本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msginadll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsassexe服务崩溃,系统在30秒内重新启动。
对来自网络的攻击,最好的办法是装一款防火墙软件。进程里面有2个lsassexe进程,一个是system的,一个是当前用户名的(该进程为病毒)
1结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsassexe来结束进程是行不通的会d出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)",在d出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASSexe",并且用户名不是"SYSTEM"的一项,记住其PID号点击"开始"-》“运行”,输入"CMD",点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)"
2删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的 *** 作系统文件(推荐)前的勾去掉,这时会d出一个警告,选择是至此就显示了所有的隐藏文件了
删除如下几个文件:
C:\Program Files\Common Files\INTEXPLOREpif
C:\Program Files\Internet Explorer\INTEXPLOREcom
C:\WINDOWS\EXERTexe
C:\WINDOWS\IOSYSBAK
C:\WINDOWS\LSASSexe
C:\WINDOWS\Debug\DebugProgramexe
C:\WINDOWS\system32\dxdiagcom
C:\WINDOWS\system32\MSCONFIGCOM
C:\WINDOWS\system32\regeditcom
在D:盘上点击鼠标右键,选择“打开”。删除掉该分区根目录下的"Autoruninf"和"commandcom"文件
个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。
将Windows目录下的"regeditexe"改名为"regeditcom"并运行,删除以下项目:
HKEY_CLASSES_ROOT\WindowFiles
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
下面的 Check_Associations项
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLOREpif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下面的ToP项
将HKEY_CLASSES_ROOT\exe的默认值修改为
"exefile"(原来是windowsfile)
将HKEY_CLASSES_ROOT\Applications\iexploreexe\shell\open\command
的默认值修改为
"C:\Program Files\Internet Explorer\iexploreexe" %1"
(原来是intexplorecom)
将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
\shell\OpenHomePage\Command 的默认值修改为
"C:\Program Files\Internet Explorer\IEXPLOREEXE"(原来是INTEXPLOREcom)
将HKEY_CLASSES_ROOT \ftp\shell\open\command
和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
的默认值修改为"C:\Program Files\Internet Explorer\iexploreexe" %1"
(原来的值分别是INTEXPLOREcom和INTEXPLOREpif)
将HKEY_CLASSES_ROOT \htmlfile\shell\open\command
HKEY_CLASSES_ROOT\>该进程是多个 Windows 系统服务的宿主。包括:1) >lsassexe是微软本地安全认证服务进程,负责用户标识认证和强化安全的。它检查登陆进Windows的用户,处理变更密码和建立访问信息,包括基本的安全信息。它也被管理员用来更新密码和用户档案。
详情请见>
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)