高悬赏：安装xp sp3时，重启后出现lsass.exe-系统错误，再重启后正常

Posted 2023-04-26

在正常模式家怎么也安装不了，在安全模式下安装成功（没有任何错误信息）sp3后，要求重启。重启后，出现鼠标，还是黑屏时，弹出一个对话框
标题：lsass.exe - 系统错误
内容：系统资源不足，无法完成API。
点击确定或者右上角的X就会立即重启，不点就会在30秒左右后重启。
重启后就正常启动了，在我的电脑属性中，显示已经是sp3了。
系统信息：内存512MB,Windows XP Home Edition（家庭版）（正版）,c盘还有18G。没有感染病毒，进程中也只有一个lsass.exe。
问题：1.对话框的意思 ？（api lsass.exe是什么）
2.这样SP3就算装好了吗？对以后系统由副作用吗？
3.为什么会出现这个对话框，怎么会系统资源不足？
重装sp3还是这样 （不是重装系统）

再次重申：电脑里没有病毒！！！

sp3是一个更新包，微软网上下载，exe后缀的，根本就不是什么光盘安装的。和普通的补丁是差不多的形式

彻底解决LSASS.exe进程病毒！
smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意：smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。
如果你的启动菜单里有个lsass.exe启动项，那就证明你得lsass.exe木马病毒，中毒后，会在windows里产生lsass.exe和exert.exe两个病毒文件，还会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联。在进程里可以见到有两个相同的进程，分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行。LSASS.EXE管理exe类执行文件，exert.exe管理程序退出。

下载个进程管理器，找出问题进程的路径，手动终止LSASS.EXE和exert.exe两个进程（管理器不能终止LSASS.EXE,提示系统进程不能终止），打开msconfig.exe取消LSASS.EXE启动项。删除C:\Documents and Settings\Administrator\Local Settings\tempt和Temporary Internet Files下的文件,断开网络后再删除C:\Program Files\Common Files\update文件夹，这里exe类文件已不能运行，新建一个reg文件，输入如下内容：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe]
@="exefile"
"Content Type"="％1，%*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler]
@="098f2470-bae0-11cd-b579-08002b30bfeb"
或用工具恢复注册表。

系统程序“lsass.exe”弹出错误“无法定位程序输入点 LdrsetSessionName 于动态链接库 mfc40u.dll 上。”这个提示是由于系统被病毒破坏而产生的。是系统程序“lsass.exe”进程启动时弹出来的错误提示信息，真正的系统程序“lsass.exe”进程中是不会有这种提示信息的。之所以会弹出该提示，是因为病毒修改了系统“lsass.exe”程序的输入表(在输入表的尾部多加了一条调用信息“LdrsetSessionName”、“mfc40u.dll”)，同时病毒又使用自身释放出来的恶意DLL组件覆盖了系统本身的DLL组件“mfc40u.dll”(系统内原本就有这个DLL组件的)。当杀毒软件或安全软件发现了被病毒程序破坏的系统DLL组件“mfc40u.dll”(系统原DLL组件的功能是MFC的部分函数库，被病毒覆盖后的DLL组件的功能是木马下载器)后，就给强行删除掉了，但没有去修复系统程序“lsass.exe”文件的输入表，也没有还原被病毒破坏的系统DLL组件“mfc40u.dll”文件，所以出现了上边的错误提示信息。
病毒是利用磁盘过滤驱动去读写真实磁盘中的数据，然后去破坏系统“lsass.exe”和“mfc40u.dll”文件的。所以，不管系统“lsass.exe”和“mfc40u.dll”程序有没有在运行，都会被病毒破坏掉。该病毒使用了类似于“古老的机器狗病毒穿系统还原的设计原理”，并没有去破坏您系统的注册表中的数据信息。所以在网络上见很多人提出使用“重新注册系统‘mfc40u.dll’DLL组件的方法是不对的”，可能会对系统造成更大的破坏。要对症下药，不然很可能会越医越病！！
------------------------------------------------------------------------

------------------------------------------------------------------------
信息：
“C:\” = “这里的C盘为系统盘”
“lsass.exe” = “C:\WINDOWS\system32\lsass.exe”
“mfc40u.dll” = “C:\WINDOWS\system32\mfc40u.dll”
上述二个文件一般都可以在系统“C:\WINDOWS\system32\dllcache”目录下找到正常完好的系统备份文件。
------------------------------------------------------------------------

