lsass.exe--无法找到组件

分类: 电脑/网络 >> 反病毒 问题描述: 在百度搜索了一下，发现自己的电脑貌似中了病毒．但是关于清除lsass.exe的答案，我这个电脑 *** 看起来确实很困难．有没有简单一点的办法？ 解析: 进程文件： lsass 或者 lsass.exe 进程名称： Local Security Authority Service 进程名称： lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。lsass.exe文件异常错误引起60秒内关机的话可能是中毒了 EXERT.exe和LSASS.exe病毒木马专杀 手工清除：传奇终结者变种JBA（Trojan.PSW.Lmir.jba） 病毒档案 病毒名称：传奇终结者变种JBA（Trojan.PSW.Lmir.jba） 病毒类型：通过网络传播的盗号木马 病毒危害级别： 病毒发作现象及危害： 该病毒是一个可以在WIN9X/NT/2000/XP等操作系统上运行的盗号木马。病毒会强行终止多种杀毒软件的进程，使其不能正常运行。它会频繁检查“传奇”客户端的窗口，如果窗口存在，就会取得当前鼠标的位置，并记录键盘信息，最后把记录下来的信息发送到指定邮箱，从而窃取用户的游戏账号和密码等。 这个病毒比较狠毒，手工清除较为复杂。请用户务必按照步骤严格操作，否则很可能出现无法清除干净的情况。建议一般用户最好使用杀毒软件来清除这个病毒。 手工删除： 一 结束病毒进程 鼠标右键点击“任务栏”，选择“任务管理器”。点击菜单“查看”－>“选择列”，在弹出的对话框中选择“PID（进程标识符）”，并点击“确定”。 找到映象名称为“LSASS.exe”，并且用户名不是“SYSTEM”的一项，记住其PID号。 点击“开始”－》“运行”，输入“CMD”，点击“确定”打开命令行控制台。输入“ntsd –c q -p (PID)”，比如我的计算机上就输入“ntsd –c q -p 1464”。 注意：除了这步运行了"进程管理器"后,请任务管理器。不要执行其它的程序。下面需要做的就是删除病毒文件了。 二 删除病毒文件 打开“我的电脑”，设置显示所有的隐藏文件系统文件并显示文件扩展名。删除如下几个文件（windows XP为例2000机器为winnt目录） 小技巧：手工删除LSASS.exe和EXERT.exe文件后发现很快就又有了,怎么办呢？你可以在删除病毒文件后马上新建一个txt文件,然后改名为和病毒生成的exe文件为同名,把文件属性改为只读。这样可以阻止病毒文件再次生成。 del Crogram FilesCommon FilesINTEXPLORE.pif del Crogram FilesInter ExplorerINTEXPLORE del C:WINDOWSEXERT.exe del C:WINDOWSIO.SYS.BAK del C:WINDOWSLSASS.exe del C:WINDOWSDebugDebugProgram.exe del C:WINDOWSsystem32dxdiag del C:WINDOWSsystem32MSCONFIG.COM del C:WINDOWSsystem32 egedit 如果硬盘有其他分区，则在其他分区上点击鼠标右键，选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“mand”文件。 三删除注册表中的其他垃圾信息 这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。 将Windows目录下的“regedit.exe”改名为“regedit”并运行，删除以下项目： HKEY_CLASSES_ROOTWindowFiles HKEY_CURRENT_USERSofareVB and VBA Program Settings HKEY_CURRENT_USERSofareMicrosoftInter ExplorerMain下面的 Check_Associations项 HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInterINTEXPLORE.pif HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下面的ToP项。 将HKEY_CLASSES_ROOT.exe的默认值修改为“exefile” 将HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopenmand的默认值修改为“"Crogram FilesInter Exploreriexplore.exe" %1” 将HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand的默认值修改为“C:Program FilesInter ExplorerIEXPLORE.EXE” 将HKEY_CLASSES_ROOT tpshellopenmand和HKEY_CLASSES_ROOTfileshellopennewmand的默认值修改为“"C:Program FilesInter Exploreriexplore.exe" %1” 将HKEY_CLASSES_ROOTfileshellopenmand和HKEY_CLASSES_ROOTHTTPshellopenmand的默认值修改为“"C:Program FilesInter Exploreriexplore.exe" –nohome” 将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInter的默认值修改为“IEXPLORE.EXE”。 重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕。

