- Remove From My Forums
-
Вопрос
-
При загрузке Windows XP сообщение:
lsass.exe- Системная ошибка
При обновлении пароля этот код состояния возврата означает, что указан неверный текущий пароль
После чего система сразу перезагружается. Сразу скажу: что сделали с ней — не знаю. комп не мой.
Ответы
-
Скорее всего ты подцепил вирус. Прежде всего я бы проверил систему на вирусы антивирусной программой, ну и проверил бы систему на наличие апдейтов. Возможно, это SASSER WORM
http://www.microsoft.com/downloads/d…displaylang=en
http://www.microsoft.com/technet/sec…/MS04-011.mspxlsass.exe — Диспетчер учетных записей безопасности
Хранит информацию о безопасности для учетной записи локального пользователя.
Панель управления -> Администрирование -> Службы -> Диспетчер учетных записей безопасности -> СвойстваТип запуска — авто. Вход в систему вместе с учетной записью. Зависит от Удаленного вызова процедур (RPC). От диспетчера учетных записей зависит координатор распределенных транзакций. Если произойдет отказ службы, то ПК перезагрузится.
Я однажды боролся с SASSER WORM таким образом. Скачиваешь Sasser removal tool например отсюда http://www.microsoft.com/downloads/d…displaylang=en
http://www.microsoft.com/technet/sec…/MS04-011.mspxlsass.exe — Диспетчер учетных записей безопасности
Хранит информацию о безопасности для учетной записи локального пользователя.
Панель управления -> Администрирование -> Службы -> Диспетчер учетных записей безопасности -> СвойстваТип запуска — авто. Вход в систему вместе с учетной записью. Зависит от Удаленного вызова процедур (RPC). От диспетчера учетных записей зависит координатор распределенных транзакций. Если произойдет отказ службы, то ПК перезагрузится.
Я однажды боролся с SASSER WORM таким образом. Скачиваешь Sasser removal tool например отсюда http://symantec.com.ua/avcenter/venc/data/w32.sasser.removal.tool.html#top
отключаешь сетевой провод от зараженного компа. Запускаешь утиль, она тебе его чинит, ставишь все апдейты, обновляешь антивирусные проги и можно работать.
-
Помечено в качестве ответа
28 июля 2009 г. 7:19
-
Помечено в качестве ответа
by
·
Published
· Updated
The “lsass.exe” file is associated with Local Security Authentication Server – a process used to validate the log on credentials for your system. It generates the process required for logging onto the system, so if there is an error present it will prevent you from being login to your PC, or will cause various errors inside your computer. This issue could be caused by corrupt or damaged versions of the file, which can mean the file becomes unreadable and so Windows does not attempt to load it, but may also have various registry errors & problems causing the issue as well.
What Causes Lsass.exe Errors?
The error you may receive is:
lsass.exe – System Error
Security Accounts Manager initialization failed because of the following error: The handle is invalid, Error Status: 0xc0000008. Please click OK to shutdown this system and reboot into Safe Mode, check the event log for more detailed information.
This generally means the file is missing or corrupt. If the file is missing, this means Windows cannot locate the file and so produces this message and terminates it current tasks. If the file is corrupt, Windows can not read it correctly. Instead of going in a never ending loop the process actually terminates itself and this error message is displayed.
How To Fix Lsass.exe Errors
Step 1 – Load Up Lsass.exe From The Windows CD
Loading up the “lsass.exe” file from the Windows CD will provide your system with a brand new, clean file that should prevent this error from loading. To do this:
- Insert your Windows XP disc into your CD ROM tray
- Reboot your system from the CD-ROM (To do this, first turn off your system then enter the bios and change the “boot priority” – make sure you change nothing else in here as it could effect your system stability)
- At the welcome screen, hit R to enter recovery mode
- Press the number that relates to the Windows installation that needs repairing
- Type administrator password, if needed, and press enter
- Type the following commands on the “Recovery Console” screen and press “Enter” after each command:
- cd system32
ren msvcrt.dll msvcrt.old
G:
cd i386
expand msvcrt.dl_ C:windowssystem32
exit
(Where G is denoted the CD ROM drive)
This method will copy over the correct version of the file to your system so you can continue to use it without the lsass.exe error. However, sometimes this is not the case. If you are in this situation, please continue to step 2.
