[求助]有谁见过启动名为lsass.exe 进程叫exptemlorer.com的是什么东西？

hui001 · 发表于 2006-5-10 22:17:52

有没有哪位大虾见过启动名为lsass.exe 进程叫exptemlorer.com的是什么东西？
是什么病毒改如何解决~~~~~~~~~~
郁闷中``````````

dgxhls · 发表于 2006-5-10 22:38:36

lsass.exe ：本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞，正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查，构建超过1000个"AND"的请求，并发送给服务器，导致触发堆栈溢出，使Lsass.exe服务崩溃，系统在30秒内重新启动。这里请记住该进程的正常路径为C:\WINDOWS\system32，一些病毒，如W32.Nimos.Worm病毒会在其它位置模仿LSASS.EXE来运行。
exptemlorer.com应该是用户名
最好把进程表截个图发上来！

f0906 · 发表于 2006-5-11 00:33:48

我的机子上也有,不会有问题吧?

dgxhls · 发表于 2006-5-11 07:23:13

下面引用由f0906在 2006/05/11 00:33am 发表的内容：
我的机子上也有,不会有问题吧?

没有这个东西，你还能在这发贴吗？

hui001 · 发表于 2006-5-12 23:06:58

晕不是俺的电脑啊我也就记住这么多了``````
那意思就是通过ip服务进入的恶意程序了》？
我下了　Ｎ　个杀毒的　　都杀不掉　　郁闷死了　

hui001 · 发表于 2006-5-12 23:17:24

而且他在安全模式也可以启动进程怎么也删除不了
用冰刃也不可以``
是震荡波》？

dgxhls · 发表于 2006-5-13 00:22:34

[这个贴子最后由打狗协会理事在 2006/05/13 00:23am 第 1 次编辑]

下面引用由hui001在 2006/05/12 11:17pm 发表的内容：
而且他在安全模式也可以启动进程怎么也删除不了
用冰刃也不可以``
是震荡波》？

如果只有一个，就是正常的，而且是必需的[该进程的正常路径为C:\WINDOWS\system32]。

goodboyhu · 发表于 2006-6-5 23:15:32

我也碰上过,那个LSASS.EXE文件在WINDOWS目录下.杀进程杀不掉.后来我关闭了一些服务,把那个LSASS.EXE文件给改名了,结果可以改名,不过改名后还是杀不死(因为那个程序还在运行),我重启了电脑,然后找到那个改名后的LSASS文件,结果可以删除了!WINDOWS目录下也没有了产生什么新的LSASS.EXE文件.

goodboyhu · 发表于 2006-6-5 23:19:45

我看了进程,在进程下有两个LSASS,一个是SYSTEM的,一个是用户的,那个用户的就是假的.

Cold · 发表于 2006-6-7 11:59:08

原帖由 打狗协会理事 于 2006-5-13 12:22 AM 发表

如果只有一个，就是正常的，而且是必需的。

请教一下怎样看路径的？

goodboyhu · 发表于 2006-6-7 13:23:21

C:\WINDOWS\LSASS.EXE

Robertzao · 发表于 2006-6-13 10:09:13

说来说去不就是木马吗????:P

wubingxuan · 发表于 2006-6-13 14:42:12

要是在另一台机上找个正常的把这个给盖了。。会有什么情况咧。嗯？

		自动登录	找回密码
密码			注册

[求助]有谁见过启动名为lsass.exe 进程叫exptemlorer.com的是什么东西？