記。回憶

關於部落格
說想說的,記想記的;<br />
未完待續。
  • 83036

    累積人氣

  • 0

    今日人氣

    0

    訂閱人氣

「Windows 正在啟動」很久,且登入後 lsass.exe 自動關機

[狀況描述]


同事昨天一大早便跑來我的座位大喊:「我的電腦壞掉了啦,開機開好久,而且一直重開機」。


跑去同事的電腦一看,果然有「C:WINDOWSsystem32lsass.exe 意外終止, 狀態碼為 - 2147483641 的系統處理序,系統即將關機再重新啟動。」並且倒數著 60 秒。


而重開機後,一路到「Windows 正在啟動」的畫面,就足足可以等上五到十分鐘,雖然後來可以成功地出現登入畫面,但只要一登入進去,就又會跳出上面那個訊息了。


這讓我想起多年前的「疾風病毒」,但這一個行之有年的老毒物,基本上已經被 Windows Update 和各大防毒軟體給排擠在外,所以不可能是「疾風病毒」 (或是大陸人稱的「震蕩波」XD)。


在網路上 Search 了好久,多是「Sasser 疾風病毒」的文章,總算在「酷!學園」找到了一篇相關的討論,而且解決辦法的日期就在昨天呀,真是一場及時雨。

[解決辦法]


1. 開機並進入安全模式 (開機 POST 畫面後以 F8 進入選單)


進入安全模式一樣會等上一段時間,然後登入後會發現底下的工作列跑不出來,因此可以按下 ctrl + alt + del 叫出工作管理員


2. 中止 lsass.exe,以避免稍後又要重開機


[工作管理員]-[檢視]-[選擇欄位],將 PID 程式識別元勾選起來。
跳到[處理程序]那一頁,將 lsass.exe 的 PID 記下來,如 284。
開啟 DOS 視窗 ([工作管理員]-[檔案]-[新工作]-輸入 cmd)
ntsd -c q -p 284
shutdown -a

ntsd 命列可以強制停掉某個 process,跑完後會自動要關機,請在 60 秒內打完 shutdown -a 的指令,以便停止關機的程序。


3. 刪除可能的病毒檔


這一步可以利用掃毒軟體做完整掃描來清除,但一來怕掃毒軟體不夠新會漏掃,二來掃描花的時間也很久,所以也可以手動刪除。
開啟 DOS 視窗 ([工作管理員]-[檔案]-[新工作]-輸入 cmd)
C:WINDOWSDebug62D4F8F5DDAC.exe
C:WINDOWSDebug62D4F8F5DDAC.dll
C:WINDOWSAVP.EXE
C:WINDOWSsystem32od3mdi.dll

其實在 Debug 中的 dll 檔案名稱會變,AVP.EXE 或 od3mdi.dll 不一定兩個一起存在,但應該會至少找到一個。


4. 清除 registry 檔


[工作管理員]-[檔案]-[新工作]-輸入 regedit,刪除
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVGADown

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}

其中的 {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} 依機器 identity 會不同。


5. 重新正常開機 (ctrl+alt+del - 關機)


6. 重新設定 winsock


如果開機後不能上網,便必須重設 winsock 值再重開機一次;如果開機後上網正常,這一步可省略。
[開始]-[執行]-輸入 netsh winsock reset



[參考文章]
http://phorum.study-area.org/viewtopic.php?p=246533
相簿設定
標籤設定
相簿狀態