Step 2 – Update The Drivers Of Your System
The “drivers” of your PC are the software applications which allow your computer to correctly interact with the hardware of your system. These software are vitally important to allow the continued communication between your hardware and software and are used to not only maximise the performance of your software, but to also allow them to communicate basically between each other. You can follow this guide to update the drivers:
- Click “Start” > Control Panel > Device Manager
- Look through any devices which have a “yellow exclamation mark” by them
- Right-click the hardware
- Select “Update Driver”
This method should update your drivers, which if faulty, can cause the lsass.exe error on your system. This can also be achieved automatically by downloading & installing a driver update program for your system. Click To Download This Driver Update Program
Step 3 – Clean Out The Registry Of Your Computer
- Download This Registry Cleaner
Another big problem for this file is with the “registry” of your PC. This is a central database which stores all the files, settings and options that your computer requires to run – and is where Lsass.exe will have a lot of settings & options kept. Although the registry is highly important, it’s continually causing a lot of problems thanks to the way your PC will continually save a lot of its files incorrectly. To be sure this problem is not the case on your PC, it’s recommended that you download, install and run a registry repair program, which should fix any potential registry errors on your system.
Содержание
- Lsass exe системная ошибка и дальше не грузится виндовс
- Лучший отвечающий
- Вопрос
- Ответы
- Lsass exe системная ошибка и дальше не грузится виндовс
- Lsass exe системная ошибка и дальше не грузится виндовс
- Устранение неполадок Lsass.exe использования ЦП в контроллерах домена Active Directory
- Симптомы
- Причина
- Решение
- Процесс Lsass.exe аварийно завершает работу и из-за объекта параметров CNF NTDS в Active Directory в Windows регистрируется код ошибки 255
- Симптомы
- Решение
- Сведения об обновлении для Windows 8.1 и Windows Server 2012 R2
- Временное решение для Windows 8 и Windows Server 2012
- Сведения об исправлении для Windows 7 и Windows Server 2008 R2
- Сведения об исправлении для Windows Vista и Windows Server 2008
- Предварительные условия
- Сведения о реестре
- Необходимость перезагрузки
- Сведения о замене исправлений
- Статус
- Временное решение
- Дополнительные сведения
Lsass exe системная ошибка и дальше не грузится виндовс
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
При загрузке Windows XP сообщение:
lsass.exe- Системная ошибка
При обновлении пароля этот код состояния возврата означает, что указан неверный текущий пароль
Ответы
Скорее всего ты подцепил вирус. Прежде всего я бы проверил систему на вирусы антивирусной программой, ну и проверил бы систему на наличие апдейтов. Возможно, это SASSER WORM
http://www.microsoft.com/downloads/d. displaylang=en
http://www.microsoft.com/technet/sec. /MS04-011.mspx
Я однажды боролся с SASSER WORM таким образом. Скачиваешь Sasser removal tool например отсюда http://symantec.com.ua/avcenter/venc/data/w32.sasser.removal.tool.html#top
отключаешь сетевой провод от зараженного компа. Запускаешь утиль, она тебе его чинит, ставишь все апдейты, обновляешь антивирусные проги и можно работать.
Источник
Lsass exe системная ошибка и дальше не грузится виндовс
Сообщения: 49
Благодарности: 2
Так, мужики. Проблему решил. Суть была в том, что была повреждена БД AD («Невозможно запустить службу каталогов»), а именно файлы лежащие в каталоге c:/windows/ntds.
