de ta patience.
--
:o) Salutations, Jean-François
1- www.d2i.ch/pn/az
2- Joignez vos copies d'écrans avec http://cjoint.com
3- Outlook Express: Suivez vos fils avec [CTL+H]
4- OE-QuoteFix: mettez "NEWS:" devant le Message-ID; *merci* !

"JF" <JF@-> a écrit dans le message de news:
OC$W39U4FHA.2444@TK2MSFTNGP10.phx.gbl...

*Bonjour oups* ! Tu disais, dans le message
news:uYCqJDT4FHA.3876@TK2MSFTNGP09.phx.gbl

|
| ==>
|| Dans REGEDIT, il suffit de :
||
|| 1) Sélectionner la branche
|| - HKLM si on veut charger une ruche
|| Software
|| System
|| SAM
|| Security
|| - HKU si on veut charger une ruche
|| NTUSER.DAT (compte utilisateur)
|
| Ces 2 branches n'existaient pas dans mon registre, est-ce que je dois
les
| créer ?

Mais si elles existent. JCB note en abrégé:
HKLM = HKEY_LOCAL_MACHINE
HKU = HKEY_USERS

ok, j'avais compris qu'il fallait que je trouve la clé
hklm/software/system/sam/security

le reste me devient plus clair.

|| 2) Menu Fichier/Charger la ruche
|| Sélectionner le fichier ruche désiré
|| Ces fichiers se trouvent dans :
|| - x:windowssystem32config
|| (Software, System, SAM, Security)
|| - x:documenst and settings<duschmurz>
|| (NTUSER.DAT)
||
| Pas trouvé ces 2 fichiers à l'emplacement indiqué ni nulle part.
| Donc je n'ai pas fait la suite.

Sur ton PC, avec Windows installé sur le disque C, tu as obligatoirement
ces fichiers (appelés ruches du registre):
C:WINDOWSsystem32configSAM
C:WINDOWSsystem32configSecurity
C:WINDOWSsystem32configSoftware
C:WINDOWSsystem32configSystem

Si Windows n'est pas sur C, corriger en fonction, ou utiliser l'adresse:
%SystemRoot%susyem32config


Sur le disque à problème, qui doit se trouver avec la lettre E,
corriger:
E:WINDOWSsystem32configSAM
E:WINDOWSsystem32configSecurity
E:WINDOWSsystem32configSoftware
E:WINDOWSsystem32configSystem



|| 3) Donner un nom arbitraire
|| (p.ex. "Ancien-System", ou "Homer-Old")

Quel nom je donne quand Regedit me demande le nom de la clé ?

http://groups.google.fr/group/microsoft.public.fr.windowsxp/browse_frm/threa

d/9fa07d8c8ec597f0/5f703b0286216485#5f703b0286216485

|| 4) Il apparait alors une nouvelle branche
|| p.ex.
|| HKLMAncien-System
|| HKUHomer-Old
||
|| 5) Ne pas oublier de "décharger" la ruche en question
|| quand on a fini ...
| Pour info, décharger veut-il dire supprimer ?

Non, heureusement. C'est simplement pour sauvegarder ses modifs. Regedit
sauve la ruche et l'abandonne pour revenir au fonctionnement en local.
Habituellement les modifs sont instantanées.

Quel est le risque à ne pas Décharger une ruche ?

http://groups.google.com/group/microsoft.public.fr.windowsxp/browse_frm/thre

ad/6a128021174dcc2d/0c79dae691027c20#0c79dae691027c20

(de ne pas sauvegarder ses modifs)

Merci de t'accrocher. Comme tu vois dans les exemples donnés, les gens
finissent par abandonner.
Tu aurais moins de problèmes de montages/démontages du disque dur en
utilisant un boitier externe USB. Ça rend bien service, et ça sert pour
faire de la sauvegarde, transporter ses données, dépanner...
Oui sur l'autre machine c'est OK, c'est juste sur la première qu'il faut que

je démonte. j'avais pas prévu une panne auusi pénible !!

