奇怪的电脑重启问题。

2024-11-20 12:17:55
推荐回答(5个)
回答(1):

LSASS.EXE出错

在Windows NT安全认证子系统中(LSA)存在一个漏洞,它允许本地或远程攻击者挂起系 统的安全信 息进程,使得系统必须重新启动。

本地安全认证(LSA)是Windows NT安全子系统的核心。LSASS.EXE(LSA客户程序)是用于维护名为"本地安全策略"的安全信息系统。存放在系统注册表中的本地安全策略包含了诸如允许或禁止何人访问系统、用户权限、安全审核等信息。大多数的安全子系统组件的运行都需要依赖LSASS进程,包括安全帐号管理器(Security Accounts Manager,简称SAM),和用于验证用户名和口令是否与保存
在SAM库中的信息相符的缺省认证包(MSV1_0.DLL)。另外,某些与用户交互的服务也需要LSA,如本地登录进程(WINLOGON.EXE)络登录服务(SERVICES.EXE)。

技术细节:
Windows NT提供了一组API接口,用于打开和处理LSA。从程序管理角度来看本地或远程主机的"本地安全策略",就是通过建立起了"本地安全证系统"的任务。如果该会话建立成功,则返回一个LSA Policy句柄,供所有其它子API函数调用。
LSA API中的特定函数LsaLookupSids()用于映射一个或多个用户帐号/组帐号/别名帐号/域名的SID。如果传递给该API的参数无效并被不正确处理,可以导致LSA进程因无效内存访问而出错.因此本地安全认证子系统的将导致所有用户交互式安全认证无法进行,Windows NT主机必须重新启动。

解决方案: Microsoft公司已发布这个漏洞的安全补丁

或者在运行里 输入shutdown -a 关闭

根据分析,“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑,并直接引导这些电脑下载病毒文件并执行,因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。

“震荡波”病毒的发作特点,类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒,那就是造成电脑反复重启。

瑞星反病毒专家介绍,该病毒会通过ftp 的5554端口攻击电脑,使系统文件崩溃,造成电脑反复重启。病毒如果攻击成功,会在c:\\windows目录下产生名为avserve.exe的病毒体,用户可以通过查找该病毒文件来判断是否中毒。

“震荡波”病毒会随机扫描ip地址,对存在有漏洞的计算机进行攻击,并会打开ftp的5554端口,用来上传病毒文件,该病毒还会在注册表hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run中建立:"avserve.exe"=%windows%\\avserve.exe的病毒键值进行自启动。

该病毒会使“安全认证子系统”进程━━lsass.exe崩溃,出现系统反复重启的现象,并且使跟安全认证有关的程序出现严重运行错误。
----------------------------------

主要症状:

1、出现系统错误对话框

被攻击的用户,如果病毒攻击失败,则用户的电脑会出现 LSA Shell 服务异常框,接着出现一分钟后重启计算机的“系统关机”框。

2、系统日志中出现相应记录

如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示,还可以通过查看系统日志的办法确定是否中毒。方法是,运行事件查看器程序,查看其中系统日志,如果出现如下图所示的日志记录,则证明已经中毒。

3、系统资源被大量占用

病毒如果攻击成功,则会占用大量系统资源,使CPU占用率达到100%,出现电脑运行异常缓慢的现象。

4、内存中出现名为 avserve 的进程

病毒如果攻击成功,会在内存中产生名为 avserve.exe 的进程,用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”,然后查看是内存里是否存在上述病毒进程。

5、系统目录中出现名为 avserve.exe 的病毒文件

病毒如果攻击成功,会在系统安装目录(默认为 C:\\WINNT )下产生一个名为avserve.exe 的病毒文件。

6、注册表中出现病毒键值

病毒如果攻击成功,会在注册表的 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 项中建立病毒键值: "avserve.exe "="%WINDOWS%\\avserve.exe " 。

何防范“震荡波”

首先,用户必须迅速下载微软补丁程序,对于该病毒的防范,。
点这里下载微软补丁

金山或者瑞星用户迅速升级杀毒软件到最新版本,然后打开个人防火墙,将安全等级设置为中、高级,封堵病毒对该端口的攻击。

非金山或者瑞星用户迅速下载免费的专杀工具:
点这里下载

如果用户已经被该病毒感染,首先应该立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除方法:查找该目录c:\\windows目录下产生名为avserve.exe的病毒文件,将其删除。

点这里下载2000补丁程序

点这里下载xp补丁程序
-------------------------
请到以下网址即时升级您的操作系统,免受攻击

点这里下载

请打开个人防火墙屏蔽端口:5554和1068,防止名为avserve.exe的程序访问网络

如果已经中招,请下载专杀工具进行杀毒处理,点这里下载;或者采用手工方式解决:

对于系统是Windows9x/WinMe:

步骤一,删除病毒主程序
请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为 C:\\windows),分别输入以下命令,以便删除病毒程序:

C:\\windows\\system32\\>del *_up.exe
C:\\windows\\system32\\>cd..
C:\\windows\\>del avserve.exe

完毕后,取出系统软盘,重新引导到Windows系统。
如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。

步骤二,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

在右边的面板中, 找到并删除如下项目:
"avserve.exe" = %SystemRoot%\\avserve.exe

关闭注册表编辑器.

