XP启动时总会出现lsass.exe-系统错误

Real

我的电脑在启动时到"正在启动"画面时会出现这样一个对话框,点一下确定就会重启,重启后常常还是一样出现一个对话框,但有时也会正常...所以每次开机都启动好几次才可以...

对话框的内容是这样的:

lsass.exe - 系统错误
由注册表引起的I/0操作发生了不可恢复的错误.注册表将不能读取,写出或刷新包含注册表系统图象的其中一个文件.

                                         确定


请教各位高人,真为这个烦恼.

boi

进程知识库   lsass - lsass.exe  - 进程信息 进程文件： lsass 或者 lsass.exe

进程名称： Local Security Authority Service
   
进程名称： lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。

出品者： Microsoft Corp. 属于： Microsoft Windows Operating System 系统进程： 是 后台程序： 是 使用网络： 否 硬件相关： 否 常见错误： 未知N/A 内存使用： 未知N/A     安全等级 (0-5):   0 间谍软件：   否 广告软件： 否 Virus:   否 木马:   否

boi

【病毒档案】
根据分析，“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑，并直接引导这些电脑下载病毒文件并执行，因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。
　　“震荡波”病毒的发作特点，类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒，那就是造成电脑反复重启。
　　瑞星反病毒专家王耀华介绍，该病毒会通过FTP 的5554端口攻击电脑，使系统文件崩溃，造成电脑反复重启。病毒如果攻击成功，会在C:\\WINDOWS目录下产生名为avserve.exe的病毒体，用户可以通过查找该病毒文件来判断是否中毒。
　　“震荡波”病毒会随机扫描IP地址，对存在有漏洞的计算机进行攻击，并会打开FTP的5554端口,用来上传病毒文件，该病毒还会在注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run中建立：\"avserve.exe\"=%windows%\\avserve.exe的病毒键值进行自启动。
　　该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃，出现系统反复重启的现象，并且使跟安全认证有关的程序出现严重运行错误。
【初步检查】
1。打开注册表编辑器：在C:windows目录下双击regedit.exe文件。找到Mycomputer/HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run。如果里面有avserver2.exe的项，将其删除。关闭regedit。
2。打开任务管理器：同时按下Alt+Ctrl+Del，在弹出的对话框里选“任务管理器”，选择里面的第二页“进程”。如果里面有avserver2.exe正在运行，将其中止。
3。到C:Windows目录下找到该文件(找不到的话就搜索一下)，将其删除。
如果以上三步都复合我说的，那么就确定是W32/Sasser.worm病毒了。

【清除方法】
1.下载专杀工具进行查杀
下载地址:  “震荡波(Worm.Sasser)”病毒专杀工具下载
2。对windows进行升级。尽管病毒文件已经被删除，病毒还是不时会引起强行关机，所以没有足够时间安装所有的升级包。先选择最关键的两个K835732和K824146。安装后，重新启动，应该就不会再强行关机了。之后安装所有关键升级补丁就可以了。

注：如果你的机器从未升级，那么安装这两个补丁的时候可能会提示必须先安装ServicePack1-3.

boi

病毒信息：

　　病毒名称: Worm.Sasser.f
　　中文名称: 震荡波变种 E
　　病毒长度: 74,752 字节
　　威胁级别: 3A
　　病毒类型: 蠕虫
　　 病毒别名: W32.Sasser.f.Worm[Symantec]
　　受影响系统: Windows 2000, Windows XP, Windows 2003

　破坏方式：

　　· 利用WINDOWS平台的Lsass漏洞进行广泛传播，开启上百个线程不停攻击其它网上其它系统；
　　· 堵塞网络。病毒的攻击行为可让系统不停的倒计时重启；
　　· 和最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器
　　　 下载特定文件并运行，来达到感染的目的。

　传染条件：该自运行的蠕虫通过使用 Windows 的一个漏洞来传播 [MS04-011 vulnerability
　　　　　　　(CAN-2003-0907)] ，关于该漏洞的更多信息请访问：
　　　　　　　http://www.microsoft.com/china/t ... letin/MS04-011.mspx


　系统修改：（点击查看详情）


A 、将自身复制到 %SystemRoot%napatch.exe ( 通常为 C:WinNT 或 C:Windows)

B 、在注册表主键：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下添加如下键值 :
\"napatch.exe\" = %SystemRoot%napatch.exe

B 、拷贝其本身至系统目录：
%System%<5 位随机数字 >_up.exe

C 、在 C 盘根目录创建以下文件：
C:win2.log( 该文件用以记录本地主机的 IP 地址 )

D 、使用 AbortSystemShutdown API 来防止系统重启或关机。

E 、它开启 TCP 端口 5554 来建立一个 FTP 服务器，用来当作感染其他机器的服务器。

F 、通过 TCP445 端口扫描随机的 IP 地址，当连接成功时，被感染的计算机向被连接机器发动溢出攻击，被攻击的计算机将会自动连接被感染计算机的 5554 端口并通过 FTP 下载蠕虫的副本，名称一般为 4 到 5 个数字加上 \"_up\" 的组合，如 (78456_up.exe).

G 、由于该病毒本身编写的漏洞存在，它运行一段时间后会导致 LSASS.EXE 的崩溃，当 LSASS.EXE 崩溃时系统默认会重启。

以下是 LSASS.EXE 崩溃时可能回弹出的窗口：





H 、 和最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器下载特定文件并运行，来达到感染的目的。
文件名为： napatch.exe

I 、创建了互斥体 billgate 用于判断是否已运行。  


　解决方案:

· 请升级毒霸到5月11日的病毒库可完全处理该病毒；

　　· 手工解决方案
　
　　　 首先，若系统为WinMe或WinXP，则请先关闭系统还原功能；
对于系统是 Win9x/WinMe

　 步骤一，删除病毒主程序
　　请使用干净的系统软盘引导系统到纯 DOS 模式，然后转到系统目录（默认的系统目录为
　　C:windows ），分别输入以下命令，以便删除病毒程序：
　　C:windowssystem32>del *_up.exe
　　C:windowssystem32>cd..
　　C:windows>del napatch.exe
　　完毕后，取出系统软盘，重新引导到 Windows 系统。
　　如果手中没有系统软件盘，可以在引导系统时按“ F5 ”键也可进入纯 DOS 模式；

　　步骤二，清除病毒在注册表里添加的项
　　打开注册表编辑器 : 点击开始 > 运行 , 输入 REGEDIT, 按 Enter ；
　　在左边的面板中 , 双击（按箭头顺序查找，找到后双击）：
　　HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
　　在右边的面板中 , 找到并删除如下项目：
　　\"napatch\" = %SystemRoot%napatch.exe
　　关闭注册表编辑器 .
步骤一，使用进程序管里器结束病毒进程
　　右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务
　　管理器中，单击“进程”标签，在例表栏内找到病毒进程 “avserve2.exe”，单击“结束进程
　　按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

　　步骤二，查找并删除病毒程序
　　通过“我的电脑”或“资源管理器”进入系统目录（Winnt或windows)，找到文件
　　\"napatch.exe\" ，将它删除 ; 然后进入系统目录 (Winntsystem32 或 windowssystem32) ，
　　找到文件 \" _up.exe \", 将它们删除；

　　步骤三，清除病毒在注册表里添加的项
　　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
　　在右边的面板中 , 找到并删除如下项目：
　　\"napatch\" = %SystemRoot%napatch.exe
　　关闭注册表编辑器.

boi

先用含有最新病毒库的杀毒软件杀

毛毛稀

顺便来学习下~                    :)