------------------------------------------------------------------------
修复方法步骤(经过实际测试绝对有效)：
-------------------------------------
一、系统可以启动登陆的修复方法：(转载请注明出自Coderui的博客，谢谢)
1：把系统程序“lsass.exe”文件和系统DLL组件程序“mfc40u.dll”文件同时改名，Windows系统是支持运行着的程序改名的。(如果您能终止掉系统程序“lsass.exe”和DLL组件“mfc40u.dll”的运行也可以)。
2：复制一个正常的系统程序“lsass.exe”文件保存为“C:\WINDOWS\system32\lsass.exe”文件。
3：复制一个正常的系统DLL组件程序“mfc40u.dll”文件保存为“C:\WINDOWS\system32\mfc40u.dll”文件。
4：按照上边的1-3步骤操作完毕后，重新启动一次计算机，一切修复完毕。
5：系统修复完毕后，要使用杀毒软件去查杀病毒。因为该病毒为木马下载器，它可能已经在您的计算机系统中安装了其它恶意程序(20款以上)。
-------------------------------------

-------------------------------------
二、系统无法启动登陆的修复方法：(转载请注明出自Coderui的博客，谢谢)
1：使用PE盘或DOS盘启动系统(这种情况下，安全模式是无法登陆的)。
2：复制一个正常的系统程序“lsass.exe”文件保存为“C:\WINDOWS\system32\lsass.exe”文件。
3：复制一个正常的系统DLL组件程序“mfc40u.dll”文件保存为“C:\WINDOWS\system32\mfc40u.dll”文件。
4：按照上边的1-3步骤操作完毕后，重新启动一次计算机，一切修复完毕。
5：系统修复完毕后，要使用杀毒软件去查杀病毒。因为该病毒为木马下载器，它可能已经在您的计算机系统中安装了其它恶意程序(20款以上)。
-------------------------------------

-------------------------------------
注意：
上述三个文件一般都可以在系统“C:\WINDOWS\system32\dllcache”目录下找到正常完好的系统备份文件。如果实在没有找到的话，可以去同一个版本的其它计算机系统中拷贝。
最好是断开网络修复系统，因为该病毒为木马下载器，它会连接网络向您的计算机中安装20多款其它恶意程序(如网络游戏盗号木马等)。
因为该病毒并没有去破坏或修改您系统中的注册表，请您不要去重新注册系统DLL组件“mfc40u.dll”，不然可能会带去不必要的麻烦。
-------------------------------------
------------------------------------------------------------------------

------------------------------------------------------------------------
这个病毒我们已经捕捉到了(转载请注明出自Coderui的博客，谢谢)，并做了分析和处理。上述方法在真实机器上测试修复通过，和大家分享下，希望可以帮助处于水深火热中的朋友们，这样大家就省去重新安装操作系统的麻烦了。

参考资料：http://bbs.janmeng.com/thread-778343-1-1.html

参考技术A 一、准备工作：
打开“我的电脑”——工具——文件夹选项——查看
[1][2][3]a、把“隐藏受保护的操作系统文件（推荐）”和“隐藏已知文件类型的扩展名”前面的勾去掉；
b、勾中“显示所有文件和文件夹”
二、结束进程
用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;
点到任务管理器进程面版，点击菜单，“查看”－“选择列”，在弹出的对话框中选择“PID（进程标识符）”，并点击“确定”。找到映象名称为“LSASS.exe”，并且用户名不是“SYSTEM”的一项，记住其PID号.点击“开始”——运行，输入“CMD”，点击“确定”打开命令行控制台。
输入“ntsd –c q -p (此红色部分填写你在任务管理器里看到的LSASS.EXE的PID列的数字，是当前用户名进程的PID，别看错了)”，比如我的计算机上就输入“ntsd –c q -p 1064”.这样进程就结束了。（如果结束了又会出现，那么你还是用下面的方法吧）
三、删除病毒文件
删除如下几个文件： （与WIN2000的目录有所不同）
C:\Program Files\Common Files\INTEXPLORE.pif （有的没有.pif）
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe （或者exeroute.exe）
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件.
四、删除注册表中的其他垃圾信息
将C:\WINDOWS目录下的“regedit.exe”改名为“regedit.com”并运行，删除以下项目：
1、HKEY_CLASSES_ROOT\WindowFiles
2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings
3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations项
4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP项
五、修复注册表中被篡改的键值（红色部分为需要信息）
1、将HKEY_CLASSES_ROOT\.exe的默认值修改为 “exefile”(原来是windowsfile)
2、将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默认值修改为 “C:\Program Files\Internet Explorer\iexplore.exe” %1 (原来是intexplore.com)
3、将HKEY_CLASSES_ROOT\CLSID\871C5380-42A0-1069-A2EA-08002B30309D \shell\OpenHomePage\Command 的默认值修改为
“C:\Program Files\Internet Explorer\IEXPLORE.EXE”(原来是INTEXPLORE.com)
4、将HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
的默认值修改为“C:\Program Files\Internet Explorer\iexplore.exe” %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
5、将HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和
HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为
“C:\Program Files\Internet Explorer\iexplore.exe” –nohome
6、将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默认值修改为“IEXPLORE.EXE”.(原来是INTEXPLORE.pif)
六、收尾工作
关掉注册表编辑器
将C:\WINDOWS目录下的regedit.com改回regedit.exe，如果提示有重名文件存在，不能更改，可以先将重名的regedit.exe删除，再将regedit.com改为regedit.exe。

