|
Компьютерный форум OSzone.net » Клиентские ОС Microsoft » Microsoft Windows 2000/XP » Ошибка - LSASS.EXE- системная ошибка |
|
|
Ошибка - LSASS.EXE- системная ошибка
|
Новый участник Сообщения: 5 |
Профиль | Отправить PM | Цитировать При загрузке WinXP выскакивает сообщение LSASS.EXE- системная ошибка. Службе или функции передан неверный параметр.При нажатии кнопки OK компьютер перезагружается. Тоже происходит если загружаюсь safemode. После восстановления WinXP из образа Acronic TrImage проблема остается.Проверил путем замены память,процессор-OK.
Подскажите в чем м.б причина? |
|
Отправлено: 20:39, 30-06-2006 |
Новый участник Сообщения: 11
|
Профиль | Отправить PM | Цитировать Вот это конечно совпадение так совпадение )
У меня ситуация 1 в 1 как у AOST, )))) Также стоит 2 системы... Одна из них ХП, вторая винда 7... Слетела таки винда ХП... я грешу на то, что я поставил весь кэш на неосновной жесткий диск... хотя с кэшем не втором диске комп работал норм несколько перезагрузок. Поэтому я в недоумении... очень много нужным программ поставлено на ХП... и крайне не хотелось бы переставлять систему. Умоляю о помощи, Дмитрий |
Отправлено: 01:01, 19-10-2009 | #21 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Сообщения: 53441
|
Профиль | Отправить PM | Цитировать AOST, Ar4ers, советую провериться в разделе форума Лечение систем от вредоносных программ, выполнив эти требования
|
Отправлено: 12:32, 19-10-2009 | #22 |
Ветеран Сообщения: 541
|
Профиль | Отправить PM | Цитировать AOST,Ar4ers,setara, Нам тоже принесли ноут с такой же ошибкой. Позавчера клиент где-то эту заразу подхватил. На ноуте установлена ХР. Шаги которые мы предприняли:
0. Внимательно прочитали эту ветку форума. Ну и про сам процесс http://www.filecheck.ru/process/lsass.exe.html 1. Обнулили BIOS на случай неправильных настроек и всяких разгонов (при возможности желательно BIOS вообще обновить, но у нас BIOS оказался единственным и следовательно последним). 2. Проверили память мемтестом. 3. Проверили жесткий диск Викторией (СМАРТ и бэд-блоки). 4. Проверили жесткий диска Виндоузским Чекдиском, на предмет повреждений в НТФС. 5. Если бы это был просто системник, то стоило бы еще проверить (а то и подменить) блок питания, кондеры, почистить от пыли и переложить термопасту, пощупать греются ли мосты, но на ноуте проверка железа более ограничена, поэтому мы ограничились предыдущими пунктами. 6. Пока шли всякие проверки, мы упорно пытали клиента на предмет обстоятельств поломки. Получалось, что он сидел в интернете, когда у него внезапно все зависло. Тогда он перезагрузился с помощью кнопки резет. Антивируса у него не было. По всему получалось - под подозрением вирусная активность, ну или, с меньшим шансом, винт или память (если учитывать некорректность горячей перезагрузки). Когда мы убедились, что с железом все более менее нормально, то принялись за программы. Править программное обеспечение на неисправном железе дело тухлодырое, можно провозиться неделю и вообще все потерять, поэтому лучше пару часов на проверку железа все-таки потратить. Далее мы 1. Стартовали с LiveCD и запустили свеженький только что выкачаный CureIT! и отловили пару троянов. Касперыч-однодневка запускаться отказался... (по опыту скажу, что бывает и наоборот, а в идеале, лучше прогнать оба антивируса; Они прекрасно друг друга дополняют и часто доделывают не доделаную конкурентом работу). 2. Далее попытались загрузиться с винта, но сообщение осталось. Из этого мы сделали неоднозначный вывод, что черви да трояны попортили реестр (вообще, если честно, возможны были и другие причины неисправности, но мы в качестве рабочей гипотезы приняли эту). Но поскольку причину мы уже (вроде бы) устранили, то оставалось поправить реестр. Нечто подобное есть в утилите AVZ, она позволяет восстанавливать поврежденные вирусами ключи реестра (после удаления самих вирусов) парой кликов мыши (этот пример даже описывается в справке утилиты на ее сайте), но запустить ее не представлялось возможным, т.