应该就是个软件引起的.
lsass.exe出错,电脑不断重新启动,很是烦人,可试一下以下几种办法看看:
先了解一下进程信息lsass.exe:
进程文件:lsass或者lsass.exe
进程名称:local安全等级作者ityservice
描述:lsass.exe是一个关于微软安全机制的系统进程,主要处理一些特殊的安全机制和登录策略。
出品者:microsoft corp.
属于:windows系统
系统进程:是
后台进程:是
使用网络:否
硬件相关:否
常见错误:未知
内存使用:未知
安全等级:0
间谍软件:否
广告软件:否
病毒:否
木马:否
用事件日志查看,找到lsass.exe相关的服务,设为出错时,禁止重启
设置PRC改为出错不重新启动
根据分析,“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑,并直接引导这些电脑下载病毒文件并执行,因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。
“震荡波”病毒的发作特点,类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒,那就是造成电脑反复重启。
瑞星反病毒专家王耀华介绍,该病毒会通过FTP 的5554端口攻击电脑,使系统文件崩溃,造成电脑反复重启。病毒如果攻击成功,会在C:\WINDOWS目录下产生名为avserve.exe的病毒体,用户可以通过查找该病毒文件来判断是否中毒。
“震荡波”病毒会随机扫描IP地址,对存在有漏洞的计算机进行攻击,并会打开FTP的5554端口,用来上传病毒文件,该病毒还会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立:"avserve.exe"=%windows%\avserve.exe的病毒键值进行自启动。
该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃,出现系统反复重启的现象,并且使跟安全认证有关的程序出现严重运行错误。
【初步检查】
1。打开注册表编辑器:在C:windows目录下双击regedit.exe文件。找到My computer/HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run。如果里面有avserver2.exe的项,将其删除。关闭regedit。
2。打开任务管理器:同时按下Alt+Ctrl+Del,在弹出的对话框里选“任务管理器”,选择里面的第二页“进程”。如果里面有avserver2.exe正在运行,将其中止。
3。到C:Windows目录下找到该文件(找不到的话就搜索一下),将其删除。
如果以上三步都复合我说的,那么就确定是W32/Sasser.worm病毒了。
【清除方法】
1.下载专杀工具进行查杀
下载地址: “震荡波(Worm.Sasser)”病毒专杀工具下载
2。对windows进行升级。尽管病毒文件已经被删除,病毒还是不时会引起强行关机,所以没有足够时间安装所有的升级包。先选择最关键的两个K835732和K824146。安装后,重新启动,应该就不会再强行关机了。之后安装所有关键升级补丁就可以了。
注:如果你的机器从未升级,那么安装这两个补丁的时候可能会提示必须先安装ServicePack1-3.
建议所有 Win2000、XP、2003 用户安装补丁,或者启用防火墙。
染毒计算机的主要症状为:
(1)进程中出现 avserve.exe 和 *****_up.exe,占用大量资源;
其中*****为从0~65535之间的随机数字
(2)出现LSA Shell错误;
(3)导致系统进程lsass.exe错误,并进而导致计算机强迫重启;
(4)有网友反馈计算机的管理员权限帐户口令被修改(未证实)。
病毒原理:
病毒首先生成 C:\WINNT\system32\*****_up.exe (这个文件名是随即的 但_up.exe一定
其中*****为从0~65535之间的随机数字)并执行。
然后建立文件:C:\WINNT\avserve.exe,并在注册表中建立/HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/avserve.exe项。
病毒在本机启动3000多tcp 端口对外扫描tcp
445。(原来如此,把socket全占光了)待毒计算机的网络应用可能无法正常打开。
清除方法
首先按 ctrl+shift+esc 调出任务管理器 在进程中关闭 averve.exe
然后打好补丁 3 个补丁:KB837001,KB828741,KB835732
删除注册表的相应键值 (run 中 输入 regedit)
删除相应位置的的文件 avserve.exe (c:\windows 或 c:\winnt 下)
*****_up.exe 文件 c:\windows 或 c:\winnt 下 system32 里
通过安装防火墙或者手动关闭计算机的445端口
XP补丁直接下载:
http://download.microsoft.com/download/f/a/4/fa45d805-82aa-4731-8619-40319436a26d/WindowsXP-KB835732-x86-CHS.EXE
2K补丁直接下载:
http://download.microsoft.com/download/1/0/4/104ab4fe-660d-4d6d-b50a-ea4491dd7fb2/Windows2000-KB835732-x86-CHS.EXE
参考文献:http://hi.baidu.com/ibasa/blog/item/e98345a9ef8ff7fc1f17a214
lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。
出品者: Microsoft Corp.
属于: Microsoft Windows Operating System
如果你的启动菜单里有个lsass.exe启动项,那就证明你得lsass.exe木马病毒,中毒后,会在windows里产生lsass.exe和exert.exe两个病毒文件,还会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联,以下说一下本人对该病毒的杀法,以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程,然后到windows目录下删除这两个文件,这两个文件是隐藏的,再到D:删除command.com和autorun.inf两个文件,最后重启电脑到DOS 运行,用scanreg/restore 命令来恢复注册表,(如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表),重启后进到WINDOWS桌面用杀毒软件(本人用金山毒霸2006)全面杀毒,清除余下的病毒!
在进程里可以见到有两个相同的进程,分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe两个可执行文件,且在后台运行。LSASS.EXE管理exe类执行文件,exert.exe管理程序退出。下载个进程管理器,找出问题进程的路径,手动终止LSASS.EXE和exert.exe两个进程(管理器不能终止LSASS.EXE,提示系统进程不能终止),打开msconfig.exe取消LSASS.EXE启动项。删除C:\Documents and Settings\Administrator\Local Settings\tempt和Temporary Internet Files下的文件,断开网络后再删除C:\Program Files\Common Files\update文件夹,这里exe类文件已不能运行,新建一个reg文件,输入如下内容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe]
@="exefile"
"Content Type"="%1,%*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
或用工具恢复注册表。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024