电脑启动时进不去，卡在用户界面，输入密码就蓝屏，并自动重启,怀疑中了三波病毒？

症状前描述：
我电脑设置的是双用户，一个是administrator,一个是自定义的，系统自定义来宾用户我一直禁用。平时都用的是administrator这个用户,晚上刚回家启动电脑，输入密码进入，结果蓝屏，我重复了几次都这样；换成自定义的管理员用户，能正常登陆了；注销该用户，换成超级用户，也能正常登陆了；没在意，以为系统出了小毛病。有事外出关机再次回来启动，双用户都出现这个情况。

出现症状：

电脑启动时进不去，卡在用户界面，输入密码就蓝屏，并自动重启。
NT AUTHORITY\SYSTEM 初始的失败，离关机时间还有XX秒
C:\windows\system32\lsass.exe意外终止，状态码为XX...,系统将关机并重新启动
0xXXXXXXXX指令引用的0xXXXXXXXX内存，不能为written

采取措施：1、采用安全网络连接模式启动了电脑，用金山毒霸、360安全卫士，杀毒彻底查杀，均没发现 病毒木马。
2、网上查了下相关资料，怀疑可能是中了三波病毒之类的蠕虫病毒，后下了一个冲击波病毒补丁，打补丁时提示“我的电脑上比所下的补丁还更新,不支持这个补丁”安装程序检测到此系统上安装的Service Pack版本比你要应用的更新系统版本要低。只能在没有安装Service pck的计算机安装此更新系统。
3、后到网上查了下冲击波症状的几种可疑进程类型，但在任务管理器里没发现，当然也许是我查的类型不够全面。
4、最后下了一个冲击波专杀工具，但是没杀出来。

求 教： 1、我电脑是不是真的中毒了，什么毒可能性大点。
2、真是三波病毒的话，能全面介绍下三波病毒的通常可疑进程么。
3、三波病毒的人工清除流程能详细介绍下么
4、若是采用杀毒+打补丁的话，有具体的流程要求么，比如注意事项：关闭什么端口，杀毒时不能打开非系统盘之类的等。
5、我不想重装系统，麻烦；主要是想多学习下。
6、电脑水菜，求高手不吝赐教。

1. 病毒运行时会将自身复制到window目录下，并命名为： msblast.exe。
　　2. 病毒运行时会在系统中建立一个名为：“BILLY”的互斥量，目的是病毒只保证在内存中有一份病毒体，为 冲击波病毒的传播了避免用户发现。
　　3. 病毒运行时会在内存中建立一个名为：“msblast.exe”的进程，该进程就是活的病毒体。
　　4. 病毒会修改注册表，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值："windows auto update"="msblast.exe"，以便每次启动系统时，病毒都会运行。
　　5. 病毒体内隐藏有一段文本信息：
　　I just want to say LOVE YOU SAN!!
　　billy gates why do you make this possible ? Stop making money and fix your software!!
　　6. 病毒会以20秒为间隔，每20秒检测一次网络状态，当网络可用时，病毒会在本地的UDP/69端口上建立一个tftp服务器，并启动一个攻击传播线程，不断地随机生成攻击地址，进行攻击，另外该病毒攻击时，会首先搜索子网的IP地址，以便就近攻击。
　　7. 当病毒扫描到计算机后，就会向目标计算机的TCP/135端口发送攻击数据。
　　8. 当病毒攻击成功后，便会监听目标计算机的TCP/4444端口作为后门，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到目标计算机上并运行。
　　9. 当病毒攻击失败时，可能会造成没有打补丁的Windows系统RPC服务崩溃，Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003，但是可以造成Windows Server2003系统的RPC服务崩溃，默认情况下是系统反复重启。
　　10. 病毒检测到当前系统月份是8月之后或者日期是15日之后，就会向微软的更新站点"发动拒绝服务攻击，使微软网站的更新站点无法为用户提供服务。
编辑本段
详细解决方案