Сначало сделал как говорилось здесь
http://support.microsoft.com/kb/258062/ru (эту ссылку я давал в предыдущем посте).
В общем потратил в общей сложности на идентификацию ошибки и ее лечения пять часов. Помогло вот это, а именно использование утилиты Esentutl и тупо удаление соответствующих лог-файлов.
Может кому-нибудь пригодится.
» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>
Сообщения: 49
Благодарности: 2
Источник
Lsass exe системная ошибка и дальше не грузится виндовс
Сообщения: 49
Благодарности: 2
Так, мужики. Проблему решил. Суть была в том, что была повреждена БД AD («Невозможно запустить службу каталогов»), а именно файлы лежащие в каталоге c:/windows/ntds.
Сначало сделал как говорилось здесь
http://support.microsoft.com/kb/258062/ru (эту ссылку я давал в предыдущем посте).
В общем потратил в общей сложности на идентификацию ошибки и ее лечения пять часов. Помогло вот это, а именно использование утилиты Esentutl и тупо удаление соответствующих лог-файлов.
Может кому-нибудь пригодится.
Сообщения: 49
Благодарности: 2
Источник
Устранение неполадок Lsass.exe использования ЦП в контроллерах домена Active Directory
В этой статье решается Lsass.exe использования ЦП в контроллерах домена Active Directory.
Применяется к: Windows Server 2012 R2
Исходный номер КБ: 2550044
Симптомы
Эта проблема может быть видна следующим образом:
Причина
Эта проблема может быть вызвана различными одиночными или комбинированными вопросами. Почти каждая причина и решение этих проблем являются уникальными. В Windows Server 2008 и более поздней 2008 г. доступен следующий инструмент, который поможет определить причину проблемы:
Набор сбора данных Active Directory для монитора производительности
Решение
Чтобы устранить эту проблему, запустите набор данных Active Directory Для монитора производительности на контроллере домена во время устранения проблемы. Этот инструмент использует счетчики производительности и отслеживание для мониторинга проблемы. Затем он собирает отчет, в нем показаны сведения о потенциальных проблемах. Эти проблемы должны быть исследованы в качестве возможных причин.
Чтобы запустить сборщик данных Active Directory, выполните следующие действия:
После компиляции отчета перейдите в службу диагностики надежности и отчетов о производительности > > > System > Active Directory Diagnostics. Просмотр завершенных отчетов или отчетов.
В отчете содержится восемь широких категорий в соответствии с диагностическими результатами, которые будут содержать сведения и выводы в отчете. Она не всегда будет точной причиной проблемы. Но вы можете использовать его, чтобы определить, где исследовать, чтобы найти точную причину.
При высоком использовании ЦП Lsass.exe, проверьте часть диагностических результатов отчета. В нем показаны общие проблемы производительности. Также изучите категорию Active Directory. В нем подробно посвеяно, какие действия в это время делает контроллер домена. Например, какие запросы LDAP влияют на производительность.
Контроллеры домена часто чаще всего влияют на удаленные запросы с компьютеров в среде, запрашивая дорогостоящие запросы. Или они подвержены более высокому объему запросов. В сетевой части отчета можно определить удаленных клиентов, которые больше всего общаются с контроллером домена во время сбора данных диагностики.
Источник
Процесс Lsass.exe аварийно завершает работу и из-за объекта параметров CNF NTDS в Active Directory в Windows регистрируется код ошибки 255
Не уверены, если это нужное исправление? Этой проблемы мы добавили в наш которой можно подтвердить.
В данной статье описывается проблема, возникающая в Active Directory в Windows 8.1, Windows Server 2012 R2, Windows 8, Windows Server 2012, Windows 7, Windows Server 2008 R2, Пакет обновления 2 (SP2) для Windows Vista или Windows Server 2008 SP2. Исправления и обновления доступны для решения этой проблемы, за исключением Windows Server 2012 и Windows 8. Исправление имеет необходимых компонентов.