к. компьютер не загружался даже в безопасном режиме, и таск-менеджер с горячих клавиш не запускался тоже (иногда через него тоже можно запустить нужную программку). Тогда мы попытался восстановить реестр двумя путями по очереди (и, забегая вперед, скажу, что оба раза удачно). В первом случае, мы загрузились с LiveCD (мы пользовались последним Алкидом) 1. Зашли в папку C:\Windows\system32 и там же создали копию подкаталога \config 2. Потом, зашли в папку C:\Windows\repair и скопировали ее содержимое в папку C:\Windows\system32\config 3. Загрузка после этого прошла удачно, но откат получился на очень древнее число, возможно сразу после установки Винды, даже драйвера еще не были установленны. Хотя некоторые программы уже стояли. Тогда, мы снова загрузились с сидюка и восстановили папку C:\Windows\system32\config из сохраненной копии в прежнем виде (копия тоже осталась на всякий случай для других работ). Что бы убедится в этом мы еще раз перезагрузились и убедились, что первоначальная проблема восстановилась. Тогда, мы перешли к восстановлению реестра вторым способом. 1. Загрузившись, опять же с сидюка, мы в одном окне проводника открыли ту же папку C:\Windows\system32\config , а во втором C:\System Volum Information\ (не знаю стоит ли говорить, что отображение системных и скрытых файлов должно быть включено? в Алкиде оно уже включено по умолчанию, но в других LiveCD может потребоваться и включить). Там есть несколько папок вида "_restore{... и много-много циферок и буковок в фигурных скобках}". Мы выбрали тот который был за день до поломки. И зашли в нее. Там, в свою очередь, много-много папочек вида "RPxxx". Опять же мы выбрали ближайшую к дате поломки. Она, кстати, оказалась последней из проиндексированных (т.е. подсвеченых синим цветом). Внутри каждой из них есть еще папочка snapshot. 2.3.4. И в каждой из них лежат сохранненые ветки реестра. Так, например, файл с названием _REGISTRY_MACHINE_SYSTEM соответствует файлу system (без расширения) в папке C:\Windows\system32\config его надо туда только перенести с переименованием. Буквально, это выглядело так: мы выделили несколько веток реестра вида _REGISTRY_*... и скопировали их в папку C:\Windows\system32\config. Далее убивали файл без расширения, например, тот же самый system, а соответствующий ему файл из скопированных просто переименовывали именем только что удаленного. Помимо system'a мы таким же макаром восстановили ветку реестра software и, может быть зря (? не знаю), sam и security (просто было лень перезагружаться 8 раз, а Алкид имеет один единственный недостаток - он не очень быстро грузится). После этого все заработало. И этот вариант был гораздо красивей. Подцепились все драйвера, программы, настройки. Предупреждение 1: вообще этот метод лечения компьютера сыроват. Поэтому все исправления в реестре вы, если возьметесь их делать, будете их делать исключительно на свой страх и риск. Морально лучше подготовиться к полной переустановке Винды, сохранить нужные документы, архивы, сейвы игр на сторонний носитель. В этом опыте мы шли от довольно общих знаний о работе операционной системы, поэтому у нас остались дополнительные вопросы которые смог бы наверно разрулить какой-нибудь опытный сисадмин. Например, будут ли сохранены снапшоты в Винде с отключенным восстановлением системы? Какие точно ветки реестра ответственны за описанную проблему? Почему некоторые сохраненные ветки радикалльно различались по размеру? и т.