Bon courage en tout cas, et merci de ta patience.

C'est moi qui te remercie de ton aide. J'irai à la pioche et je rendrai
compte.

Bon week end.
Oscar

*HELLO OSCAR* ! Tu disais, dans le message
news:ei0QRIV4FHA.3556@TK2MSFTNGP10.phx.gbl

| J'irai à la pioche et je rendrai compte.
Ton courage nous rendra service à tous.
Bonnes pioches Oscar.
--
:o) Salutations, Jean-François
1- www.d2i.ch/pn/az
2- Joignez vos copies d'écrans avec http://cjoint.com
3- Outlook Express: Suivez vos fils avec [CTL+H]
4- OE-QuoteFix: mettez "NEWS:" devant le Message-ID; *merci* !

Bon quelques nouvelles, mais je n'ai pas avancé :
le fichier de boot ne m'apporte pas grand chose. je pensais y trouver une
indication sur lsass, mais il n'y a rien. juste quelques pilotes qui ne
chargent pas :
NDproxy ; lbrtfdc, sfloppy, i2omgmt, changer, pcidump et cdaudio.

avec listsvc, dans la console de recup, j'ai regardé les services, il n'y a
rien qui concerne lsass.exe

j'ai essayé de regarder les journaux d'évènement pour voir s'il y avait une
indication concernant la dernière utilisation de mon systeme. 2 constats :
sysevent.evt et appevent.evt sont datés du 30 octobre, soit 2 jours avant la
panne....
Je n'ai pas pu les lire car ils seraient corrompus.

Si cela vous donne des idées, n'hésitez pas.

si je pouvais au moins comprendre ce qui a pu provoquer la panne pour que
cela ne m'arrive pas de nouveau.. Y'a-t-il un autre endroit où je pourrai
regarder ?

En ce qui concerne la base de registre, en fait je n'ai jamais mis de mot de
passe à mes sessions, meme celle d'administrateur. (c'est d'ailleurs
probablement pour ça que j'arrive à aller sur la console de recup) qu'est-ce
que je devrais y trouver ou y mettre pour avoir une chance de changer
positivement les choses ?
J'ai trouvé un back up du fichier SAM dans mon répertoire config, j'ai donc
remplacé le fichier, cela n'a rien donné.

bonne soirée à tous
oscar



"JF" <JF@-> wrote in message news:eeWKcRY4FHA.820@tk2msftngp13.phx.gbl...

*HELLO OSCAR* ! Tu disais, dans le message
news:ei0QRIV4FHA.3556@TK2MSFTNGP10.phx.gbl

| J'irai à la pioche et je rendrai compte.
Ton courage nous rendra service à tous.
Bonnes pioches Oscar.
--
:o) Salutations, Jean-François
1- www.d2i.ch/pn/az
2- Joignez vos copies d'écrans avec http://cjoint.com
3- Outlook Express: Suivez vos fils avec [CTL+H]
4- OE-QuoteFix: mettez "NEWS:" devant le Message-ID; *merci* !

*Bonjour oups* ! Tu disais, dans le message
news:eiUNVki4FHA.632@TK2MSFTNGP10.phx.gbl

| Bon quelques nouvelles, mais je n'ai pas avancé :
| le fichier de boot ne m'apporte pas grand chose. je pensais y trouver
une
| indication sur lsass, mais il n'y a rien. juste quelques pilotes qui
ne
| chargent pas :
| NDproxy ; lbrtfdc, sfloppy, i2omgmt, changer, pcidump et cdaudio.
|
| avec listsvc, dans la console de recup, j'ai regardé les services, il
| n'y a rien qui concerne lsass.exe
|
| j'ai essayé de regarder les journaux d'évènement pour voir s'il y
avait
| une indication concernant la dernière utilisation de mon systeme. 2
| constats : sysevent.evt et appevent.evt sont datés du 30 octobre, soit
2
| jours avant la panne....
| Je n'ai pas pu les lire car ils seraient corrompus.
|
| Si cela vous donne des idées, n'hésitez pas.

