没完没了的pagefile，不见不散的Symantec AntiVirus……系统的血泪——永远的斗争！

云儿

我的命真苦……这几天在这儿都快成了祥林嫂了……系统虽然目前暂时稳定，但是不知道定时炸弹什么时候爆发……还是有些问题要请教！！！！！

刚开始用X23恢复盘装完的系统用了3.8个G的空间而且开机有个小小的error窗口
后来装上软件用了一天就出问题了，诺顿无法运行，总是有lsass.exe 窗口说遇到问题需要关闭，没完没了的。再充装依然如故，愣把诺顿装上之后还多了一个没完没了的Bloodhound.W32.EP的报警窗口……

再重装，lsass.exe 窗口依然如故，在坛子上朋友指点下，经过了N次的斗争，总结出最后的解决方法如下：

把台机的硬盘用AVG Anti-Spyware 7.5和WINDOWS清理助手都扫描了，找到的病毒和恶意软件都删除了，这样台机算是健康的了吧。然后同样扫描了一个U盘，把要用到的几个软件如天网，诺顿，software installer，注册报表文件什么的拷进去。
把笔记本硬盘用移动硬盘盒挂在台机上用AVG Anti-Spyware 7.5在台机上把本本硬盘都扫描了，找出恶意软件都删除了，装回X23。

关键处理步骤是这样的：
jyld给了我一个注册表文件，导入后就可以重新显示隐藏文件,以便把它指向的文件夹删掉。
WINDOWS清理助手,这个玩意管大用了！就是指着它了！运行它扫描，找到一个Pagefile的木马，清除！！！！
本来还应该把这四个进程SMSS.EXE、LSASS.EXE、DWWIN.EXE、WSCNTFY.EXE都结束的，但是前两个即使用户名是X23的也说是关键系统进程不能结束，而后两个侧是结束之后很快就还魂，等于没用，所以也就不管这四个东西了。
jyld还说要把MSCONFIG中的启动项中有这几个的去掉,不过我的启动项里没有这几个东西，所以后来都不作这个步骤了。

开始,运行,输入GPEDIT.MSC,然后在计算机配置——管理模板——系统，右侧的列表中启用关闭自动播放,选择所有驱动器,把左边下面用户配置里的自动播放也关闭了。

重新启动，进入安全模式,查看WINDOWS文件夹和WINDOWS\SYSTEM32文件下有没有近期新生成的可执行文件,有就删……不过我一直都没找到，看来是没有。
要清空C盘下DOCMENTS AND SETTINGS下的X23文件夹下的LOCAL SETTING下的TEMP下和Temporary Internet Files下的所有文件，清空WINDOWS\TEMP下的所有文件，不过这个文件夹我电脑里一直是空的。

整个过程都是在资源管理器中打开其他盘,出问题时每个盘下面都有AUTORUN.INF文件，右键里有AUTO项，清除了Pagefile之后就没了。如果还有的话一定要删除……

都确定作好了，重启………………OK，lsass.exe没有出现，这就是成功了！

云儿

可惜……没高兴多长时间！！！！

用干净U盘带的软件，装天网，装诺顿……本本自己用WINDOWS清理助手扫描也没扫到什么东西。连上网线，先把诺顿更新，然后用software installer去down驱动……下载驱动的同时就装一些软件……在装完微软拼音2003的时候，靠！！！该死的lsass.exe又出来了！！！！！！！！！

事到如今只能无可奈何的耐着性子冷静处理……把关键处理步骤又作了一遍，重启，诺顿运行，OK，lsass.exe没出现……这回慢慢来，看它什么时候会出现……
还是要先装X23驱动，运行software installer……NND……这回在装完淘宝旺旺时lsass.exe出来了！！！
先把驱动都下载了装上再说……等驱动都装完了，又做了一遍关键处理步骤，重启……因为装上了驱动，所以重启启动项里多了几个IBM的东西，结果一启动就有lsass.exe出现！！！！我再次杀毒，然后进到启动项里，把新多出来的几个刚装上的IBM的启动项取消，重启……哇，lsass.exe没有出现，诺顿运行了……看来lsass.exe的出现和software installer以及那新装上的IBM的驱动软件有关系？晕……我杀毒之后再次重启，正常，然后我特意再去运行一下software installer，果然lsass.exe立刻蹦了出来……杀毒，重启……正常

这回聪明了，软件运行一个我都等待一会儿，看lsass.exe会不会出来……都快魔怔了！！！
结果……msn和QQ都没问题，运行淘宝旺旺也没问题……但是一运行网易泡泡，诺顿的小盾牌就消失了！！硬盘一阵响，过会儿那个lsass.exe就会还出来！！！杀毒，重启……正常，头一个运行网易泡泡……lsass.exe又出来了……

