Lsass进程为系统进程,当发现这个进程占用了大量内存(有的占用了3G的内存),在某些内存不是很大的服务器上内存直接达到90%以上。
在发现这些内存出现问题的服务器上主要出现了如下状况:
1.杀毒软件扫描出同样的病毒文件。(看扫描出的病毒文件,怀疑为勒索病毒)
2.系统文件lsass.exe的大小变为30.5K(原正常文件大小为30.0K)。
处理方式:
网上找到的处理方法找到两种,一种是打补丁(Windows 7 SP1 和 Windows Server 2008 R2 SP1 (KB3156417))。另一种就是利用PE替换lsass程序文件。
两种方法我都测试过了,首先说一下用PE的方法(使用该方法一定要备份系统,或者克隆一下),虚拟机里进PE不是很好进,可以自己先准备一个PE镜像,然后将镜像切换为PE的镜像。进入后,发现用PE的文件管理器无法直接操作lsass文件,提示好像是权限不足。然后我就使用PE里的DiskGenius分区工具,然后找到lsass文件,再进行替换操作就可以了。在第一台server 2008 r2的机器上成功了,正常开机,并且内存也正常了。第二台server 2008 r2上同样的操作开机时却蓝屏了!所以利用PE操作一定要注意备份或者做镜像。
第二种方法打补丁。当时的机器补丁太老旧,上面只有一个补丁程序。
然后我就直接将系统更新给打开了,将补丁给更新到最新
重启后,内存降下来了,并且lsass文件也恢复到了30.0K。不过上面也没有KB3156417的补丁程序。打补丁的话建议直接将补丁都更新到最新。
建议遇到同样问题的人,先全盘查杀病毒,然后将补丁打至最新,建议不要用PE替换文件,可能会出现无法逆转的蓝屏(经测试就算将异常的lsass程序重新换回去也是蓝屏)
原文地址:http://blog.51cto.com/11789213/2296108