Je n'ai pas bien suivi entre le début où tu ne démarrais pas, et
maintenant où tu arrives à obtenir un journal de boot
(C:WINDOWSntbtlog.txt) et à utiliser l'observateur d'évènements.
Je suppose que tu démarres en mode sans échec. Dans ton premier message,
tu disais: "j'obtiens un écran noir. quelque soit le mode de démarrage
choisi"

Pour cette histoire de journaux corrompus, tu peux t'inspirer de ce qui
suit:

Les logs de l'Observateur d'évènements
www.baudelet.net/win06.htm
La partie Applications est endommagée/ne s'ouvre plus
- Arrêter le Service
- Supprimer %systemroot%system32configAppEvent.Evt
Nota: le service Journal des évènements ne peut pas être arrêté
directement. Il faut le désactiver, puis redémarrer le PC.
Il faudra le remettre sur Auto et le redémarrer après la manip.
PROCÉDURE NORMALE ==>
Sélectionner le journal à réinitialiser.
Menu Action>"Effacer tous les événements"
Une boite s'ouvre et propose de faire une sauvegarde de ce journal.
Répondre Oui ou non.
Cette procédure marche également si le journal est corrompu.






| si je pouvais au moins comprendre ce qui a pu provoquer la panne pour
que
| cela ne m'arrive pas de nouveau.. Y'a-t-il un autre endroit où je
pourrai
| regarder ?

Donc tu n'es plus en panne. C'est toi qui sais ce que tu as fait, quels
fichiers tu as remplacé..




| En ce qui concerne la base de registre, en fait je n'ai jamais mis de
| mot de passe à mes sessions, meme celle d'administrateur. (c'est
| d'ailleurs probablement pour ça que j'arrive à aller sur la console de
| recup)

Tu étais parti dans une interprétation de l'action d'un virus sur le mot
de passe.
La console demande un mot de passe, s'il est vide appuyer sur Entrée.
S'il y a un mot de passe, il suffit de le rentrer. On peut modifier le
Registre pour être sûr de pouvoir utiliser la CDR même s'il y a un mot
de passe. Voir chez JCB.


| qu'est-ce que je devrais y trouver ou y mettre pour avoir une
| chance de changer positivement les choses ?

Déjà commencer par l'installer sur le disque dur.
www.d2i.ch/pn/az/c.html#c016
www.bellamyjc.org/fr/windowsxp2003.html#consolerecup
www.bellamyjc.org/fr/windowsxp2003.html#consolesanspwd
Voir sur le site de JCB comment on supprime la demande de mot de passe
et activer la commande SET. Noter les commandes à taper pour avoir accès
aux autres dossiers etc..
On peut en faire un batch dans Windows qu'on appellera par la commande
batch fichier

Les commandes SET à faire sont:
SET AllowAllPaths = TRUE
SET AllowRemovableMedia = TRUE
SET AllowWildCards = TRUE
SET NoCopyPrompt = FALSE

Noter l'espace de part et d'autre du signe =.

| J'ai trouvé un back up du fichier SAM dans mon répertoire config, j'ai
| donc remplacé le fichier, cela n'a rien donné.

Si ton système fonctionne, tu peux revenir à une restauration, ou
réparer les fichiers systèmes avec la commande SFC /SCANNOW (attention:
efface les points de restauration ou les rend inutilisables), faire une
réparation générale ou une installation d'un second exemplaire de
Windows en // avec le premier.
Tu peux essayer également d'installer ou de réinstaller le SP2.