手工清除方案
　　一、 DOS环境下清除该病毒：
　　1.当用户中招出现以上现象后，用DOS系统启动盘启动进入DOS环境下，进入C盘的操作系统目录.
　　 冲击波病毒操作命令集：
　　C:
　　CD C:\windows (或CD　c:\winnt)
　　2. 查找目录中的“msblast.exe”病毒文件。
　　命令操作集：
　　dir msblast.exe /s/p
　　3.找到后进入病毒所在的子目录，然后直接将该病毒文件删除。
　　Del msblast.exe
　　二、 在安全模式下清除病毒
　　如果用户手头没有DOS启动盘，还有一个方法，就是启动系统后进入安全模式，然后搜索C盘，查找 冲击波病毒msblast.exe文件，找到后直接将该文件删除，然后再次正常启动计算机即可。
利用工具解决方案
　　一、 利用瑞星专杀工具清除病毒：
　　用户直接点击：网址，即可下载瑞星专杀工具，进行病毒的清除工作
　　二、 使用瑞星杀毒软件清除病毒：
　　瑞星的用户可以直接到瑞星的网站上下载升级补丁包或者使用智能升级功能，将瑞星杀毒软件升级到15.48.01版本以上，然后打开所有的监控，并进行该病毒的清除。 冲击波病毒三、 使用瑞星防火墙禁止病毒端口：
　　第一步：双击瑞星个人防火墙图标，调出瑞星个人防火墙界面：第二步：选择“设置/设置规则”，调出设置界面：
　　第三步：填写TCP过滤规则，目的是过滤病毒使用的135和4444端口。选择“规则/添加规则”调出规则添加表，按照下图所示填写规则，其它的选项选择默认,然后点击“添加”按钮就添加了一个规则，就可以对该病毒进行过滤了。
　　第四步：填写UDP过滤规则，目的是过滤病毒使用的69端口。选择“规则/添加规则”调出规则添加表，按照下图所示填写规则，其它的选项选择默认，然后点击“添加”按钮就添加了一个规则，就可以对该病毒进行过滤了。
编辑本段
变种介绍——冲击波V（Worm.Blaster.E）

　　警惕程度：★★★★★
　　发作时间：随机 冲击波病毒病毒类型：蠕虫病毒
　　传播途径：网络/RPC漏洞
　　依赖系统: WINDOWS NT/2000/XP
病毒介绍
　　该变种病毒于2002年8月29日被瑞星全球反病毒监测网国内率先截获。该病毒变种在原始病毒上没有做大的改动，破坏力和“冲击波”病毒相同，只是重新改变了病毒互斥量、病毒文件名、注册表键值、攻击网址和病毒体内字符串,从而有效地躲避了杀毒软件的追杀。
　　病毒运行时会扫描网络，寻找操作系统为WINDOWS NT、2000、XP的计算机，然后通过RPC漏洞进行感染，并且绑定端口，危害系统。用户感染了该病毒后，计算机会出现各种异常情况，如：弹出RPC服务终止的对话框、系统反复重启、不能收发邮件、不能正常复制文件、无法正常浏览网页，复制粘贴等操作受到严重影响，DNS和IIS服务遭到非法拒绝服务等，另外，病毒大面积地泛滥还能使整个网络系统瘫痪。
　　病毒体内的字符串被改为：“I dedicate this particular strain to me ANG3L - hope yer enjoying yerself and don’t forget the promise for me B/DAY !!!!”。
　　病毒攻击的网站被改为
病毒的发现与清除
　　1. 病毒通过微软的最新RPC漏洞进行传播，因此用户应先给系统打上RPC补丁。
　　2. 病毒运行时会建立一个名为：“SILLY”的互斥量，使病毒自身不重复进入内存，并且病毒在内存中建立一个名为：“mslaugh.exe”的进程，用户可以用任务管理器将该病毒进程终止。
　　3. 病毒运行时会将自身复制为：%systemdir%\ mslaugh.exe,用户可以手动删除该病毒文件。
　　注意：%Windir%是一个变量，它指的是操作系统安装目录，默认是：“C:\Windows”或：“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量，它指的是操作系统安装目录中的系统目录，默认是：“C:\Windows\system”或：“c:\Winnt\system32”。
　　4. 病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项，在其中加入：“Windows Automation = mslaugh.exe”，进行自启动，用户可以手工清除该键值。
　　5. 病毒会用到135、4444、69等端口，用户可以使用防火墙软件将这些端口禁止或者使用“TCP/IP筛选” 功能，禁止这些端口。
　　6. 病毒体内存在有以下内容的字符串：“I dedicate this particular strain to me ANG3L - hope yer enjoying yerself and dont forget the promise for me B/DAY !!!!”
　　7. 病毒运行时会对网站发起拒绝式服务攻击。
　　用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了冲击波V（Worm.Blaster.E）病毒。为避免用户遭受损失，瑞星公司已于截获该病毒当天就进行了升级，瑞星杀毒软件2003版、瑞星在线杀毒、瑞星杀毒软件“下载版”，这三款产品每周三次同步升级，15.50.20版已可清除此病毒，目前瑞星用户只需及时升级手中的软件即可彻底拦截此病毒。
瑞星反病毒专家的安全建议
　　1. 建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。
　　2. 关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如FTP 客户端、Telnet和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。
　　3. 经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象红色代码、尼姆达等病毒，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。
　　4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。
　　5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。
　　6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏：如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。
　　7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、遇到问题要上报， 这样才能真正保障计算机的安全。
编辑本段
变种介绍——冲击波VI（Worm.Blaster.F）

