lsass.exe CPU usage 100% issue

自從幾個月前開始,桌機開機登入後 CPU 使用率就一直 100% 十幾分鐘,初期還不以為意,但到最近還是如此就覺得有點煩了,於是就開始找茶包製造商...

  • 首先,排除木馬、病毒可能性,因為系統防護太多層,這種可能性不高。
  • lsass.exe 有三個服務跟它有關,分別是 IPSEC Services、Protected Storage、Security Accounts Manager,先試著關了 IPSEC Services,但對於狀況沒有幫助,接下來就開始研究 Protected Storage,可以參閱 Microsoft 的文件,因為這服務剛好符合 Process Monitor 觀察發現 C:\Documents and Settings\Administrator\Application Data\Microsoft\Protect 頻繁存取的狀況。
  • Protect 裡有一個 S-1-5-21-X 的目錄,裡面有近三萬個 Keys,Google 了一會,發現有些人破幾十萬甚至上百萬,有幾篇文章指向 SQL Server 2008 相關服務、工具造成的,因此先移除了 SQL Server 2008,然後重開機,但是依舊沒有幫助,近三萬個檔案依舊存在。
  • 最後豁出去了!把 S-1-5-21-X 目錄壓縮備份後把裡面的檔案全砍了!
  • 結果是重開機登入後就沒再發生 CPU 使用率 100% 的狀況了!但是 Live Messenger 登入要我輸入帳號密碼,這表示部分系統或軟體儲存的帳密大概跟著去了。
  • 結論:只要刪除連續短時間(幾分鐘內之類)連續產生的大量 key 檔案就好了...

[追記]

隨著時間發現密碼會不見的有:

  • Microsoft Live Messenger
  • Microsoft Live Messenger 的設定也會不見
  • Microsoft Outlook 的電子郵件帳戶密碼
  • Microsoft Windows 網路芳鄰已存密碼
分類: 射茶包,標籤: 。這篇內容的永久連結