分类: 电脑/网络 >> 反病毒 解析: 正常的系统中应该只有一个这个名字的进程建议杀毒 有两个lsass.exe，你用“进程管理软件”查看是不是来自：C:WINDOWSsystem32， 一些病毒，如W32.Nimos.Worm病毒会在其它位置模仿LSASS.EXE来运行。 如果发现有一个lsass.exe来自C:WINDOWS，就可以断定是病毒。查杀方法：（下载个超级兔子魔法设置和木马清除软件） 1、关闭其它已经打开的应用软件。 2、打开inter选项，清除所以历史纪录、cookis、历史文件 3、打开任务管理器--结束LSASS.exe和exert.exe进程，这里大家注意会有两个lsass.exe 一个是系统自带的，还有一个就是木马的，占用内存比较大的一般就是木马。 4、修改文件夹属性，显示系统隐藏文件和已知文件扩展名。 进入windows安装目录，2000为 X:winnt 。98，XP为X:WINDOWS 。 在安装目录下删除 lsass.exe和 exert.exe， (系统自带的lsass.exe在system32目录下，不可删除)，用资源管理器打开D盘，在根目录下删除mand和autorun.inf两个文件 5、将超级兔子魔法设置文件MagicSet.exe改名为Magicset，运行，魔法设置-文件及媒体，修复文件关联 6、为了保险，最后运行木马清除软件，查杀所有硬盘木马。 超级兔子魔法设置 7.45 正式版 onlinedown/soft/2636 Windows木马清道夫 8.5 onlinedown/soft/37369 Anti-Hacker&Trojan Expert(反黑客木马专家) 2003 Build 1.6 onlinedown/soft/3513 木马克星iparmor 5.50 build 2305 简体版 onlinedown/soft/2985

病毒感染、损坏的系统文件、配置错误。1、病毒感染：病毒会攻击lsass.exe进程，导致其无法正常加载安全模块。此时需要进行杀毒处理，清除病毒并修复受损的系统文件。2、损坏的系统文件：lsass.exe进程需要依赖一些系统文件才能正常工作，如果这些文件受到损坏或破坏，会导致lsass.exe无法正常加载安全模块。此时需要对受损的系统文件进行修复或替换。3、配置错误：系统配置错误会导致lsass.exe无法正常加载安全模块。此时可以尝试还原系统配置或重新安装系统。

分类: 电脑/网络 >> 反病毒 问题描述: 系统是XPSP2,装了卡吧6.0,卡吧发现不了这个病毒,在C:WINDOWSsystem32driverslsass.exe,这个进程的用户名是自己登陆的用户名,用任务栏管理器不能结束这个进程,用冰刃结束后,可以删除这个病毒,但过一会又会出现,进程里又运行,系统里不管运行哪个EXE文件都会产生.~tmp的文件,大小比这个EXE文件小一点,只要程序一关掉这个.~tmp自动消失,如:运行QQ.exe,就会产生QQ.~tmp的文件，然后卡吧会提示是风险软件，其他程序选跳过后可以运行，但QQ选跳过会提示QQ程序出错，请重新安装，重装后可以运行，也不会产生.~tmp文件,RAR文件都打不开,不能解压,除C盘外的每个文件夹都会产生_system~.ini.类似和威金差不多,.exe和.rar等图标的颜色会变的暗一点,好像有点变难看了,以上是我发现的病症,希望大家能找出是什么病毒手解决方法 解析: lsass.exe病毒木马手工清除方法 病毒症状 进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生mand和autorun.inf两个文件，同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe，修改HKEY_CLASSES_ROOT下的.exe，exefile键值，并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEMEXERT.exe上. 该病毒新建如下文件： c:program filesmon filesINTEXPLORE.pif c:program filesinter explorerINTEXPLORE %SYSTEMdebugdebugprogram.exe %SYSTEMsystem32Anskya0.exe %SYSTEMsystem32dxdiag %SYSTEMsystem32MSCONFIG %SYSTEMsystem32 egedit %SYSTEMsystem32LSASS.exe %SYSTEMsystem32EXERT.exe 解决方法 1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看(V)"－>"选择列(S)..."，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"－》“运行”，输入"CMD"，点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)"，比如我的计算机上就输入"ntsd –c q -p 1064". 2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了. 截图如下: 删除如下几个文件： C:Program FilesCommon FilesINTEXPLORE.pif C:Program FilesInter ExplorerINTEXPLORE C:WINDOWSEXERT.exe C:WINDOWSIO.SYS.BAK C:WINDOWSLSASS.exe C:WINDOWSDebugDebugProgram.exe C:WINDOWSsystem32dxdiag C:WINDOWSsystem32MSCONFIG.COM C:WINDOWSsystem32 egedit 在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"mand"文件. 3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。 将Windows目录下的"regedit.exe"改名为"regedit"并运行，删除以下项目： HKEY_CLASSES_ROOTWindowFiles HKEY_CURRENT_USERSofareVB and VBA Program Settings HKEY_CURRENT_USERSofareMicrosoftInter ExplorerMain 下面的 Check_Associations项 HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInterINTEXPLORE.pif HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下面的ToP项 将HKEY_CLASSES_ROOT.exe的默认值修改为 "exefile"(原来是windowsfile) 将HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopenmand 的默认值修改为 "C:Program FilesInter Exploreriexplore.exe" %1" (原来是intexplore) 将HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D} shellOpenHomePageCommand 的默认值修改为 "C:Program FilesInter ExplorerIEXPLORE.EXE"(原来是INTEXPLORE) 将HKEY_CLASSES_ROOT ftpshellopenmand 和HKEY_CLASSES_ROOTfileshellopennewmand 的默认值修改为"C:Program FilesInter Exploreriexplore.exe" %1" (原来的值分别是INTEXPLORE和INTEXPLORE.pif) 将HKEY_CLASSES_ROOT fileshellopenmand HKEY_CLASSES_ROOTHTTPshellopenmand的默认值修改为 "C:Program FilesInter Exploreriexplore.exe" –nohome” 将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInter 的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif) 重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕.Enjoy It .