　　警惕程度：★★★★★
　　发作时间：随机
　　病毒类型：蠕虫病毒
　　传播途径：网络/RPC漏洞
　　依赖系统: WINDOWS NT/2000/XP
病毒介绍
　　2003年9月2日，瑞星全球反病毒监测网国内率先截获了冲击波病毒的第六个变种--冲击波VI（Worm.Blaster.F）。该变种的病毒代码与“冲击波V”大体相同，只是个别代码有变化，因此瑞星杀毒软件无需升级就可以自动拦截并查杀。
　　据瑞星反病毒工程师分析，该病毒变种并不是“冲击波”病毒作者本人编写的，而是一些好事者为了让冲击波继续泛滥而进行改写的，因此没有给系统打上安全补丁的用户应立刻去微软网站安装相应的安全补丁。
　　该病毒和前三个变种病毒一样，没有在原始病毒上做大的改动，传染和破坏能力与"冲击波"病毒相同。作者将病毒体内的字符更换为：“What You Should Know About the Blaster Worm and Its Variants.（你应该了解冲击波蠕虫及其变种）”，将病毒体换为：“enbiei.exe”，将病毒键值换为 "="enbiei.exe"”，将攻击的网站换为：“手中没有杀毒软件的用户应注意根据这些特征进行手工清除病毒。
病毒的发现与清除
　　1. 病毒通过微软的最新RPC漏洞进行传播，因此用户应先给系统打上RPC补丁。
　　2. 病毒会在内存中建立一个名为：“enbiei.exe”的进程，用户可以用任务管理器将该病毒进程终止。
　　3. 病毒运行时会将自身复制为：%systemdir%\ enbiei.exe,用户可以手动删除该病毒文件。
　　注意：%Windir%是一个变量，它指的是操作系统安装目录，默认是：“C:\Windows”或：“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量，它指的是操作系统安装目录中的系统目录，默认是：“C:\Windows\system”或：“c:\Winnt\system32”。
　　4. 病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项，在其中加入：“进行自启动，用户可以手工清除该键值。
　　5. 病毒会用到tcp/135、udp/69等端口，用户可以使用防火墙软件将这些端口禁止。
　　6. 病毒体内存在有以下内容的字符串：“What You Should Know About the Blaster Worm and Its Variants.（你应该了解冲击波蠕虫及其变种）”。
　　7. 病毒运行时会对“网站发起SYN洪水攻击。
　　用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了冲击波VI（Worm.Blaster.F）病毒。由瑞星公司对“冲击波”系列病毒的查杀代码进行了优化，用户无需升级手中的软件即可查杀该病毒。瑞星杀毒软件2003版、瑞星在线杀毒、瑞星杀毒软件“下载版”，这三款产品每周三次同步升级，15.48.10版已可清除此病毒，目前瑞星用户只需升级到该版本即可彻底拦截此病毒。
瑞星反病毒专家的安全建议
　　1. 建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。
　　冲击波病毒
　　2. 关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。
　　3. 经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象红色代码、尼姆达等病毒，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。
　　4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。
　　5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。
　　6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏：如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。
　　7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、遇到问题要上报， 这样才能真正保障计算机的安全。
编辑本段
关于作者