实验证明杀完毒后坚决不能碰software installer和网易泡泡，一碰就完蛋！

云儿

我现在想请教的问题就是……这个software installer和网易泡泡都是我从官方网站下载的，而却也都扫描过的，应该是干净健康的软件啊……但是怎么会引发lsass.exe 窗口的无休止出现呢……

只要运行了他们，诺顿立刻消失，lsass.exe蹦出来，所有盘符下都有autorun.inf出现，用WINDOWS清理助手一扫描就会发现pagefile这个木马……

这是软件和系统之间的冲突呢，还是说软件里就是有毒？或者系统里有毒？？？

反正只要不碰那俩东西就没事儿……不知道以后还会有什么软件引发lsass.exe这个定时炸弹……

[ 本帖最后由云儿于 2007-4-5 22:49 编辑 ]

wsp

找到可以文件用冰刃干掉

wsp

还有，放弃诺顿吧，装个NOD32+AVG。

jnpiero

很奇怪，lsass.exe应该没有问题的，重装这么多次怎么还能有毒呢？再一次强烈建议用卡巴

jyld

哈哈,你可真逗,挨个试,总算被你找到病毒源头了.

云儿

QUOTE:

原帖由 wsp 于 2007-4-5 22:49 发表

找到可以文件用冰刃干掉

你说找到什么？pagefile这么木马吗？WINDOWS清理助手就可以找到并删除它，但是一运行software installer和网易泡泡就又冒出来了……

先下载一个再说

云儿

QUOTE:

原帖由 jyld 于 2007-4-5 22:50 发表

哈哈,你可真逗,挨个试,总算被你找到病毒源头了.

我是被迫的……都是要用的东西，出现问题就找找根源呗……
可是那俩软件应该没有毒啊……

jyld

冰刃建议你还是多了解系统之后再用,别强制删除了其它文件,你就又该哭了

云儿

QUOTE:

原帖由 wsp 于 2007-4-5 22:50 发表

还有，放弃诺顿吧，装个NOD32+AVG。

以后会试试看……现在还是觉得这个熟悉

上汤排骨

同情一下！

云儿

QUOTE:

原帖由 jyld 于 2007-4-5 22:53 发表

冰刃建议你还是多了解系统之后再用,别强制删除了其它文件,你就又该哭了

现在lsass.exe就像个定时炸弹，不知道什么时候出来……

总觉得那两个软件不可能有毒啊，都是官方下载，大家都用，有毒的话也不该只在我这里爆发啊

jyld

QUOTE:

原帖由云儿于 2007-4-5 22:52 发表

我是被迫的……都是要用的东西，出现问题就找找根源呗……
可是那俩软件应该没有毒啊……

都删除了之后到官方网站下载最新版的呢?看看还会出现这个问题吗?

jyld

QUOTE:

原帖由云儿于 2007-4-5 22:56 发表

现在lsass.exe就像个定时炸弹，不知道什么时候出来……

总觉得那两个软件不可能有毒啊，都是官方下载，大家都用，有毒的话也不该只在我这里爆发啊

那就不知道啦,呵呵,也许这俩满足了病毒的激活条件吧

云儿

而且这还是我取消了几个用software installer装的东西的启动呢，如果让它们启动的话，lsass肯定也会再出来的……可是这些东西应该很多人用啊……

要是IBM装的那几个东西我到无所谓，不过网易泡泡我是可以用来发免费短信的，不能用真是很不爽……

重要的是为什么为什么为什么………………………………………………………………

云儿

QUOTE:

原帖由 jyld 于 2007-4-5 22:57 发表

都删除了之后到官方网站下载最新版的呢?看看还会出现这个问题吗?

就是安装前去网站下的最新版……而且还在台机上扫描了，确定没问题才用得

如果说是它们激活了病毒，那么怎么把隐藏在系统里的病毒找出来杀个干净啊……

以前那个系统怎么就那么好没问题呢……55555555555555555555555555555555，不知道米空用什么做的……

wsp

用安全卫士360检测一下系统漏洞，然后下载安装，这很重要，还可以避免盗版软件不能自动更新的麻烦。杀毒软件问题可以多去卡巴斯基爱好者论坛看看，里面对国内国外的杀软介绍比较全面。

云儿

QUOTE:

原帖由 wsp 于 2007-4-5 23:02 发表

用安全卫士360检测一下系统漏洞，然后下载安装，这很重要，还可以避免盗版软件不能自动更新的麻烦。杀毒软件问题可以多去卡巴斯基爱好者论坛看看，里面对国内国外的杀软介绍比较全面。