Симптомы
При NTDS Settings конфликтующие (CNF) объекта, созданного в Active Directory, процесс Lsass.exe может аварийно завершить работу и неожиданно перезагрузите контроллер домена. Кроме того в журнале системы регистрируются следующие события:
Имя журнала: приложения
Источник: Ошибка приложения
Дата: DateTime
Код события: 1000
Категории задач: Сбой события приложения
Уровень: ошибка
Ключевые слова: классический
Пользователь: н/д
Компьютер: имя_компьютера
описание
Виновный имя приложения: lsass.exe, версия: 6.1.7601.17725, штамп времени: 0x4ec483fc
Виновный имя модуля: ntdll.dll, версия: 6.1.7601.18229, штамп времени: 0x51fb164a
Код исключения: 0xc0000374
Смещение: 0x00000000000c4102
Этот идентификатор процесса: 0x1f4
Сбойное приложение время начала: 0x01ceb94c671de3dd
Этот путь приложения: C:Windowssystem32lsass.exe
Этот путь модуля: C:WindowsSYSTEM32ntdll.dll
Номер отчета: 80a2cd04-2540-11e3-99e2-441ea1d316a4
Этот пакет полное имя: % 14
Ошибка код приложения относительно пакета: % 15
Имя журнала: приложения
Источник: Microsoft-Windows-Wininit
Дата: DateTime
Код события: 1015
Категории задач: нет
Уровень: ошибка
Ключевые слова: классический
Пользователь: н/д
Компьютер: имя_компьютера
описание
Критический системный процесс, C:Windowssystem32lsass.exe, ошибка с кодом состояния 255. Необходимо перезагрузить компьютер.
Примечание. Параметры NTDS представляет контроллер домена в системе репликации. Объект параметров NTDS сохраняет объекты соединения, что способствует репликации между двумя или несколькими контроллерами домена.
Решение
Для решения этой проблемы, корпорация Майкрософт выпустила накопительный пакет обновления для Windows 8.1 и Windows Server 2012 R2. И корпорация Майкрософт выпустила исправление для Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008. Имеется также обходной путь для Windows 8.1, Windows Server 2012 R2, Windows 8, Windows Server 2012, Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008 SP2.
Сведения об обновлении для Windows 8.1 и Windows Server 2012 R2
Для решения этой проблемы в Windows Server 2012 R2 или Windows 8.1 установки накопительного пакета обновления 2955164. Дополнительные сведения о том, как получить этот накопительный пакет обновления щелкните следующий номер статьи базы знаний Майкрософт:
Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2 накопительный пакет обновления: мая 2014
Временное решение для Windows 8 и Windows Server 2012
Сведения об исправлении для Windows 7 и Windows Server 2008 R2
Чтобы устранить эту проблему в Windows 7 или Windows Server 2008 R2, установите исправление 2862304. Дополнительные сведения о получении исправлений щелкните следующий номер статьи базы знаний Майкрософт:
AD DS или AD LDS медленно реагирует на сложный запрос LDAP с глубоким фильтр на Windows server
Сведения об исправлении для Windows Vista и Windows Server 2008
Для решения этой проблемы в Windows Vista и Windows Server 2008, установите исправление, описанное в данной статье.
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.
Если исправление доступно для скачивания, имеется раздел «Пакет исправлений доступен для скачивания» в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Для получения полного списка телефонов поддержки и обслуживания клиентов корпорации Майкрософт, или для создания отдельного запроса на обслуживание, посетите следующий веб-сайт Майкрософт:
Примечание. В форме «Пакет исправлений доступен для скачивания» отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Это исправление необходимо использовать Пакет обновления 2 (SP2) для Windows Vista или Пакет обновления 2 (SP2) для Windows Server 2008.