Sur le site de Panthère Noire il y a une procédure pour revenir au
registre de la première installation. C'est utile pour un système qui ne
démarre plus à cause d'un problème de registre. Une fois redémarré, on
remet en place un registre plus récent en se servant des points de
restauration.
http://a.vouillon.free.fr/faq-winxp.htm#111
www.d2i.ch/pn/az/symb.html#symb003

Si ton système ne démarre plus, le mieux est de faire une
réparation/réinstallation:
http://support.microsoft.com/?id15341
www.d2i.ch/pn/az/r.html#r016
http://a.vouillon.online.fr/faq-winxp.htm#84
www.bellamyjc.org/fr/windows2000.html#repair

Toutes les mises à jour seront à refaire, et attention s'il y a des
fichiers cryptés (XPPRO).
Avec la CDR on peut tenter de remplacer des fichiers systèmes, mais
lesquels ? Il semble que tu aies fait ce qui semblait évident. Après ...

Continue à nous tenir au courant. Pour ma part je ne vais pas pouvoir
continuer, je dois partir. Retour dans une semaine. Bon courage et bonne
chance.
--
:o) Salutations, Jean-François
1- www.d2i.ch/pn/az
2- Joignez vos copies d'écrans avec http://cjoint.com
3- Outlook Express: Suivez vos fils avec [CTL+H]
4- OE-QuoteFix: mettez "NEWS:" devant le Message-ID; *merci* !

"JF" <JF@-> wrote in message news:OchPBxk4FHA.3880@TK2MSFTNGP12.phx.gbl...

*Bonjour oups* ! Tu disais, dans le message
news:eiUNVki4FHA.632@TK2MSFTNGP10.phx.gbl

| Bon quelques nouvelles, mais je n'ai pas avancé :
| le fichier de boot ne m'apporte pas grand chose. je pensais y trouver
une
| indication sur lsass, mais il n'y a rien. juste quelques pilotes qui
ne
| chargent pas :
| NDproxy ; lbrtfdc, sfloppy, i2omgmt, changer, pcidump et cdaudio.
|
| avec listsvc, dans la console de recup, j'ai regardé les services, il
| n'y a rien qui concerne lsass.exe
|
| j'ai essayé de regarder les journaux d'évènement pour voir s'il y
avait
| une indication concernant la dernière utilisation de mon systeme. 2
| constats : sysevent.evt et appevent.evt sont datés du 30 octobre, soit
2
| jours avant la panne....
| Je n'ai pas pu les lire car ils seraient corrompus.
|
| Si cela vous donne des idées, n'hésitez pas.

Je n'ai pas bien suivi entre le début où tu ne démarrais pas, et
maintenant où tu arrives à obtenir un journal de boot
(C:WINDOWSntbtlog.txt) et à utiliser l'observateur d'évènements.
Je suppose que tu démarres en mode sans échec. Dans ton premier message,
tu disais: "j'obtiens un écran noir. quelque soit le mode de démarrage
choisi"

non mon symptome est toujours le meme : message d'erreur : erreur
d'initialisation de lsass.exe, erreur à 0xc000005, faire ok pour arreter le
processus". et ensuite c'est bureau noir, pointeur et Clavier OK

la seule chose quej'arrive à faire, c'est aller sur la console de récup et
lencer les diverses fonctions proposées. Par ailleurs, j'ai pu parccrourrir
le disque en le mettant en esclave sur une autre machine. C'est pourquoi
j'ai toutes ces infos. Pour obtebir le journal de boot, j'ai lancer la
procédure, je suis bien sur arrivé au message d'erreur indiqué plus haut, et
ensuite en lançant la console de récup, j'ai pu lire ce journal avec la
commande "type".

Pour cette histoire de journaux corrompus, tu peux t'inspirer de ce qui
suit:

Non, car je ne démarre pas, meme en sans échec. J'ai essayé de lire ces
journaux avec u autre système d'exploitation, en mettant le DD en escalve,
et c'est ce nouveau système qui m'a dit que les journaux étaient corrompus.
Je ne veux pas le vider pour l'instant. je l'ai mis de coté. Mais l'idée
était de voir les infos qu'il me donnait. je ne pense pas que si ces
journaux sont corrompûs, cela empèche un démarrage.

