电脑计算机论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 3386|回复: 0

Lsass.exe出错然后自动重启

[复制链接]
admin 发表于 2010-5-1 20:02:23 | 显示全部楼层 |阅读模式
电脑无故的重启,nt authority\system,还有c:\windows\system32\lsass.exe,-10737什么的这样一个窗口,大概有40S左右的时间,自动关机后重新启动,检查发现启动栏里有个dumprep O-u的启动项(有的是dumprep O-k),禁掉后又会有,症状跟以前的冲击波差不多。

今天好像很多人都中招了,重装系统也没用 [mood53]

估计是利用LSASS漏洞攻击

冲击波病毒的特征是显示:

由NT Authouity/system 初始的”“Remoto Procedure Call(RPC)服务意外终止,必须重新启动电脑

然后倒计时重启,和这个病毒显示的内容不同,所以应该是一种新的病毒~~~

我的建议是大家赶快安装防火墙,然后关闭除80和21以外所有端口~~~~[mood73]

还有尽快安装这个补丁:

http://www.microsoft.com/china/t ... letin/ms04-011.mspx

目前有90%以上的Windows2000/XP/2003用户没有给这个系统漏洞打上补丁程序,此前在MS04-011号安全公报中公布的这个漏洞被微软定为最高级

另:微软官方公告:http://www.microsoft.com/china/t ... ent/pctdisable.mspx

补丁下载地址:http://www.microsoft.com/china/t ... letin/ms04-011.mspx

建议所有 Win2000、XP、2003 用户安装补丁,或者启用防火墙。

染毒计算机的主要症状为:

(1)进程中出现 ***serve.exe 和 *****_up.exe,占用大量资源;

其中*****为从0~65535之间的随机数字

(2)出现LSA Shell错误;

(3)导致系统进程lsass.exe错误,并进而导致计算机强迫重启;

(4)有网友反馈计算机的管理员权限帐户口令被修改(未证实)。

病毒原理:

病毒首先生成 C:\WINNT\system32\*****_up.exe (这个文件名是随即的 但_up.exe一定 其中*****为从0~65535之间的随机数字)并执行。

然后建立文件:C:\WINNT\***serve.exe,并在注册表中建立/HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/***serve.exe项。

病毒在本机启动3000多tcp 端口对外扫描tcp 445。(原来如此,把socket全占光了)待毒计算机的网络应用可能无法正常打开。

清除方法:

首先按 ctrl+shift+esc 调出任务管理器 在进程中关闭 ***erve.exe

然后打好补丁 3 个补丁:KB837001,KB828741,KB835732

删除注册表的相应键值 (run 中 输入 regedit)

删除相应位置的的文件 ***serve.exe (c:\windows 或 c:\winnt 下)

*****_up.exe 文件 c:\windows 或 c:\winnt 下 system32 里

通过安装防火墙或者手动关闭计算机的445端口

XP补丁直接下载:

http://download.microsoft.com/do ... B835732-x86-CHS.EXE

2K补丁直接下载:

http://download.microsoft.com/do ... B835732-x86-CHS.EXE
您需要登录后才可以回帖 登录 | 注册

本版积分规则


QQ|手机版|小黑屋|电脑计算机论坛 ( 京ICP备2022023538号-1 )

GMT+8, 2024-12-28 15:16 , Processed in 0.104935 second(s), 20 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表