对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever:

步骤一,使用进程序管里器结束病毒进程
右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务管理器中,单击“进程”标签,在例表栏内找到病毒进程“avserve.exe”,单击“结束进程按钮”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;

步骤二,查找并删除病毒程序
通过“我的电脑”或“资源管理器”进入系统安装目录(Winnt或windows),找到文件“avserve.exe”,将它删除;然后进入系统目录(Winnt\\system32或windows\\system32),找到文件"*_up.exe", 将它们删除;

步骤三,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

在右边的面板中, 找到并删除如下项目:
"avserve.exe" = %SystemRoot%\\avserve.exe

关闭注册表编辑器.

回答(2):

有可能是你的系统设置了“当系统出现致命错误时,Windows自动重启”的功能,当楼主的电脑刚刚启动完成将要加载开机程序时刚好遇到了致命错误,所以Windows自动重启了。。。
楼主先看看有没有设置的功能,可以使用优化软件(例如:优化大师一类的优化软件)。。下面说说优化大师的设置:运行优化大师主程序---系统优化--磁盘缓存优化项目下就有相关的选项,请取消掉这样的功能。
另外,楼主要看看系统启动时都加载了哪些程序,这些程序有可能与系统有冲突。。

回答(3):

你好,换一个系统安装光盘安装一回看看,如果是系统的问题,就容易解决了,
如果换了系统还是有这样的情况,内存和电源就要重点盘查了,进行使用替换法吧,硬盘和主板也在其中,
希望只要换系统,你的问题就能解决。

回答(4):

这个蠕虫病毒利用的是一个微软操作系统的漏洞,此漏洞为Windows LSASS的一个缓冲溢出漏洞,针对此漏洞进行攻击可以使LSASS.EXE缓冲区溢出,并使得攻击者取得对目标系统的完全控制权限,详细请见MS04-011安全公告。

被攻击的系统会出现一些症状,如LSASS.EXE出乎意料地终止提示一分钟倒计时窗口;LSASS.EXE出错需要关机窗口等现象,

病毒运行后将自身复制到系统目录%Windows%下,文件名为:avserve.exe

并在系统注册表启动项中加入自启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
avserve.exe = "%Windows%\avserve.exe"

使用互斥体“Jobaka3l”来判断自身是否已经存在与系统中。
病毒开启128个线程随机IP地址寻找有漏洞的目标计算机,当发现目标计算机有此漏洞后会发送一个经过设计的数据包到目标计算机的TCP445端口,使得目标计算机中的LSASS.EXE缓冲区溢出。
缓冲溢出后,病毒监听TCP9996端口,打开一个命令行,建立一个FTP脚本CMD.FTP,目标计算机执行这个脚本文件以XXXXX_up.exe文件名的方式通过FTP方式从被感染计算机系统上的TCP5554端口下载病毒文件到本地运行。
病毒被下载后,CMD.FTP文件将被删除,一个记录了被感染计算机台数和上一个被感染计算机的IP地址的文件WIN.LOG保存在系统根目录下。

清除病毒

请用户及时更新反病毒软件病毒库,目前各大反病毒厂商都已经将其加入到自己的病毒库文件中,及时地升级病毒库文件可以有效地防止这个病毒的入侵。

结束病毒进程
同时按下Ctrl+Alt+Del,打开“任务管理器”
选择病毒进程,比如AVSERVE.EXE,然后按下“结束任务”按钮将其进程结束,接下来再将这些病毒文件删除。

删除注册表中病毒键值
打开“注册表编辑器”,“开始”>>“运行”,输入REGEDIT,“确定”。
删除以下项目:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
avserve.exe = "%Windows%\avserve.exe"

安装补丁程序

请Windows NT / 2000 / XP / 2003用户安装MS04-011安全公告中所提到的安全补丁,并建议使用Windows Update安装系统所需要安装的所有关键更新和Service Pack。

回答(5):

重做系统是最根本的方法。
但是死也要死个瞑目吧。楼主你说对不?

这个文件是讯雷的一个内核文件,主要靠这个文件实现P2P功能的。你也可以用其他软件把讯雷卸载掉。如优化大师。
这是讯雷的一个不道德的地方。在没有经过当事人同意的情况下,自动把你下载的信息返回给服务器。这也是讯雷下载速度快的原因,同样我们也会发现有的时候没下载东西网速也很卡。这也是讯雷玩的鬼。和BT一样人人为我,我为人人吧。