查人人中国名人网陈宇翱与潘建伟:Isass.exe
来源:百度文库 编辑:查人人中国名人网 时间:2024/04/28 19:05:18
我在任务管理器的进程中发现了一个木马,它伪装成Isass.exe
后来把三个Isass.exe手动删除了,但是好像也把正常的Isass给删了。
开机后,如果点鼠标右键,就会出现一个ERROR的对话框
显示为:Failed To Create Mutex for Xlate Cache
这个对话框还关闭不了,而且只要点击鼠标右键就会又出现一个。此时点击桌面图标都没反应。只有开始键和任务栏没有问题。用了优化大师,甚至升级了windows,都不行。
在不重新装系统的情况下,要怎样恢复呢?
后来把三个Isass.exe手动删除了,但是好像也把正常的Isass给删了。
开机后,如果点鼠标右键,就会出现一个ERROR的对话框
显示为:Failed To Create Mutex for Xlate Cache
这个对话框还关闭不了,而且只要点击鼠标右键就会又出现一个。此时点击桌面图标都没反应。只有开始键和任务栏没有问题。用了优化大师,甚至升级了windows,都不行。
在不重新装系统的情况下,要怎样恢复呢?
运行 sfc /scannow 用安装光盘修复系统.
lsaaa.exe是本地安全权限服务控制Windows安全机制。管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序等。它会为使用Winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的Shell。其他的由用户初始化的进程会继承这个令牌的。而Windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使LSASS.EXE服务崩溃,系统在30秒内重新启动。这里请记住该进程的正常路径为C:\WINDOWS\system32,
一些病毒,如W32.Nimos.Worm病毒会在其它位置模仿LSASS.EXE来运行。