说明系统的SAM密码文件损坏或丢失。没有SAM文件，直接用命令方法重新建一个用户账户即可，详细步骤：1、按下键盘上win+R键，打开运行对话框。2、在对话框中输入cmd命令。3、输入完成后 按下enter键，即打开了系统模拟的DOS环境--cmd命令行程序窗口。4、在cmd命令行程序窗口中输入：net user test 123456/add 命令。5、按下enter键就成功设置test用户。6、即可查看当前登录账号。

lsass.exe是一个系统进程，用于微软Windows系统的安全机制。用于本地安全和登陆策略。本地安全权限服务控制Windows安全机制，这是一个系统进程，它会随着系统启动而自动启动。管理IP安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等，是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。该进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。扩展资料：相关病毒：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。病毒描述：lsass.exe感染的病毒是一个可以在WIN9X/NT/2000/XP等操作系统上运行的盗号木马。病毒会强行终止多种杀毒软件的进程，使其不能正常运行。病毒诊断：如果启动项里有个lsass.exe启动项，那就说明中了LSASS.EXE木马病毒，中毒后，在进程里可以见到有两个相同的进程，分别是lsass.exe和LSASS.EXE。同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行，LSASS.EXE管理exe类执行文件，exert.exe管理程序退出，还会在D盘根目录下产生和 autorun.inf两个文件，同时侵入注册表破坏系统文件关联。参考资料来源：百度百科-LSASS.EXE

一般情况下lsass.exe都会自动跟随系统执行，它是一个处理电脑用户相关资料或密码的进程，正常情况下，它只会占用很少的系统资源。网络中的一些病毒为了隐藏自己，会把自己模仿成跟lsass.exe一模一样的进程，如果电脑进程中的lsass.exe项目出现占用CPU资料过大等异常情况，那有很大可能是中病毒了。杀毒软件对于病毒有滞后性，查不到并不一定就没有病毒。当lsass进程出现异常情况时，建议先将杀毒软件更新到最新版本，然后进行全盘杀毒。如果扫描完没有查出是病毒，那有就是系统出了问题，可以通过以下步骤来禁用它。1、用右键点击计算机。2、选择管理-服务和应用程序-服务。3、双击右侧窗口Protected Storage弹出的对话框里面选停止。4、然后启动类型改为已禁用。如果还不能解决问题的话就只有重新安装操作系统这一种方法了。扩展资料lsass进程的作用是管理IP安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等，是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。不要直接在任务管理器停用lsass进程，因为这将会导致触发堆栈溢出，使Lsass.exe服务崩溃，系统会在60秒内重新启动，并且会导致一些功能的失效。参考资料：百度百科-LSASS.EXE

lasaa.exe是windows自带的系统进程，用于微软Windows系统的安全机制，它用于本地安全和登陆策略。一般的在管理器里就一个，用户名是system，不在启动项里它就是安全的，可以放心～

解决方法1结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看(V)"－>"选择列(S)..."，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"-->“运行”，输入"CMD"，点击"确定"打开命令行控制台。输入"ntsd–cq-p(PID)"，比如我的计算机上就输入"ntsd–cq-p1132".2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了(友情提示:待你把病毒清除后,请把"隐藏受保护的操作系统文件"打上钩,要不然以后很容易误删东西哦).3.删除如下几个文件：C:NEWTRO文件夹C:ProgramFilesCommonFilesINTEXPLORE.pifC:ProgramFilesInternetExplorerINTEXPLORE.comC:WINDOWSEXERT.exeC:WINDOWSIO.SYS.BAKC:WINDOWSLSASS.exeC:WINDOWSDebugDebugProgram.exeC:WINDOWSsystem32dxdiag.comC:WINDOWSsystem32MSCONFIG.COMC:WINDOWSsystem32regedit.com在D:盘上点击鼠标右键，选择“打开”(直接双击打开会使病毒自动运行!)。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.

