金山网镖网络状态

问题描述：

金山网镖网络状态里面有两个进程
Generic Host Process for Win32 Services和
lsa shell (export verson)
这两是病毒吗?
有用吗?
怎么无法结束进程呢?
今天机器中毒了
有点可疑!
能不能说点重点的,全是复制的.还能行不了啊?

问题解答：

解决WINXP系统开机后弹出Generic host process for win32 services 遇到问题需要关闭！
出现上面这个错误一般有三种情况。
1.就是病毒。开机后会提示Generic Host Process for Win32 Services 遇到问题需要
关闭”“Remote Rrocedure Call (RPC)服务意外终止，然后就自动重起电脑。一般该病毒会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下建立msblast.exe键值，还会在c:\windows\system32目录下会放置一个msblast.exe的木马程，解决方案如下：
RPC漏洞
详细描述:
最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个安全漏洞。该漏洞影响使用RPC的DCOM接口，这个接口用来处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统权限，他将可以在系统上运行任意命令，如安装程序、查看或更改、删除数据或者是建立系统管理员权限的帐户等.
已发现的一个攻击现象：
攻击者在用户注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下建立一个叫“msupdate”(估计有变化)的键，键值一般为msblast.exeC:\windows\system32目录下会放置一个msblast.exe的木马程序.
另外受攻击者会出现“Generic Host Process for Win32 Services 遇到问题需要关闭”“Remote Rrocedure Call (RPC)服务意外终止，Windows必须立即重新启动”等错误信息而重启。
建议到http://www.microsoft.com/security/security_bulletins/ms03-026.asp下载相应补丁。如果已受攻击，建议先拔掉网线，在任务管理器中结束msblast.exe进程，清除注册表中的相应条目，删除system32下的木马程序，最后打补丁。

第二种情况是排除病毒后，还出现这样的问题，一般都是IE组件在注册表中注册信息被破坏，可以按下面的方法去解决该问题：
1。 在"开始"菜单中打开"运行"窗口，在其中输入"regsvr32 actxprxy.dll"，然后"确定"，接着会出现一个信息对话 框"DllRegisterServer in actxprxy.dll succeeded"，再次点击"确定"。
2 再次打开"运行"窗口，输入"regsvr32 shdocvw.dll
3 再次打开"运行"窗口，输入"regsvr32 oleaut32.dll
4 再次打开"运行"窗口，输入"regsvr32 actxprxy.dll
5 再次打开"运行"窗口，输入"regsvr32 mshtml.dll
6 再次打开"运行"窗口，输入"regsvr32 msjava.dll
7 再次打开"运行"窗口，输入"regsvr32 browseui.dll
8 再次打开"运行"窗口，输入"regsvr32 urlmon.dll
如果排除病毒问题后，做完上面的几个IE组件注册一般问题即可得到解决。

3.如果电脑有打印机，还可能是因为打印机驱动安装错误，也会造成这个错误。解决方法如下：
重装打印机驱动程序。
一般情况下做到上面三步后，该问题即可得到全面解决
参考资料：http://zhidao.baidu.com/question/143807.html

lsass.exe系统进程介绍
进程文件: lsass or lsass.exe

进程名称: 本地安全权限服务

描 述: 这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。

介 绍：这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞，正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查，构建超过1000个"AND"的请求，并发送给服务器，导致触发堆栈溢出，使Lsass.exe服务崩溃，系统在30秒内重新启动。
一种名为avserver.exe的病毒开始在互联网上流传，传播方式类似于blast病毒，该病毒利用微软windows漏洞传播，请各位及时搭好windows补丁。
中病毒后症状

和RPC的那种差不多 连着网一开机过一会就出现一个对话框（和XP里面强行关掉某个程序后出现的那种对话框差不多）说 LSA Shell(Export Version)出现问题，叫我选择调试/发送错误报告/不发送错误报告
不管选哪个一会就出现一个类似RPC一分钟关机的对话框：说C:\Windows\System32\lsass.exe引起错误需要关机，状态码是-1073741819 ，然后重启的时候如果仍然连着网线，登陆XP时还说我密码错误！！断网就可以登陆了~~

进程里面有xxxxx_up.exe ，lsass.exe ，avserver.exe 不停的往外建立tcp连接，使得打开ftp的时候说
no buffer space available
病毒会在windows\system32\下建立一个名为XXXXX_UP.exe文件，在windows目录下建立avserver.exe
中毒后暂时的解决办法：

1.解除关机倒计时窗口：调整系统时间为5.1之前的时间，如4.1号；在运行(run)里边运行shutdown -a

2.在系统进程中关闭有xxxx_up.exe avserver.exe进程，拔掉网线，安装网络防火墙或者打开windows自带的防火墙，关闭445端口的通信
3.重启到安全模式，手动删除windows\system32\下的一个名为XXXXX_UP.exe文件，在windows目录下的avserver.exe，以及启动项中的键值
4.安装系统补丁 ，还可以使用Windows自动更新
参考资料：反病毒