Posez votre question Signaler

Lsass.exe avec 50-60% d'occupation du CPU

jac357 6Messages postés 2 juin 2004Date d'inscription - Dernière réponse le 10 juin 2004 à 16:03
Bonjour,
Après lecture des derniers messages concernant Lsass.exe, je ne retrouve pas mon problème.
J'ai le programme Lsass.exe qui me prends 50 à 60 % de temps CPU (gestionnaire de tâches).
j'ai un Duron 1.2 Ghz avec 256 mo de mem avec XP familiale.
J'ai essayé les principaux anti-virus qui m'ont trouvé quelques virus et ad-aware qui m'ont fait le ménage mais lsass.exe tourne toujours pour occuper le CPU à 100 %.

Ne sachant pas analyser le compte rendu de Hijacthis, le voici.
Si une bonne âme peut me donner quelques indications ...
( je fais tourner en ce moment avast).

Logfile of HijackThis v1.97.7
Scan saved at 19:44:29, on 02/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\DEWAILLY\Mes documents\a_load\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Créer un Favori de l'appareil mobile (HKLM)
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {40576C8E-093B-11D6-A73D-004005A6F551} (HttploadDlg Class) - http://download.oreka.com/httpload_cab/020220/httpload.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/fr/win/QuickTimeInstaller.exe
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6F6E3A5E-4A75-45F0-BDDE-21B6C4496E2B} (LAInstaller Class) - http://www.cantoche.com/download/LAinstall.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.167.21.128/activex/AxisCamControl.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37582.2942824074
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.communities.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-445535400000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://sc.communities.msn.com/controls/chat/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{30F86A3A-274F-47F8-9180-568ABBBC1DAD}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{59B0836B-A135-47C8-A5C6-1740D3B8612E}: NameServer = 213.228.0.23 212.27.32.176

Bonne lecture et merci pour vos réponses.
Lire la suite 

Lsass.exe avec 50-60% d'occupation du CPU »

13 réponses
Réponse
+0
moins plus
lepiaf 144Messages postés 14 mai 2004Date d'inscription 2 juin 2004 à 21:06
attention ne pas confondre lssas et issas !!!

http://www.clubic.com/t/logiciel/fiche/stinger/12261.html
http://www.ravantivirus.com/scan/

 Ajouter un commentaire
jac357- 2 juin 2004 à 21:22
Merci pour le renseignement, mais je suis sûr de Lsass.exe.
J'ai déjà essayer ravantivirus et le patch Symantec de sasser avec aucun résultat.

Merci pour cette précision.
Ajouter un commentaire
Réponse
+0
moins plus
lepiaf 144Messages postés 14 mai 2004Date d'inscription 2 juin 2004 à 21:48
lssas est un processus normal du PC sous xp et autres
il est donc normal que tu le trouves
si rav ne trouve rien d'anormal
et si tu ne constates aucun disfonctionnement du PC tout est OK


http://www.clubic.com/t/logiciel/fiche/stinger/12261.html
http://www.ravantivirus.com/scan/

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
jac357 6Messages postés 2 juin 2004Date d'inscription 2 juin 2004 à 21:56
D'accord, pour que lsas.soit un processus normal, mais qu'il sature mon CPU en permanence, NON.

l'ouverture d'une fenetre Internet Explorer sans contenu s'affiche après deux ou trois minutes ...!

Il y a autre chose qui utilise lsass.exe en permance.

Mais Quoi ? That is the QUESTION ... !

as-tu une autre idée ? Je tourne en rond depuis plus d'une dizaine de jours.

Merci à toi Lepiaf.

 Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
lepiaf 144Messages postés 14 mai 2004Date d'inscription 2 juin 2004 à 22:08
Le processus Lsass.exe (LSASS signifiant Local Security Authority Subsystem Service) est un processus système natif de Windows 2000/XP gérant les mécanismes de sécurité locale et d'authentification des utilisateurs via le service WinLogon. Il s'agit ainsi d'un serveur local d'authentification servant, en cas d'authentification réussie, à créer un jeton d'accès permettant de lancer la session.

http://www.clubic.com/t/logiciel/fiche/stinger/12261.html
http://www.ravantivirus.com/scan/

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Claude 4 juin 2004 à 19:39
Bonjour,
J'ai le même problème avec lsass.exe qui prend 98 % du CPU. Je vous parle pas de la lenteur du système et même parfois impossibilité de booter. Je suis certain d'avoir fait tous les up-dates de win2000PRO. Le scan des DD avec McAfee (à jour) n' a pas révéle la présence d'un virus ou d'une autre saleté. Parfois, il y a des périodes de rémission. Jusqu'ici je n'ai pas trouvé d'explication quant à la cause ou de solution à ce problème. Quelqu'un a-t'il une idée ?
Merci d'avance.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
bernie61 4 juin 2004 à 20:40
Salut Jac357
FIX de ces lignes
C:\WINDOWS\System32\MsPMSPSv.exe
car celui là serait un spy:
http://www.2-spyware.com/file-mspmspsv-exe.html

Celui là inconnu
C:\WINDOWS\system32\slserv.exe
alors va dans ce répertoire et cliq sur fichier pour connaitre propriétés si inconnu alors zipper ce fichier;
repasse un coup de CWShredder et spybot S&D
si toujours rien alors désinstalle gogle puis réinstalle le
A+

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
jac357 6Messages postés 2 juin 2004Date d'inscription 5 juin 2004 à 00:13
Bonsoir,
Merci à Lepiaf, Claude et Bernie61.
Voilà où j'en suis à ce jour.
Le problème est toujours là.
J'ai fais tourner Stinger ==> Rien,
Spybot m'a trouvé pas mal de chose dont un recalcitrant pour lequel j'ai dû redémarrer avec analyse de spybot. la sauvegarde du point de restauration se bloque dans spybot et en faisant Alt Tab, j'ai réussi après plusieurs tentatives à éradiquer le reste.
Bernie61 me dit de faire un Fix de MsPMSPSv.exe , je n'ai pas trouvé dans hijackthis la ligne ( bizarre dans le log on voit la ligne mais pas dans la fenêtre avec les cases à cocher ... si tu peux m'expliquer ce qu'il fallait faire!)
J'ai supprimé le fichier C:\WINDOWS\System32\MsPMSPSv.exe en tuant le proces dans le gestionnaire de tâche.