lsass.exe是很重要的进程，用于安全认证。那么xp进不了系统lsass怎么办呢？小编这就为大家带来xp出现lsass错误无法开机的解决方法。xp出现lsass错误无法开机的解决方法：1、在开机出现“lsass.exe系统错误，安全帐户管理器初始化失败”时，大多数会黑屏，进不了系统，这种情况，只能在带命令提示符的安全模式或PE下去替换文件，但有时，也可能进入系统，或者可以进入安全模式，如果有这种机会，可以直接替换掉SAM文件。替换方法：进入C:WindowsRepait文件，直接复制SAM文件，把它复制到C:WindowsSystem32Config文件下；2、如果在C:WindowsSystem32Config文件下，没有这个SAM文件，复制会顺利进行，如果这个SAM文件，只是损坏，但还存在，复制时，就会弹出提示框，询问是否覆盖文件，按是即可，如果在系统下无法覆盖， 被系统阻止，则到安全模式下去覆盖试试，在替换文件时，把杀毒软件临时关闭一下，替换完后，重启电脑，就能进入系统了；3、如果不能进入系统，也进入不了安全模式，或者在这两种模式下，替换不了文件，可以试试带命令提示的安全模式。在开机过了自检后，立即按F8键，进入高级模式，在高级模式界面，选择其中的“带命令提示的安全模式”这一项，按Enter回车键进入；4、进入这种安全模式后，什么都没有，只有一个cmd命令提示框，先在这个框中输入cd c:windowssystem32Config命令，回车；5、等切换目录成功后，再输入下一条copy c:windows epaitsam命令，按Enter键回车，替换完后，重启电脑，就能进入系统了。扩展资料：Windows 7，是由微软公司（Microsoft）开发的操作系统，内核版本号为Windows NT 6.1。Windows 7可供家庭及商业工作环境：笔记本电脑 、多媒体中心等使用。和同为NT6成员的Windows Vista一脉相承，Windows 7继承了包括Aero风格等多项功能，并且在此基础上增添了些许功能。2019年1月15日，微软公司宣布，2020年1月14日停止对Windows7进行安全更新的支持。发展历程2008年1月，对选中的微软合作伙伴发布第一个公布版本Milestone 1，Build6519。在2008年的PDC（Professional Developers Conference，专业开发人员会议）上，微软发表了Windows 7的新工作列以及开始功能表，并在会议结束时发布了Build 6801，但是所发表的新工作列并没有在这个版本中出现。2009年7月14日，Windows 7正式开发完成，并于同年10月22日正式发布。10月23日，微软于中国正式发布Windows 7。2015年1月13日，微软正式终止了对Windows 7的主流支持，但仍然继续为Windows 7提供安全补丁支持，直到2020年1月14日正式结束对Windows 7的所有技术支持。[1]2019年1月15日，微软公司宣布Windows 7系统将于美国时间2020年1月14日正式退役，微软会停止对Windows 7的外延支持，也不再发布任何安全更新。[1]2020年1月14日，微软停止对Windows7的更新[2] 。

正常情况下lsass.exe不是病毒进程，再开机情况下只有一个lsass.exe的时候没有问题。lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。

1，win7系统登陆用户不带密码，打开任务管理器，观看到lsass.exe正常，打开浏览器的一瞬间，lsasscpu占用波动一下归零。正常。2，修改系统登陆用户密码，打开任务管理器，观看到lsass.exe正常，打开浏览器的一瞬间，lsass会持续占用cpu。

