无忧启动论坛

标题: [求助]有谁见过启动名为lsass.exe 进程叫exptemlorer.com的是什么东西? [打印本页]
作者: hui001    时间: 2006-5-10 22:17
标题: [求助]有谁见过启动名为lsass.exe 进程叫exptemlorer.com的是什么东西?
有没有哪位大虾见过启动名为lsass.exe  进程叫exptemlorer.com的是什么东西?
是什么病毒   改如何解决~~~~~~~~~~
郁闷中``````````
作者: dgxhls    时间: 2006-5-10 22:38
标题: [求助]有谁见过启动名为lsass.exe 进程叫exptemlorer.com的是什么东西?
lsass.exe  :本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。这里请记住该进程的正常路径为C:\WINDOWS\system32,一些病毒,如W32.Nimos.Worm病毒会在其它位置模仿LSASS.EXE来运行。
exptemlorer.com应该是用户名
最好把进程表截个图发上来!
作者: f0906    时间: 2006-5-11 00:33
标题: [求助]有谁见过启动名为lsass.exe 进程叫exptemlorer.com的是什么东西?
我的机子上也有,不会有问题吧?
作者: dgxhls    时间: 2006-5-11 07:23
标题: [求助]有谁见过启动名为lsass.exe 进程叫exptemlorer.com的是什么东西?
下面引用由f09062006/05/11 00:33am 发表的内容:
我的机子上也有,不会有问题吧?
没有这个东西,你还能在这发贴吗?
作者: hui001    时间: 2006-5-12 23:06
标题: [求助]有谁见过启动名为lsass.exe 进程叫exptemlorer.com的是什么东西?
晕   不是俺的电脑啊    我也就记住这么多了``````
那意思就是 通过ip服务进入的恶意程序了》?
我下了 N 个杀毒的  都杀不掉  郁闷死了 
作者: hui001    时间: 2006-5-12 23:17
标题: [求助]有谁见过启动名为lsass.exe 进程叫exptemlorer.com的是什么东西?
而且他在安全模式也可以启动    进程怎么也删除不了
用冰刃也不可以``
是震荡波》?
作者: dgxhls    时间: 2006-5-13 00:22
标题: [求助]有谁见过启动名为lsass.exe 进程叫exptemlorer.com的是什么东西?
[这个贴子最后由打狗协会理事在 2006/05/13 00:23am 第 1 次编辑]
下面引用由hui0012006/05/12 11:17pm 发表的内容:
而且他在安全模式也可以启动    进程怎么也删除不了
用冰刃也不可以``
是震荡波》?
如果只有一个,就是正常的,而且是必需的[该进程的正常路径为C:\WINDOWS\system32]。
作者: goodboyhu    时间: 2006-6-5 23:15
我也碰上过,那个LSASS.EXE文件在WINDOWS目录下.杀进程杀不掉.后来我关闭了一些服务,把那个LSASS.EXE文件给改名了,结果可以改名,不过改名后还是杀不死(因为那个程序还在运行),我重启了电脑,然后找到那个改名后的LSASS文件,结果可以删除了!WINDOWS目录下也没有了产生什么新的LSASS.EXE文件.
作者: goodboyhu    时间: 2006-6-5 23:19
我看了进程,在进程下有两个LSASS,一个是SYSTEM的,一个是用户的,那个用户的就是假的.
作者: Cold    时间: 2006-6-7 11:59
原帖由 打狗协会理事 于 2006-5-13 12:22 AM 发表



如果只有一个,就是正常的,而且是必需的。



请教一下怎样看路径的?
作者: goodboyhu    时间: 2006-6-7 13:23
C:\WINDOWS\LSASS.EXE
作者: Robertzao    时间: 2006-6-13 10:09
说来说去不就是木马吗????:P

__AIMC_Att0.gif (36.25 KB, 下载次数: 22)

__AIMC_Att0.gif
作者: wubingxuan    时间: 2006-6-13 14:42
要是在另一台机上找个正常的把这个给盖了。。会有什么情况咧。嗯?



欢迎光临 无忧启动论坛 (http://bbs.wuyou.net/) Powered by Discuz! X3.3