Les logs de l'Observateur d'évènements
www.baudelet.net/win06.htm
La partie Applications est endommagée/ne s'ouvre plus
- Arrêter le Service
- Supprimer %systemroot%system32configAppEvent.Evt
Nota: le service Journal des évènements ne peut pas être arrêté
directement. Il faut le désactiver, puis redémarrer le PC.
Il faudra le remettre sur Auto et le redémarrer après la manip.
PROCÉDURE NORMALE ==>
Sélectionner le journal à réinitialiser.
Menu Action>"Effacer tous les événements"
Une boite s'ouvre et propose de faire une sauvegarde de ce journal.
Répondre Oui ou non.
Cette procédure marche également si le journal est corrompu.


| si je pouvais au moins comprendre ce qui a pu provoquer la panne pour
que
| cela ne m'arrive pas de nouveau.. Y'a-t-il un autre endroit où je
pourrai
| regarder ?

Donc tu n'es plus en panne. C'est toi qui sais ce que tu as fait, quels
fichiers tu as remplacé..

Si je suis en panne. Je ne sais pas d'ou cela vient et je ne trouve rien sur
"lsass.exe" que d'ailleurs j'ai remplacé...
On dirait que le système ne trouve pas le bureau ou explorer, je ne sais
pas. Le journal de boot ne parle que des pilotes qui se chargent ou non.
Existe-t-il un fichier qui donne les applications qui se lancent au fur et à
mesure du démarrage ? la commande "listsrv" dans la console de récup, donne
la liste des services, mais en fait je ne sais pas quels sont ceux qui
fonctionnent ou pas. je ne sais que voir ceux qui devraient fonctionner.
Comme je peux sans problèmes explorer le disque, trouver ce fichier
m'arrangerait peut-être ?

| En ce qui concerne la base de registre, en fait je n'ai jamais mis de
| mot de passe à mes sessions, meme celle d'administrateur. (c'est
| d'ailleurs probablement pour ça que j'arrive à aller sur la console de
| recup)

Tu étais parti dans une interprétation de l'action d'un virus sur le mot
de passe.
La console demande un mot de passe, s'il est vide appuyer sur Entrée.
S'il y a un mot de passe, il suffit de le rentrer. On peut modifier le
Registre pour être sûr de pouvoir utiliser la CDR même s'il y a un mot
de passe. Voir chez JCB.

oui, à cause du message "lsassexe ne charge pas" et que c'est un service qui
gère les mots de passe et que quand ce service ne fonctionne pas c'est qu'il
est corrompu ou virussé.
http://www.commentcamarche.net/processus/lsass-exe.php3
mais j'ai, passé le disque à l'anti virus (en esclave) et je n'ai rien
trouvé.

Sur le site de Panthère Noire il y a une procédure pour revenir au
registre de la première installation. C'est utile pour un système qui ne
démarre plus à cause d'un problème de registre. Une fois redémarré, on
remet en place un registre plus récent en se servant des points de
restauration.
http://a.vouillon.free.fr/faq-winxp.htm#111
www.d2i.ch/pn/az/symb.html#symb003

J'ai tenté, cela n'a hélas rien donné.

Si ton système ne démarre plus, le mieux est de faire une
réparation/réinstallation:

oui ça je le sais depuis le début et ce n'est pas un problème. Mais c'est
trop facile. J'aime bien réparer plutot que de "jeter". Toutes les
maintenances n'ont que ce mot à la bouche, dès que cel ne fonctionne plus on
reformate et on réinstalle. C'est tout de meme mieux de réparer.

Continue à nous tenir au courant. Pour ma part je ne vais pas pouvoir
continuer, je dois partir. Retour dans une semaine. Bon courage et bonne
chance.

bonne vacances reposes-toi bien et à bientot peut-être.
Oscar