　　曾经案例：大名鼎鼎的蠕虫病毒“震荡波”利用的就是Windows LSASS的一个缓冲溢出漏洞。针对此漏洞进行攻击可以使LSASS.EXE缓冲区溢出，并使得攻击者取得对目标系统的完全控制权限。被攻击的系统会出现一些症状，比如LSASS.EXE出乎意料地弹出一个一分钟倒计时窗口，提示“LSASS.EXE出错需要关机”。www.sq120.com推荐文章 默默无闻的LSASS进程 　　悟空等人一大早便来到教室，见谭教授进入教室，悟空马上问道：“这一课会讲些什么内容啊？”谭教授笑着答道：“今天我们讲的这个系统进程，虽然并不显眼，但是它却在系统中起关键的作用——它就是LSASS进程。” 　　谭教授解释道：“这是一个本地的安全授权服务，它会为使用Winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如使用默认的msgina.dll来执行的。如果授权是成功的，LSASS就会产生用户的进入令牌，令牌使用启动初始的Shell。其他的由用户初始化的进程继承这个令牌。而Windows活动目录远程堆栈溢出漏洞，正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查，构建超过1000个‘AND"的请求，并发送给服务器，导致触发堆栈溢出并且使LSASS.EXE服务崩溃，系统在60秒内重新启动。 　　小知识：LSASS是微软安全机制的系统进程，主要处理一些特殊的安全机制和登录策略，为Windows系统本地安全权限服务。注意：LSASS也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。 LSASS进程的作用 　　听完谭教授的解说，各位同学都面面相觑，最后还是八戒站起来问道：“这个LSASS进程是干什么的？它在系统中起什么作用？”谭教授回答道：“LSASS是Windows XP系统的一个核心进程，为很多系统服务提供了支持，这其中最主要的就是Policy Agent服务。该服务就是我们常说的IP安全策略服务，在Windows XP系统中默认安装的启动类型为自动，依赖于IPSEC driver、Remote Procedure Call、TCP/IP Protocol Driver等服务的支持。” 　　唐僧提问：“IP安全策略在Windows系统中可以起到什么作用？” 　　谭教授解释说：“IPSEC是一种用来保护内部网、专用网络以及外部网免遭黑客攻击的重要防御方法，主要特征在于它可对所有IP级的通信进行加密和认证。可以为我们系统起一个功能弱但是够用的防火墙，特别是在装机过程中，不需借助其他软件就很好地保护了系统。正是这一点才使IPSEC可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内的多种应用程序的安全。” 辨别真假LSASS进程 　　这时沙僧问道：“前面讲了这么多关于LSASS的知识，那么该进程的危害到底是什么？” 　　谭教授慢慢地说道：“LSASS进程最大的危险还是进程自身存在各种各样的漏洞。黑客利用这些漏洞生成各种各样的危险病毒，并且利用这些漏洞生成大量的网页木马。” 　　悟空马上接着说：“除此以外，该进程还可能被进行线程插入操作。虽然在以前的课程中并不是每个进程都提到了线程的插入，但是现在一些刚刚推出的木马程序，在进行线程插入的时候已经不会单单是插入到某个特定的进程中了，而是可以让用户自定义插入进程。例如最近就有一款名为‘上兴"的木马程序，在它的服务端配置程序中就有‘插入system32目录的系统文件"这一项。于是黑客完全可以将服务端进程插入到包括LSASS.EXE在内的任何系统进程中，所以说是非常危险的。” 　　沙僧又问道：“如何分辨真假LSASS进程呢？”谭教授说道：“首先我们要确定系统中只有一个LSASS进程，如果出现两个以上的这个进程，那么其中必有一个是假冒的。LSASS进程是一个本地服务，所以它一定不会连接互联网的。如果防火墙提示用户说LSASS进程要连接网络，那么这个进程必然是假的，我们通过防火墙提示的路径顺藤摸瓜就可以找到假的了。” 　　谭教授讲完以上的内容，微微一笑说：“各位同学，经过本期的学习，你们已经了解了有关LSASS进程的知识。但是要熟练掌握这些知识，同学们只有多复习、多实践，我相信大家一定能成功驾驭各种进程的。” 结束语

lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略.不能删除。如果杀软查到病毒，说明LSASS.EXE可能被木马感染了，可以用木马克星分离出来清除如果你的启动菜单里有个lsass.exe启动项，那就证明你中了lsass.exe木马病毒，中毒后，会在windows里产生lsass.exe和exert.exe两个病毒文件，还会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联.

lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。 出品者： Microsoft Corp. 属于： Microsoft Windows Operating System 如果你的启动菜单里有个lsass.exe启动项，那就证明你得lsass.exe木马病毒，中毒后，会在windows里产生lsass.exe和exert.exe两个病毒文件，还会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联，以下说一下本人对该病毒的杀法，以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个文件，这两个文件是隐藏的，再到D：删除command.com和autorun.inf两个文件，最后重启电脑到DOS 运行，用scanreg/restore 命令来恢复注册表，（如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表），重启后进到WINDOWS桌面用杀毒软件（本人用金山毒霸2006）全面杀毒，清除余下的病毒！ 在进程里可以见到有两个相同的进程，分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行。LSASS.EXE管理exe类执行文件，exert.exe管理程序退出。下载个进程管理器，找出问题进程的路径，手动终止LSASS.EXE和exert.exe两个进程（管理器不能终止LSASS.EXE,提示系统进程不能终止），打开msconfig.exe取消LSASS.EXE启动项。删除C:Documents and SettingsAdministratorLocal Settings empt和Temporary Internet Files下的文件,断开网络后再删除C:Program FilesCommon Filesupdate文件夹，这里exe类文件已不能运行，新建一个reg文件，输入如下内容： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESOFTWAREClasses.exe] @="exefile" "Content Type"="％1，%*" [HKEY_LOCAL_MACHINESOFTWAREClasses.exePersistentHandler] @="{098f2470-bae0-11cd-b579-08002b30bfeb}" 或用工具恢复注册表。

LSASS：该进程是多个Windows系统服务的宿主。包括：1)HTTPSSL，通过安全套接字层(SSL)实现HTTP服务的安全超文本传送协议(HTTPS)。2)IPSECServices，提供TCP/IP网络上客户端和服务器之间端对端的安全，如果此服务被停用，网络上客户端和服务器之间的TCP/IP安全将不稳定。3)KerberosKeyDistributionCenter，在域控制器上此服务启用用户使用Kerberos授权协议登录网络。如果此服务在域控制器上被停用，用户将无法登录网络。4)NetLogon，为用户和服务身份验证维护此计算机和域控制器之间的安全通道。如果此服务被停用，计算机可能无法验证用户和服务身份并且域控制器无法注册DNS记录。5)NTLMSecuritySupportProvider，为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。6)ProtectedStorage，保护敏感数据(如私钥)的存信蛰息短进瞩程尹库侣息饮processlib.net拄bbs.processlib.net缮www.processlib.net猪www.processlib.net缮储，以便防止未授权的服务、过程或用户对其的非法访问。如果此服务被停用，保护性存储将不可用。7)SecurityAccountsManager，此服务的启动通知其他服务安全帐户管理(SAM)准备好接收请求。禁用此服务将使系统中的其他服务接收不到SAM准备好的通知，从而导致这些服务启动不正确。此服务不应被禁用。