Voilà pour aujourd'hui.
il me reste à faire le ravantivirus et voir le slserv.

Merci à tous, bonne nuit et à demain pour la suite.

 Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
balltrap34 16272Messages postés 8 janvier 2004Date d'inscription 5 juin 2004 à 00:25
salut
alors action numero 1
telecharger ce fichier : a retelecharger chaque fois que vous vouler l utiliser

ftp://www.renonce.com/pub/renonce/Rimouveur.exe

Action numero 2 :o)
Demarrer en mode sans echec :
tapotter sur la touche F8 sans arret desque tu allume ton PC
et si ca ne marche pas utiliser la touche f5 a la place
Appliquer le fichier dans le mode sans echec
le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virus

Action numero 3
copier ici le contenu du fichier resulata.txt qui se trouve au redemarrage du pc

action numero 4
un petit http://www.ravantivirus.com/scan/ si le Rimouveur ne trouve pas le virus :o)

 Ajouter un commentaire - Site web
jac357- 8 juin 2004 à 02:12
Salut,
me revoici après un week-end chargé.
Merci pour les astuces.
J'applique le rimouveur qui me donne ceci:

Taches effectués sur le PC :

Elément(s) supprimé(s) :
Fichier C:\WINDOWS\*.tmp supprimé (Fichiers Temporaire, peut cacher des virus)
Fichier C:\WINDOWS\System32\slserv.exe supprimé (Virus Agobot/Gaobot)
Fichiers C:\WINDOWS\Downloaded Program Files\*.exe (Virus Dialers) :
C:\WINDOWS\Downloaded Program Files\LAInstaller.exe


Fichier(s) avec demande de suppression manuelle :
C:\
Windows-KB841720-ENU-V4.exe
pav.zip
C:\WINDOWS\System32\Wins\


Correctif Microsoft KB824146 n'est pas installé
Correctif Microsoft KB835732 déjà installé

J'ai supprimé les 2 demandes manuelles.
Voilà que faire?
(lsass.exe tourne toujours à 50-60 % CPU)
à bientôt
Ajouter un commentaire
Réponse
+0
moins plus
exo 9 juin 2004 à 03:11
Salut,
c'est la dernière version de sasser que tu as chopé.
Suit ce lien tout est expliqué avec les correctifs.

http://forum.hardware.fr/hardwarefr/WindowsSoftwareReseaux/sujet-165501-1.htm

Fred

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
marjl 9 juin 2004 à 08:44
salut,
Avec tasklist, tu peux voir les process. qui tournent avec lsass.exe. Tasklist à dl sur ce site,
http://www.computerhope.com/download/winxp.htm
Pour voir les process. : démarrer-->exécuter-->cmd-->Entrée-->taper tasklist/svc-->Entrée

 Ajouter un commentaire
jac357- 10 juin 2004 à 16:03
Bonjour,
Merci pour le tasklist, c'est intéressant mais pour analyser le compte rendu, peux-tu m'aider et me dire ce qui ne va pas ...!
tasklist:

Image Name PID Services
========================= ====== =============================================
System Idle Process 0 N/A
System 4 N/A
smss.exe 560 N/A
csrss.exe 616 N/A
winlogon.exe 640 N/A
services.exe 684 Eventlog, PlugPlay
lsass.exe 696 PolicyAgent, ProtectedStorage, SamSs
svchost.exe 868 RpcSs
svchost.exe 924 6to4, AudioSrv, Browser, CryptSvc, Dhcp,
ERSvc, EventSystem,
FastUserSwitchingCompatibility, helpsvc,
Ip6FwHlp, lanmanserver, lanmanworkstation,
Messenger, Netman, Nla, RasMan, Schedule,
seclogon, SENS, SharedAccess,
ShellHWDetection, srservice, TapiSrv,
TermService, Themes, TrkWks, uploadmgr,
W32Time, winmgmt, wuauserv, WZCSVC
svchost.exe 1076 Dnscache
svchost.exe 1100 LmHosts, SSDPSRV, upnphost, WebClient
spoolsv.exe 1244 Spooler
alg.exe 1428 ALG
aswUpdSv.exe 1468 aswUpdSv
ashServ.exe 1488 avast! Antivirus
mdm.exe 1524 MDM
svchost.exe 1612 stisvc
explorer.exe 208 N/A
ashDisp.exe 976 N/A
ashMaiSv.exe 1016 N/A
WCESCOMM.EXE 1048 N/A
msnmsgr.exe 972 N/A
taskmgr.exe 2528 N/A
dslmon.exe 3008 N/A
mbsa.exe 3776 N/A
OUTLOOK.EXE 2832 N/A
IEXPLORE.EXE 516 N/A
cmd.exe 2036 N/A
tasklist.exe 1828 N/A
wmiprvse.exe 2936 N/A

Voilà ce compte rendu ... ?
à +
Ajouter un commentaire
Posez votre question
Ce document intitulé « Lsass.exe avec 50-60% d'occupation du CPU » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?