京剧赤壁舌战群儒:LSASS.exe进程的问题,着急!!

来源:百度文库 编辑:高考问答 时间:2024/05/09 07:18:10
我的计算机“任务管理器”的进程中,有一个LSASS.exe(用户名,li),还有一个LSASS.EXE(用户名,SYSTM),请一定注意进程的拼写,不要看错了,再解答!!,从网上看些资料好像是病毒(盗号病毒),但是我格式了C盘,后还有LSASS.exe(用户名,li)这个进程,我不知道是不是病毒?这个病毒的危害大不?好像暂时也没有对我的文件破坏,但是,我怕到一定的时间爆发,没办法呀?另外,因为,我实在不想重装,太麻烦了,但是又删除不掉。我从网上看到一些资料,按照下面的步骤:1 先结束进程(用NTSD),但是结束不掉,2删除WINDOWS下的东西,3,修改注册表。。。。但是好像效果不佳。。。。。。。。。。好像没有专杀软件,安全模式也杀毒了,用卡巴斯基在开机时能检测出来,但是杀不掉,。。。。现在,我实在没招了,,,,,我已经搞了4天了,请求大家帮忙,感激不尽!!!!
进程的名字,准确无误。我采用了江西理工的做法具体是:
手工删除:
一、 结束病毒进程
二、 删除病毒文件
三、删除注册表中的其他垃圾信息

我的D盘中,生成了仅仅一个autorun文件,d盘双击,击不开(以前可以),我想用江西理工的做法,可是问题是LSASS.exe中止不了。机子,好像什么问题都没有,我怕到一定时间,病毒发作,盗号哦就比较麻烦,请大家看清楚问题回答,不胜感激。另外,我看了10几个机子的任务管理器,都只有1个LSASS(不管大小些把,这是正常的),但是我得是2个,呜呜呜晕倒。
补充:启动时,卡巴斯机启动扫描内存和进程立刻发现LSASS.EXE进程有病毒,病毒名叫Trojan-Spy.Win32.VB.lu

这是这个病毒的知识:
本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。
有些病毒就是利用这个进程的重要性,冒充它来迷惑我们的,但你也要看看清楚这个大写的进程是第一字母,到底是“l”还是“I”还是数字“1”,这3个在粗一看是差不多的。
你现在可以这样来办,
1.去买一本最新期的《电脑迷》或《网友世界》的杂志,它们都有一张带有杀毒和自启动功能的随刊光盘。
2.在BIOS里设置为光驱为第一启动设备。(电脑启动时按DELETE键可进入)
如BIOS已经设置为光驱启动,就会进入急救部分的主界面。如果没有,进入就需要在启动时按Del键进入BIOS。
PhoenixBIOS:Boot→光标选择至CD-ROM Drive→按小键盘的+号使CD-ROM Drive升至第一位。
Phoenix-AwardBIOS: Advanced BIOS Setup→First Boot Device设置为CD-ROM。
AMIBIOS:Advanced BIOS Features→Boot Device Select→1st 改为CD-ROM。
按F10保存设置,重新启动计算机。
3.在提示从CD启动时按任意键,启动维护光盘。
4.在进入的界面里选择杀毒,并对电脑进行全面的清除:用鼠标选择“江民杀毒软件DOS杀毒伴侣”
使用鼠标或数字键1后点回车,运行江民DOS杀毒伴侣。每月该杂志社都会在封盘前升级最新的病毒库。
本软件可以在DOS下查杀病毒。使用鼠标或ALT+字母可以对杀毒软件扫描文件类型进行具体设置。按A、C、D等选择扫描的硬盘。
注意,如果系统引导文件等重要文件感染病毒清除后,可能会因为文件的损坏而无法启动系统。这是因为病毒损坏了Windows系统的文件,需要重新安装系统或修复系统才可以。本光盘没有系统安装功能,请使用您自己的系统安装盘安装或修复系统。
5.如果真是有病毒的话,杀完毒后重启应该能正常了。

lsass: 本地安全权限服务

描 述: 这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。

介 绍:这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。

今天一种名为avserver.exe的病毒开始在互联网上流传,传播方式类似于blast病毒,该病毒利用微软windows漏洞传播,请各位及时搭好windows补丁

中病毒后症状

和RPC的那种差不多 连着网一开机过一会就出现一个对话框(和XP里面强行关掉某个程序后出现的那种对话框差不多)说 LSA Shell(Export Version)出现问题,叫我选择调试/发送错误报告/不发送错误报告
不管选哪个一会就出现一个类似RPC一分钟关机的对话框:说C:\Windows\System32\lsass.exe引起错误需要关机,状态码是-1073741819 ,然后重启的时候如果仍然连着网线,登陆XP时还说我密码错误!!断网就可以登陆了~~

进程里面有xxxxx_up.exe ,lsass.exe ,avserver.exe 不停的往外建立tcp连接,使得打开ftp的时候说
no buffer space available
病毒会在windows\system32\下建立一个名为XXXXX_UP.exe文件,在windows目录下建立avserver.exe

中毒后暂时的解决办法:

1.解除关机倒计时窗口:调整系统时间为5.1之前的时间,如4.1号;在运行(run)里边运行shutdown -a

2.在系统进程中关闭有xxxx_up.exe avserver.exe进程,拔掉网线,安装网络防火墙或者打开windows自带的防火墙,关闭445端口的通信

3.重启到安全模式,手动删除windows\system32\下的一个名为XXXXX_UP.exe文件,在windows目录下的avserver.exe,以及启动项中的键值

4.安装系统补丁 ,还可以使用Windows自动更新

我也一样但我搞了半个月了也无言~~~最后拿去重装了还是一样的我靠~~~现在我又面临新的问题了就是不关打开什么打开的时候总是会出
---Windows找不到文件,XXXXXXXXXXXXXXXXXXXXXXXXXXXX.请确定文件名字是否正,再试一次.要搜索文件,请单击「开始」按纽,然后单击"搜索"---
就这样55555555555555555555555555大哥有好的办法无告诉下谢谢
PS:我昨天刚刚用到一键恢复/还有我也按照上面说的那样去做了但是也没用的

是呀 LSASS是系统文件 每个XP都有

有没有什么具体现象?
机器重启不?
要是这样的话 有可能中了冲击波了
打补丁吧SP2

LSASS是系统文件,

LSASS.exe进程的问题,着急!! 关于两个进程的问题ca.exe和lsass.exe lsass.exe的问题 进程里的lsass.exe是什么文件? 怎么样关WINXP LSASS.EXE 的进程 两个lsass.exe进程 关于lsass.exe的问题 有关lsass.exe的问题 关于LSASS.EXE的问题 跑跑卡丁车lsass.exe进程