复制文件首先找到电脑的C：WindowsSystem32文件夹，找到lsass.exe文件，复制到我们电脑相同位置下：病毒查杀1、打开360安全卫士，进入主界面找到【木马查杀】选项，点击进入；2、点击下方列表中的【全盘扫描】选项，进行电脑的磁盘病毒扫描；3、扫描完成，在点击右下角的【漏洞修复】选项，查看我们电脑当前是否有漏洞存在。系统急救1、如果病毒查杀之后还是不能解决问题，进入360主界面点击下方的【更多】进入我的工具；2、在我的工具列表中找到【系统急救箱】工具，点击打开进行系统急救；3、进入急救箱界面。在修复模式中选择【强力模式】然后点击立即修复选项（需要有电脑基础的人操作）；以上便是解决电脑开机出现“lsass.exe 错误”提示的解决办法，这个问题主要是由于电脑感染病毒引起的，所以用户在日常的使用中，要多注意电脑的安全，尽量不去浏览那些未知安全性的网站。

它用于本地安全和登陆策略。 但请注意： lsass.exe也有可能是近来非常流行的“系统文件感染病毒”所释放，该类病毒可以通过各种移动存储介质（U盘、移动硬盘）、群发电子邮件、内网感染以及网页挂马传播，有些情况下你看到的lsass.exe这一进程，实则为木马所注册。木马允许黑客远程访问您的计算机窃取密码，网上银行以及各种隐私数据。成为了一个极大的安全隐患。 由于其他安全软件查杀该病毒后并不修复系统文件，导致电脑出现lsass.exe文件丢失使，可以使用可牛系统急救箱进行系统文件完美修复！ 截止今天，可牛杀毒安全中心监测到有为数不少的网游玩家的电脑感染了lsass.exe病毒，造成lsass.exe等系统文件丢失，以及网游账号被盗。现在使用可牛免费杀毒进行全盘扫描能够完美清除该病毒，修复系统文件。 木马“化身”lsass.exe系统文件，盗取网游账号，网民浑然不知 2009年末，木马感染系统文件成为最新趋势。在过去，木马为了侵入网游，必须在启动项中进行加载，所以安全软件可以通过启动项检查发现是否有木马进入系统。而如上文所提到的通过感染lsass.exe文件，从而将木马加载进网游进程的形势，可以绕过大多数安全软件的检测。这也是“系统文件感染病毒” 至今没有被主流杀软查杀的原因。 多数杀毒软件对这款盗号木马只能查杀但却不会进行修复，造成系统找不到lsass.exe文件，导致运行网游时弹出系统文件丢失提示。

一、虚拟内存不足常见的提示有：“lsass.exe系统错误：系统资源不够，无法完成API”。出现这种情况，一般是由于虚拟内存不足导致，这时我们可以利用启动光盘，比如winpe等，进入我的电脑—属性—高级—性能选项卡，设置虚拟内存为系统盘之外的磁盘空间比较大的分区—确定—重启电脑即可正常进入系统。设置虚拟内存时，一般都建议将虚拟内存设置为物理内存容量的1.5~2倍（分别为虚拟内存的最小值和最大值）。二、不小心误操作常见于试图更改密码，提供的密码不正确，或者位于“C：WindowsSystem32Config”目录下的sam文件（无扩展名）损坏。这个时候我们依然利用启动光盘，把“C：Windows epair”目录下的sam文件替换到上述路径即可。三、病毒原因，相关依赖文件丢失常见的提示有：“lsass.exe无法找到入口：无法定位程序输入点asn1ztcharstring_free于动态链接库msasn1.dll上”、“lsass.exe无法找到组件：没有找到dnsapi.dll”，至于是哪个dll丢失，则视情况而定。