参考资料：http://baike.baidu.com/view/134092.htm

参考技术B 就是这个病毒。辨别它最简单，你看你进程里面的lsass.exe的用户名，如果是SYSTEM，那就是正常的，如果还有一个是ADMINISTRATOR，或者你的用户名，那么恭喜你，中招了！呵呵，这个病毒最后很烦的，我的后来就是什么也用不了了，还死机，没办法，从新做了系统。
但是昨晚系统，你如果不了解它的话，那么几分钟内，你的电脑可能马上又中招，（我的就是那天我刚做好在外面做饭，我女朋友一点。。。。又作了一遍）。
这种病毒你重新装碗系统后，C盘没有bingdu了，但是它会在别的非系统盘符有遗留的隐藏文件，并且是类似安装程序的格式。所以你一旦双击这些盘符，你的电脑就又中了！ ]
解决的办法是-- 从资源管理器打开我的电脑，或者右键然后找到打开（如果有2个打开，就说明是病毒，一般选择第二个）在各个盘符根目录下，你通过打开“工具”---“文件夹选项”--“查看”然后把“隐藏受保护的操作系统文件”和“显示所有的文件和文件夹” （PS：男生知道，限制级别的片子最简单就是这么隐藏的） 然后你就可以看到2个病毒文件爱女了，一般一个是。EXE后缀的，一个是别的文件， 直接SHIFT+ DELETE 删掉，记得除刚做的C盘，别的盘都要这么做。然后什么也别做，充气电脑，这样就安全了。然后装杀毒杀吧，你会发现你电脑上基本所有的EXE后缀的程序文件都感染病毒了！不要乱点，杀吧！杀完就安全了！ 唉 ，可惜我的游戏都没了！ 参考技术C lsass是“Local Security Authority Service（本地安全认证服务）”的缩写，该进程的主要任务是负责系统的安全，进行安全认证以及策略的实施。
此症状很有可能是受到网络入侵或者是有木马病毒，解决办法也很简单，就是去Windows Update网站把所有的关键更新和安全更新的补丁打上。然后，在选择一个信得过的杀毒软件，并更新到最新的病毒定义，用该软件彻底扫描系统。 参考技术D “在正常模式家怎么也安装不了，在安全模式下安装成功（没有任何错误信息）sp3后，要求重启。重启后，出现鼠标，还是黑屏时，弹出一个对话框
标题：lsass.exe - 系统错误”
你是用原装光盘安装的吗？
建议：自己刻个最新的带sp3的xp克隆盘，用光盘启动后直接恢复系统分区即可。

解决XP安装ubuntu后，直接进入ubuntu，无法进入XP问题

我电脑出现的问题如下：
本来已经安装的系统为windows XP，在硬盘安装ubuntu后，重启系统，没有引导界面而是直接进入的ubuntu。
故障出在：没有grub引导界面。
解决方法如下：
不管三七21首先，更新一下grub
sudo update-grub    
下一步找到你的bootloader location
grub-probe -t device /boot/grub
然后安装grub2到刚才返回的那个区
sudo grub-install /dev/sdX  --注意修改最后的路径为上次的返回值
grub安装成功。然后在终端输入以下指令
sudo gedit /boot/grub/menu.lst
找到其中的title        Ubuntu 10.04 LTS, kernel 2.6.32-21-generic-pae
在它前面添加以下几句代码

title Microsoft Windows XP Professional
root (hd0,0)
chainloader +1
在终端输入命令
    sudo -i
    chmod +w /boot/grub/grub.cfg 【修改grub.cfg文件的操作权限】
    vi /boot/grub/grub.cfg 【编辑grub.cfg文件】
将其中的windows引导相关的部分进行修改：

    menuentry “Microsoft Windows XP Professional”
    set root=(hd0,1)
    search –no-floppy –fs-uuid –set 4a807ca0807c93e3
    drivemap -s (hd0) $root
    chainloader +1
   

修改成：

    menuentry “Microsoft Windows XP Professional”
    set root=(hd0,1)
    chainloader +1
   

7、修改好以后，存盘，关闭终端窗口，重新启动系统，修复成功！