п. Есть и другие ответов на которые я пока не знаю. Однако у этого метода есть неоспоримые преимущества: он опробован на практике, и он единственный в этой ветке форума (ветке основанной аж в 2006 году) предлагает реальный алгоритм шагов по восстановлению попорченых вирусами (а может быть и не только ими) веток реестра. Предупреждение 2: Все вышеизложенное действительно для Виндовз ХР. В других инкарнациях этой ОС места вашего поиска могут отличаться (но принципы видимо те же). Выполнять его можно не только в среде предложенной Алкидом (или любой другой версии WinPE), но и в командной строке консоли установочного диска Виндовс, или из Волков-Командера с поддержкой ntfs из набора, скажем, ХайренсБутСиДи. Скорей всего такая же правка возможна из под линукса. Главное знать ГДЕ ИСКАТЬ сохраненные Виндой ветки реестра и КУДА их КОПИРОВАТЬ (и ВО ЧТО ПЕРЕИМЕНОВЫВАТЬ) когда их найдешь. Логически вытекает, что если последние сохраненнки веток реестра повреждены, то надо пробовать предпоследние, затем пред-пред-последние и т.д. А когда все они будут перебраны то в запасе еще останется первый вариант описанный выше. Есть подозрение, что снова появился какой-то очередной вирус атакующий реестр. Все-таки два случая за один короткий срок после длительного перерыва. Возможно следует ждать и других подобных случаев. Возможно это очередная дыра в ОС, а может просто старая дыра не закрытая сервис-паками нерадивыми пользователями. Так же этим методом можно лечить ветки реестра поврежденные не только вирусами, но и в случае, например, если ветка реестра оказалсь записанной на поврежденную область диска (бэд-блок). Именно для этого необходимо до манипулирования ветками реестра все-таки найти и обезвредить хоть какой-нибудь деффект (аппаратный, вирусный или программный, может быть и сильно запущенный случай где представленны несколько видов повреждений). Только после тестов, проверки на вирусы и ПРАВКИ ошибок предложенный метод будет иметь смысл. В противном случае вы через некоторое время столкнетесь с той же проблемой. Но и после удачного восстановления вам будет необходимо пристально поприглядывать за компом, вдруг вы устранили не все причины неработоспособности? После восстановления работоспособности компьютера вам конечно необходимо установить все заплатки, сервис папки, почистить реестр Ц-Клинером или его аналогом, проверить работоспособность антивируса и актуальность его баз, удалить временные файлы интернет, сделать дефрагментацию ну и т.д. Короче, почистить не только его железную часть (это та процедура которую я предлагал сделать в начале), но и программную. UPD: Судя по комментам ниже проблему можно совершенно точно идентифицировать как вирусную активность. Соответственно для более полного обследования компьютера необходимо перейти к соответствующим веткам данного форума (эксперты выше давали соответствующие ссылки). UPD 2: Дополнительно порыл в этом направлении. Вот что о таком (или правильнее сказать подобном) способе восстановления пишет сам Майкрософт http://support.microsoft.com/kb/307545/ru |
------- Последний раз редактировалось StarMAUGLI, 26-10-2009 в 09:25. Причина: дополнения Отправлено: 09:53, 20-10-2009 | #23 |
Новый участник Сообщения: 11
|
Профиль | Отправить PM | Цитировать StarMAUGLI, нижайший поклон. Сделал как написано в выделенном, ныне жирным, тексте. Это оказался вирус, причем очень настойчивый... Выкуривать пришлось использую CureIT! AdAware и ComboFIX... причем пришлось дрвебом проверить 2 раза)))
Параша эта сидит в C:\Windows\system32 и в System Volume Information. Дрвеб обозвал ее FileKiller, из чего делаем выводы, что она портит файло=( Поэтому выполняя шаги в инструкции стоит все-таки потом в безопасном режиме проверить все еще разик дрвебом и ComboFIX. Кстати, CureIT!, AdAware и ComboFIX нашли каждый свои файлы... Так что советую просканить комп всеми ими. Всем удачи в борьбе с этой нечистью. |
Отправлено: 19:19, 21-10-2009 | #24 |
Новый участник Сообщения: 1
|
Профиль | Отправить PM | Цитировать Цитата AOST:
|
|
Отправлено: 23:22, 21-10-2009 | #25 |
Ветеран Сообщения: 541
|
Профиль | Отправить PM | Цитировать Ar4ers, Ага. Спасибо, что отписались. Статистика и дополнительная информация по этому вопросу, я думаю пригодится всем кто столкнется с этой проблемой.