Чтобы получить дополнительные сведения о получении пакета обновления для Windows Vista, щелкните следующий номер статьи базы знаний Майкрософт:
как получить последний пакет обновления для Windows VistaДополнительные сведения о том, как получить пакет обновления для Windows Server 2008, щелкните следующий номер статьи базы знаний Майкрософт:
Как получить последний пакет обновления для Windows Server 2008
Сведения о реестре
Для установки этого исправления нет необходимости вносить изменения в реестр.
Необходимость перезагрузки
После установки исправления компьютер необходимо перезагрузить.
Сведения о замене исправлений
Это исправление не заменяет ранее выпущенные исправления.
Глобальная версия этого исправления устанавливает файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.
Примечания к сведениям о файле Windows Vista и Windows Server 2008
Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SP n) и направлению поддержки (LDR, GDR) можно определить по номерам версий, как показано в следующей таблице.
Файлы МАНИФЕСТА (.manifest) и MUM (.mum), устанавливаемые для каждой среды, указаны отдельно в разделе «сведения о дополнительных файлах для системы Windows Vista и Windows Server 2008». MUM, МАНИФЕСТА и связанные файлы каталога безопасности (.cat), очень важны для поддержания состояния обновляемого компонента. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе «Относится к».
Временное решение
Чтобы обойти эту проблему, удалите все повторяющиеся объекты параметров NTDS, содержащие «CNF:» в имени.
Выполните следующие действия, чтобы найти объект параметров NTDS конфликта (CNF).
Откройте ldp.exe или оснастки ADSIEDIT.
Установите подключение и привязку к контроллеру домена.
Поиск раздела конфигурации для любого объекта, где содержится общее имя «CNF:» и класс объекта nTDSDSA. Например фильтр поиска LDAP может выглядеть следующим образом:
BaseDN =, CN = Конфигурация, DC = contoso, DC = com (& (ObjectClass=nTDSDSA)(CN=*CNF*))
Дополнительные сведения
Для получения дополнительных сведений о терминологии обновлений программного обеспечения щелкните следующий номер статьи базы знаний Майкрософт:
Описание Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт
Источник
Это обычно вызывается вирусом, который пытается загрузить каждый раз, когда приложение инициализируется. Фактический exe или dll, возможно, был удален сканером vrius, но ключ реестра все еще остается. Это то, что заставляет lsass терпеть неудачу. Есть раздел реестра, который необходимо отредактировать. но вы не можете загрузить Windows, чтобы войти в реестр. вам понадобится удаленный редактор реестра, например, BartPE или Ultimate Boot CD для Windows. ЭТО СЕРЬЕЗНЫЙ ХАРАКТЕР И МОЖЕТ F @ # $ ВАШЕГО КОМПЬЮТЕРА, поэтому, если у вас нет ПОЛНОЙ УВЕРЕННОСТИ, что вы знаете, как безопасно редактировать реестр, обратитесь к профессионалу.
Как только вы получите доступ к реестру, сделайте его резервную копию, а затем выполните поиск AppInit_Dlls. переименовал его в AppInit_Dlls.old. Затем создайте новый строковый ключ с именем AppInit_Dlls. оставьте его значение пустым, пустым. Сохраните изменения в реестре и перезагрузитесь в безопасном режиме с помощью F8. После загрузки Windows установите сканер MalwareBytes и выполните полное сканирование. Вам нужно будет перезагрузиться, чтобы убить все вирусы, и, вероятно, придется запустить полное сканирование второй раз в обычном режиме загрузки (не в безопасном режиме).
Затем установите серьезный антивирусный антивирусный сканер, ничего от McAfee или Norton Symantec не будет достаточно, это всего лишь шутки для лохов. спасибо интернет.
The Lsass.exe System Error is a problem that may affect a computer system running Windows XP. Lsass (Local Security Authentication Subsystem Service) manages the log in process information for accounts on the system.
Three things that may cause an error with the Lsass.exe process:
- The msvcrt.dll file was corrupted or replaced with an incompatible version.
- The user deleted or corrupted the Lsass.exe file.
- A virus made changes to the Lsass.exe file.