有没有更便捷的捷径啊……我觉得研究一个软件系统好难哦……

而且现在我怎么觉得知道的越多越糊涂啊……

wsp

lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。

一些病毒，如W32.Nimos.Worm病毒会在其它位置模仿LSASS.EXE来运行。
如果发现有一个lsass.exe来自C:\WINDOWS\，就可以断定是病毒。

jyld

对了,清理助手提供自定义功能,如果你能确定病毒文件名,可以把它添加进去,然后扫描,它会把相关联的文件搜到,然后再清理,大部分都可以解决

云儿

我也不知道那些lsass.exe都是来自哪里的，不过有了它WINDOWS清理助手就能找出一个pagefile的木马来，

我用AVG Anti-Spyware 7.5和诺顿把软件什么都扫描了，用的都是没问题的软件啊

jyld

你可以试试WSP提到的360安全卫士,那个软件对各类插件,木马等都有详细说明,更遍于理解.

wsp

彻底一点就是：把笔记本电脑中的数据导出备份，然后重新分区格式化安装系统。不要上网，看是否还弹出错误，如果还出错那就是你的硬件问题，内存出问题的几率大。然后上网下载安全卫士360来修补系统漏洞，安装补丁。再安装杀毒软件，更新病毒库为最新。这些都做好了，再安装常用软件如泡泡，QQ等。这样能极大的避免染毒的几率，再次说，诺顿不怎么样。

云儿

QUOTE:

原帖由 jyld 于 2007-4-5 23:07 发表

对了,清理助手提供自定义功能,如果你能确定病毒文件名,可以把它添加进去,然后扫描,它会把相关联的文件搜到,然后再清理,大部分都可以解决

我不知道该查那个，反正lsass.exe窗口一出来，用清理助手肯定能找出pagefile来……不过它差的只是系统啊，像网易泡泡这种软件，不在系统里的怎么查？

我的意思是能查出来它会激发lsass.exe的话我不就可以提前避免了……不过这样还是没断根呀……

怎么能杀掉病毒，让我用网易泡泡或software installer也没事？

wsp

还有，你说你的台式机硬盘用AVG扫描了，但是我告诉你，AVG是专门针对木马的。你还需要用杀毒软件处理。经过长时间的试用，个人感觉卡巴斯基还是非常优秀的杀软，缺点也是很明显的: 拖机器，占资源，杀毒慢。但是他还是目前病毒检出率最高的软件。它的主动防御做的也不错。

jyld

其实各杀软公司都一样,都靠大家给他们提交病毒样本,分析后才能升级病毒库.
其实云儿应该能明白,既然你开着杀软安装别的软件还出问题,就说明这款杀软针对此病毒的防范能力较弱
但是应该想到的是,监控能力越强的杀软占用系统资源必然越大.系统变慢也正常
如果你开着诺顿的监控窗口就会发现,它会把你上网浏览时产生的临时文件都扫一遍,这样本身系统运行的速度就已经慢了.

[ 本帖最后由 jyld 于 2007-4-5 23:18 编辑 ]

云儿

QUOTE:

原帖由 wsp 于 2007-4-5 23:10 发表

彻底一点就是：把笔记本电脑中的数据导出备份，然后重新分区格式化安装系统。不要上网，看是否还弹出错误，如果还出错那就是你的硬件问题，内存出问题的几率大。然后上网下载安全卫士360来修补系统漏洞，安装补丁 ...

谢谢……我现在一直用诺顿是因为对它比较熟悉，别的都没接触过。

总之我就是不死心……就是要死也要死个明白……

我现凑合凑合用着，学习好了就彻底重新分区格式化了……

那么我重新分区格式化怎么操作？装系统的时候好像没有重新分区的选项？？？

wsp

装系统的时候有这个功能

云儿

QUOTE:

原帖由 wsp 于 2007-4-5 23:14 发表

还有，你说你的台式机硬盘用AVG扫描了，但是我告诉你，AVG是专门针对木马的。你还需要用杀毒软件处理。经过长时间的试用，个人感觉卡巴斯基还是非常优秀的杀软，缺点也是很明显的: 拖机器，占资源，杀毒慢。但是他 ...

也用诺顿扫描过……两个都没问题了我才用的……
我也不懂什么杀毒软件怎么搞……

我怎么觉得知道的越多就越不灵了似的……我身边的人都还不如我呢，一个个都看我笑话呢……他们都觉得有问题重装不就的了？重装还有问题啊——那你该换电脑了……*.*lll好像我很笨的样子……

卡巴司基中文版的吗？有下载地址没有？有时候网上好多地址都下不了

		自动登录	找回密码
密码			注册

没完没了的pagefile，不见不散的Symantec AntiVirus……系统的血泪——永远的斗争！

浏览过的版块

铜牌荣誉勋章(注册8年以上会员)

银牌荣誉勋章(注册10年以上会员)