机子重装两次了,每次都100%确定格式化了的,但是每次开机还是会出现lsass.exe应用程序出错,系统重启的现象,我现在搞不明白到底是系统的问题还是病毒的问题了。虽然很像变种布朗Q,但是进程里只有一个lsass.exe还是SYSTEM执行的,金山毒霸每天升级了的,根本查不出有病毒来。瑞星的橙色八月清除工具也用过了,还是一样结果!
參考答案:本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。这里请记住该进程的正常路径为C:\WINDOWS\system32,一些病毒,如W32.Nimos.Worm病毒会在其它位置模仿LSASS.EXE来运行。