您好lsass.exe并非病毒，而是属于系统的控制文件，只是被感染了病毒而已您可以到腾讯电脑管家官网下载一个电脑管家然后使用电脑管家——杀毒——全盘查杀即可电脑管家拥有管家系统修复引擎，可以在杀毒后智能修复因木马病毒导致的系统异常，维护电脑安全稳定运行。如果还有其他疑问和问题，欢迎再次来电脑管家企业平台进行提问，我们将尽全力为您解答疑难腾讯电脑管家企业平台：http://zhidao.baidu.com/c/guanjia/

lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。进入系统时出现一个对话框，提示“lsass.exe系统错误：系统资源不够，无法完成API。按“确定”按钮就重启，但仍出现此对话框。开机时按F8进入Windows高级选项，选择“最后一次正确配置”后无法进入系统（出现相同的提示）。故障分析：当试图更改密码时，你提供的当前密码不正确，导致系统在下次启动时报错。因为C:WINDOWSsystem32configsam文件（无扩展名）损坏。解决方法：在DOS下（用光盘启动到PE系统也行），用C:WINDOWS epairsam文件替换上述文件。特别提示：一些系统设置，如桌面图片、“我的文档”及收藏夹等的位置可能会改变（文件不会少），需要重新修改一下。补充说明：类似这种提示某个文件出错的故障也有可能是由于硬盘有坏道引起的数据暂时不能读取，如果你用的是Windows 2K/XP，可以用安装盘进行系统修复，是不需要全部重装的。进入维修界面后会让你选择一个操作系统（一般情况下就一个），然后会出现命令行提示符（和DOS状态类似），这时输入CHKDSK /r可以进行自动修复。

lsass.exe只是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。虽然lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的病毒.通过软盘、群发邮件和P2P文件共享进行传播。 因为lsass.exe本身存放在c:winntsystem32下，不过最好按照上楼的操作扫描一下。如果没有，你可以放心了。①乖老婆不应该让男人(伤心)【我】 ②乖老婆不应该让男人(怀疑)【爱】 ③乖老婆不应该让男人(宠坏)【老】 ④乖老婆不应该让男人(生气)【婆】

lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。 出品者： Microsoft Corp. 属于： Microsoft Windows Operating System 如果你的启动菜单里有个lsass.exe启动项，那就证明你得lsass.exe木马病毒，中毒后，会在windows里产生lsass.exe和exert.exe两个病毒文件，还会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联，以下说一下本人对该病毒的杀法，以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个文件，这两个文件是隐藏的，再到D：删除command.com和autorun.inf两个文件，最后重启电脑到DOS 运行，用scanreg/restore 命令来恢复注册表，（如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表），重启后进到WINDOWS桌面用杀毒软件（本人用金山毒霸2006）全面杀毒，清除余下的病毒！ 在进程里可以见到有两个相同的进程，分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行。LSASS.EXE管理exe类执行文件，exert.exe管理程序退出。下载个进程管理器，找出问题进程的路径，手动终止LSASS.EXE和exert.exe两个进程（管理器不能终止LSASS.EXE,提示系统进程不能终止），打开msconfig.exe取消LSASS.EXE启动项。删除C:Documents and SettingsAdministratorLocal Settings empt和Temporary Internet Files下的文件,断开网络后再删除C:Program FilesCommon Filesupdate文件夹，这里exe类文件已不能运行，新建一个reg文件，输入如下内容： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESOFTWAREClasses.exe] @="exefile" "Content Type"="％1，%*" [HKEY_LOCAL_MACHINESOFTWAREClasses.exePersistentHandler] @="{098f2470-bae0-11cd-b579-08002b30bfeb}" 或用工具恢复注册表。