　　FBI称冲击波病毒作者是一18岁少年
　　据Sohu报道，一名美国官员周四证实，联邦调查局（FBI）已经认定了一名18岁的少年是危险的蠕虫“冲击波”变种病毒(Blaster.B)的作者，计划在周五早晨逮捕他。
　　这名要求匿名的官员说，现在还不知道这名18岁少年的身份和家庭住址，他被控编写了“冲击波”蠕虫病毒。预计联邦调查局和在西雅图的美国司法部长办公室将在周五透露细节，在美国东部时间下午4：30计划召开新闻发布会。美国司法部长办公室的发言人哈丁表示，目前还没有人因此事被捕。据说一名证人看到这名少年测试病毒感染情况，并打电话报了警。
　　所有“冲击波”变种都利用了微软Windows操作系统的一种漏洞，微软在7月16日承认这种漏洞后，美国政府和业界专家就估计会出现病毒爆发。赛门铁克表示，“冲击波”蠕虫及其变种感染了50多万台计算机。
　　"冲击波"变种病毒作者获刑18个月
　　曾编写并散布了“冲击波”变种蠕虫病毒的美国青年杰弗里·帕森，2004年28日被美国西雅图一家地方法院判处18 个月徒刑。法官说，这对他已经是从轻处罚了。
　　据当地媒体报道，帕森，是美国明尼苏达州人。2003年8月，他将“冲击波”蠕虫病毒改编成“冲击波B”变种蠕虫并在网上散布，这一变种蠕虫攻击了至少4.8万台计算机。两个星期后，帕森在家中被美国联邦调查局侦探抓获。
　　去年，西雅图地方法院判定帕森因“攻击政府电脑”而有罪，他的最高刑期可能达10年，外加25万美元罚款。但在28日的判决中，法官认为帕森犯罪很大程度上是因为“教养不当”和“监管疏忽”，因而被判处了较短的刑期。
　　根据法院的判决，帕森在轻罪监狱服刑后，还必须参加10个月社区劳动，赔偿损失，并有3年监护期，有关民事赔偿的听证会将在2月举行。据微软公司的律师估计，赔偿额很可能高于100万美元。
　　“冲击波”及其几个变种借助网络传播，并利用了微软“视窗”操作系统的安全漏洞，被认为是破坏力最大的新型蠕虫病毒之一。根据微软公司的统计数据，自2003年以来全球已有800万至1600万台电脑被“冲击波”及其各个变种袭击，但“冲击波”蠕虫原型的编写者至今还没有被发现。

这是因为主机板得温度过热或启动时间太长，系统散热不不好 需要画一个主机板 因为可能少了 ！！！~~~~~ 以后别再这样用了啊~~~~

朋友，如果你坚持认为没有中毒，而又排除硬盘问题的话，那建议你刷个BIOS吧，应能解决问题。有些BIOS易被感染，却难已发觉。我是做维修的，如你所说的情况，我也见过，刷过BIOS后就正常了。当然，有些硬盘坏道，内存局部损坏也会引起这样的情况。建议朋友你先用排除法一样样来排除吧，这是最原始而最有效的办法。 电脑故障随机性较强，不能在一处给它定位，得多方面去尝试。如此，才能达到技术的上升及问题的解决。祝朋友好运。

建议重新搞系统！

这种情况下建议您进入安全模式进行全盘查杀尝试，因为安全模式是相对比较干净的环境，如果是病毒原因导致，可能可以正常调用杀软进行全盘查杀。