Restoring the Original msvcrt File
The system user must have access to the installation CD for their Operating System. Most Windows XP systems come with an installation disk, while newer versions may not if the system was pre-installed and can be restored through the recovery partition of their drive and the recovery console.
For those who have the installation media:
1) Insert the CD/DVD into system’s disc drive.
2) Restart the system while making sure that the BIOS is set to load the CD/DVD before attempting to load the hard disk. In some systems, there may be an option to choose which item is booted by entering the boot menu (usually on notebook PCs).
This will boot up the Windows Setup process from the disk.
Or
For those who have a recovery partition on their hard disk:
During the startup process, prior to booting into Windows, press the F11 button on the keyboard to tell the BIOS to load the recovery partition. In some systems, the key may be the “Ctrl” key or another option. Once the recovery partition has booted, the recovery options will be listed.
How to Restore msvcrt.dll from this point:
Through both the Installation media and the recovery partition, it is possible to access the recovery function at the “Welcome to Setup Screen” by pressing the letter “R” on the keyboard once.
This will open the restore command that allows the user to select from a list of possible installed Windows Operating Systems on the hard disk. Choose the option that is installed on the disk, which usually corresponds with the number “1,” but it can be other options depending on how the system is set up.
From this point, type in the administrator password (usually blank) then press “Enter” to continue.
Note: Depending on the system’s manufacturer, the user may need to use a special default administrator password instead of the one that is installed on the actual “Administrator” account. Check the computer manual or other reference materials if the default administrator password does not work.
This allows access to the recovery console, which looks very similar to a command prompt where commands can be typed in for the console to use. Type each of these commands and press the “Enter” key [ENTER] in the following order:
cd system32 [ENTER]
ren msvcrt.dll msvcrt.old [ENTER]
F: [ENTER]
cd i386 [ENTER]
expand msvcrt.dl_ C:windowssystem32 [ENTER]
exit [ENTER]
Restart when complete.
Note: “F:” is the letter of the drive that the CD/DVD is being loaded from so it can vary from machine to machine. If running from the recovery partition, it is important to know the drive letter for the recovery partition for it to work (but in some cases the recovery partition is hidden and has no physical drive letter assigned to it).
A breakdown of what is happening:
The “cd system32” command is changing the directory “cd” to system32 on the Windows partition of the hard disk.
The “ren” command is to rename the file “msvcrt.dll” to “msvcrt.old“, in order to replace it with later commands. The msvcrt.dll file is actually the “Microsoft Visual C++ Runtime” library file, which has a specialized function “_resetstkoflw” that is used to recover from a stack overflow with Windows.
The “F:” or whichever drive letter the recovery is coming from accesses that drive.
The “cdi386” command changes the directory to i386
The “Expand msvcrt.dl_C:windowssystem32” command tells the recovery console to place the new msvcrt.dll file at the C:windowssystem32 directory.
The “exit” command exits the recovery console then asks the user to restart the machine.
If the msvcrt.dll file was causing the problems with the startup, then the machine should now successfully boot into Windows without the Lsass.exe error.
When Lsass.exe is Deleted, Corrupted, or Misplaced
Sometimes people unknowingly damage their Windows distribution by deleting, renaming, moving or corrupting the Lsass.exe file, even though Windows warns not to change documents contained in various folders. When this happens, the system may run like normal until it goes into sleep mode and resumes or the system is rebooted. The user is then greeted with a blank screen and an error is displayed about denied access or a missing Lsass.exe file.
The main problem that this causes is it restricts the system from loading into Windows completely, which reduces the ability to resolve the issue.
In this instance, it is best to use the restoration process outlined above for the msvcrt.dll to replace the missing Lsass.exe file.
Another option is to connect the affected hard drive to another system. This process is advanced and only someone with experience should do it as the system may get damaged.
Once the hard disk is attached to the new system, navigate to the file structure to where the Lsass.exe file is located. Most commonly, this is found in the “C:WindowsSystem32” directory.