Grom, Обязательно расскажите, что да как у вас получится. Ar4ers, Кстати у нас CureIT! обнаружил их под другими именами: spambot4434 и sunsearch. |
------- Отправлено: 09:18, 22-10-2009 | #26 |
Новый участник Сообщения: 11
|
Профиль | Отправить PM | Цитировать StarMAUGLI, плохие новости... система хоть и работает, но! опять аутпост говорит, что пытается запуститься файл ~.exe... очень грустно... попробую просканить комп и выложить лог на этот форум в раздел помощи по лечению систем
|
Отправлено: 12:19, 22-10-2009 | #27 |
Новый участник Сообщения: 11
|
Профиль | Отправить PM | Цитировать Также хочу сообщить отвратительное известие... Ни ДрВеб ни АдАваре ни Аутпост не обнаружили вирусов в файлах ~.exe и в System Volume Inf в обычном режиме... Что заставляет задуматься...
|
Отправлено: 12:56, 22-10-2009 | #28 |
Ветеран Сообщения: 541
|
Профиль | Отправить PM | Цитировать Ar4ers, Ты писал, что у тебя вирус был найден в System Volume Information. Насколько я понимаю, это ветки восстановления. Т.е. ты его удаляешь, а он опять из веток восстановления собирается. Для радикального его удаления я бы попробовал поставить флажок "отключить восстановление системы на всех дисках" (Мой компьютер -> Свойства -> Восстановление системы) и после этого прогнать антивирус. Но тогда не понятно откуда восстанавливать реестр...
Может быть попробовать сохранить System Volum Information на какую-нибудь флешку? отложить ее в сторону на время лечения, в случае удачного восстановления содержимое потереть, а в случае неудачного восстановить. Кстати, а пробовал ли ты более ранние снапшоты использовать? Вполне возможно, что этот вирус у тебя сидел и чуть раньше... Возьми например откуда-нибудь из середины списка (а что бы остальные снапшоты ненароком не пропали опять же сохранить их на сторонний носитель). Если результат окажется удачным, но не будет хватать каких-то важных программ, то можно будет взять снапшот посвежее, что-нибудь между серединой и последней сохраненкой и опять потестировать. И еще если ты уверен, что файл ~.exe это вирус попробуй найти его в реестре ручками. Т.е. сохрани текущий реестр в копию, а потом запусти поиск по этой маске. Вдруг поможет (кто-то же ее должен запускать, а для этого скорей всего существует ключ в реестре). Ну еще можно посмотреть CCleaner'ом в автозагрузке, там может быть какой-нибудь пускач типа _restore{...} (тогда его можно отключить и ловить вирусов). И конечно же поиск вирусов лучше производить со сторонней операционной системы (я имею в виду Live CD), ну или хотя бы в безопасном режиме (некоторые вирусы маскируются под драйверы, а к запущенному драйверу у ОС доступа нет, она может его только использовать, но ни проверить, ни удалить не сможет). Так же посмотри среди Служб, может есть какие-то странные с непонятными названиями, или без расшифровок, что данная служба делает. Если таковая найдется попробуй узнать про нее поподробнее в интернете и, если подозрения подтвердятся, безжалостно отключай ее, а затем снова гоняй антивирус. |
------- Последний раз редактировалось StarMAUGLI, 22-10-2009 в 14:01. Отправлено: 13:15, 22-10-2009 | #29 |
Новый участник Сообщения: 1
|
Профиль | Отправить PM | Цитировать Цитата AOST:
Сестра с одноклассников сохранила фото, фото сохранилось с названием типа JHFGXLDKFUGXLDKXJHGDLDKXJHGL.jpg запустила чтоб открыть, комп подвис, потом пишет такого файла нет. Хоть бы посмотрела на подозрительное название файла. Я как сразу почувствовал что после перезагрузки винда не загрузится, так оно и есть. Выдает эту ошибку, даже в безопасном режиме и черный экран с курсором, больше ничего. |
|
Отправлено: 13:38, 22-10-2009 | #30 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Ошибка - [решено] Services.exe и lsass.exe - Точка вход ненайдена | sagepro | Microsoft Windows 2000/XP | 2 | 12-11-2009 10:11 | |
Ошибка - lsass.exe системная ошибка. Службе или функции передан неверный параметр | malenkymuk | Microsoft Windows 2000/XP | 2 | 23-09-2009 20:05 | |
lsass.exe - Ошибка приложения | Shiirx | Microsoft Windows NT/2000/2003 | 9 | 11-12-2008 17:47 | |
[решено] Не грузится сервер. lsass.exe - системная ошибка | Arkey | Microsoft Windows NT/2000/2003 | 5 | 17-10-2008 02:14 | |
[решено] Ошибка при установке - lsass.exe | Animosic | Автоматическая установка Windows 2000/XP/2003 | 7 | 09-02-2008 10:47 |
|