The user will then be able to copy the matching version of the Lsass.exe file from:
- The system that the hard disk was connected to (if the same version of Windows is available)
- A copy from the installation media for the Windows Version installed on the hard disk
- A correct version stored on external media
If the file was simply renamed or misplaced into another folder, the user can simply give the Lsass.exe file its original file name or replace it by moving it back into its original directory.
Once this process is complete, the user can then remove the hard disk safely (after the other computer has been shut down or the appropriate process to remove the disk has been fulfilled) then place it in the original computer that it was taken from. The system should then be able to successfully boot into Windows and allow the user to access the desktop once again.
Warning: The manual replacement of the Lsass.exe file via hard drive transplant should be a final measure and only someone who knows what they are doing should carry it out.
When a Virus Causes Lsass.exe Damage
An alternate method to combat this when signing onto Windows (not always possible when there is an Lsass.exe error) is to do the following:
Before the system is done booting and before the “Lsass.exe” program initiates, open the run dialog by either clicking the start button on the task bar then selecting run or holding down the “Windows” key and pressing the letter “R” for the shortcut to the dialog entry.
Enter the following phrase as a run command “shutdown-a” then press Enter or select the “ok” button to run the command.
Note: The “shutdown-a” command tells the computer to abort the shutdown procedure, which allows the user to continue with this remedy.
Once the computer connects to the Internet, navigate to the Microsoft Security Bulletin to update critical portions of the operating system that the virus affected. The security bulletin to look at is the MS04-11 (available at: MS04-11)
Download the file that is available in the list of options that corresponds with the Windows Operating system. Update the remote code execution controls on the machine to remedy the problem.
To apply the remedy to the computer, it is essential to have the correct security bulletin version. To install the update, open the resulting downloaded file from the download directory that it is in.
The update process will automatically continue once installation is authorized through the prompted messages.
Note: If the computer is not connected to the Internet, download the security bulletin update file onto a storage medium, which can then be executed from the computer once the shutdown abortion command has been run.
Once the security update is installed, ensure that a firewall is enabled and running correctly. This will help to prevent unauthorized access to the computer. Install an anti-virus service to help remove the virus and improve security.
Options to look into include:
Microsoft Security Essentials (Available at Microsoft)
AVG Antivirus Free Edition (Available at AVG Antivirus)
Malwarebytes Antimalware (Available at Malwarebytes)
Note: Update the anti-virus program to help rid the computer of viruses such as those that cause the Lsass.exe system error.
Last but not least, ensure that Windows is up to date. One of the best ways to do so is to run the system update service on the computer. In order to do this, visit the Microsoft Windows update site and follow the instructions that are provided. http://windowsupdate.microsoft.com/
If these options fail to fix the Lsass.exe error, try going through the steps once again to ensure that a crucial step was not missed. If the problem persists, ensure that a secondary source is not causing the problem.
Suggestions for Lsass.exe Virus Removal Include:
Booting in Safe Mode – Press the “F8” key during the startup sequence to show the extra boot options. Choose the “Load Windows in Safe Mode” option then use an anti-virus program or perform one of the fix options mentioned above to attempt to resolve the issue.
Restoring from System Restore – Another option is to use the system restore feature to put the system back to a state where the problem did not exist. This requires momentary access to the system. Type in the following then press enter to initiate the system restore console: %systemroot%system32restorerstrui.exe
Follow the steps in the system restore console to restore the computer to a previous state where the problem did not exist. Once this is done, follow the steps above to update the computer operating system and secure it against similar problems for the future.
Note: In many cases, the Sasser worm or one of its many variants causes the Lsass.exe corruption. The Sasser worm can be halted with third party tools such as the Symantec removal tool, but patching of the system via updates and a thorough virus scan is necessary to ensure complete removal of the worm.
Download the Symantec Sasser Removal Tool at: Symantec