你中了震荡波病毒了进程文件: lsass or lsass.exe 进程名称: 本地安全权限服务 描述: 这个本地安全权限服务控制Windows安全机制。 根据您的描述 您一定是中了震荡波病毒了，它作为一个线程附在了 lsass.exe 进程中。 震荡波补丁"下载 http://www.enet.com.cn/eschool/includes/zhuanti/zt/zhendanbo/35.shtml 如果没有Ghost ，不想重装系统 就照着下面的步骤一步步做吧。。祝你好运第 1 步：断开 Internet 连接 为了避免出现更多问题，请断开 Internet 连接： 宽带连接用户： 确定连接外置 DSL 或电缆调制解调器的电缆位置，然后从调制解调器或电话线插孔将该电缆拔下。 拨号连接用户：确定连接计算机内置调制解调器与电话线插孔的电缆位置，然后从电话线插孔或从计算机将该电缆拔下。 第 2 步：终止关机周期 此蠕虫会导致 LSASS.EXE 停止响应，此程序使操作系统在 60 秒钟后强行关机。 如果您的计算机开始关机，请按照这些步骤中断可能处于运行状态的任意系统关机进程。 在屏幕底部的任务栏上单击“开始”，然后单击“运行”。 键入“cmd”，然后单击“确定”。 在命令提示符下，键入“shutdown.exe -a”，然后按 ENTER。 第 3 步：减轻漏洞隐患 您可以通过创建日志文件来暂时消除令蠕虫病毒可通过其侵入计算机的漏洞。 创建日志文件 在屏幕底部的任务栏上单击“开始”，然后单击“运行”。 键入“cmd”，然后单击“确定”。 在命令提示符下键入“ echo dcpromo >%systemroot%debugdcpromo.log ”，然后按 ENTER。 将日志文件设置为只读属性 在命令提示符下键入“attrib +R %systemroot%debugdcpromo.log”，然后按 ENTER。 第 4 步：改善系统性能 如果您的计算机反应迟缓或者 Internet 连接速度过慢，则说明蠕虫病毒可能已经在您的局域网连接内扩散。 这会使您无法下载并安装所需的软件更新。 要改善系统性能： 按 CTRL+ALT+DELETE，然后单击“任务管理器”。 对于以下可能列出的每个任务，单击并选中该任务，然后单击“结束任务”按钮，将其结束。 任意以_up.exe 结尾的任务（例如 12345_up.exe）。 任意以avserve 开头的任务（例如 avserve.exe）。 任意以avserve2 开头的任务（例如 avserve2.exe）。 任意以skynetave 开头的任务（例如 skynetave.exe）。 hkey.exe msiwin84.exe wmiprvsw.exe 注意：切勿结束 wmiprvse.exe 任务；这是一个合法的系统任务。 第 5 步：启用防火墙 防火墙是一个软件或硬件，能够在计算机和 Internet 之间构筑一道保护屏障。 如果您的计算机已感染病毒，防火墙将有助于限制蠕虫的影响。 Windows XP 包含 Internet 连接防火墙 (ICF)。 要打开 ICF： 在屏幕底部的任务栏上单击“开始”，然后单击“控制面板”。 单击“网络与 Internet 连接”。 （如果未显示“网络与 Internet 连接”，请单击“控制面板”窗口左侧“控制面板”中的“切换到分类视图”。） 单击“网络连接”。 右键单击用于连接至 Internet 的拨号、LAN 或高速 Internet 连接 ，然后单击快捷菜单中的“属性”。 在“Internet 连接防火墙”的“高级”选项卡上，选择“保护我的计算机和网络”，然后单击“确定”。 现在，您便已开始启用 Windows XP 防火墙。 第 6 步：重新连接 Internet 将电缆（参阅第 1 步）重新接回计算机、电话线插孔或调制解调器。 第 7 步：安装所需的更新 要使以后您的计算机不受此蠕虫病毒的感染，您必须下载并安装安全更新 835732，此更新以 Microsoft 安全公告 MS04-011 发布。 要下载安全更新 835732，请转到 http://go.microsoft.com/?LinkID=526067 第 8 步：检查并移除震荡波蠕虫 在完成安装更新并重新启动计算机后，转到网页 http://www.microsoft.com/china/technet/security/incident/sasser.asp 上的“What You Should Know About the Sasser Worm and Its Variants”（对于震荡波蠕虫及其变体您应该了解的信息）。 使用震荡波蠕虫移除工具搜索您的硬盘并移除 Sasser.A、Sasser.B、Sasser.C 和 Sasser.D。 关于 Internet 连接防火墙 Windows XP Internet 连接防火墙能够屏蔽有用的任务，如通过网络共享文件或打印机，在应用程序中传输文件或多人联机游戏等。 虽然如此，Microsoft 建议您使用防火墙来保护您的计算机。 如果您打开了 Internet 连接防火墙，但发现您无法执行某些需要执行的任务，请阅读 http://www.microsoft.com/china/security/protect/ports.asp 上的“How to Open Ports in the Windows XP Internet Connection Firewall”（如何打开 Windows XP Internet 连接防火墙中的端口）。

lsass.exe病毒的查杀方法如果你的启动菜单里有个lsass.exe启动项，那就证明你得lsass.exe木马病毒，中毒后，会在windows里产生lsass.exe和exert.exe两个病毒文件，还会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联，以下说一下本人对该病毒的杀法，以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个文件，这两个文件是隐藏的，再到D：删除command.com和autorun.inf两个文件，最后重启电脑到DOS运行，用scanreg/restore命令来恢复注册表，（如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表），重启后进到WINDOWS桌面用杀毒软件全面杀毒，清除余下的病毒！木马http://zhidao.baidu.com/question/11985344.html有我的标准回答,没有杀不了的木马,第一次使用它清理30~50个木马广告不足奇怪

症状：Lsass.exe无法找到入口,无法定位程序输入点LdrSetSessionName于动态链接库mfc40udll,上随即出现黑屏 !近日一个危险的病毒！提示Lsass.exe无法找到入口电脑出现黑屏最近遇到很多客户出现一个相同的问题：系统启动至Windows XP滚动条后，出现错误提示 ：Lsass.exe无法找到入口,无法定位程序输入点LdrSetSessionName于动态链接库mfc40udll,上 随即出现黑屏 !!解决方法:有条件的话把硬盘取下来挂载在朋友机器上杀毒（杀毒是用WIN+E键盘单击选择盘符杀毒不可双击！）杀毒后把你朋友机器上 C:windowssystm32和C:windowssystm32dllcache 目录下的两个lsass.exe文件复制到你的系统盘相应目录下覆盖就OK了！没有条件就进带网络连接安全模式用360卫士扫描查杀一下在让朋友把上面说的文件传给你 覆盖OK关键是即使是在安全模式也同样无法进入，看来得用PE盘或DOS盘启动系统，提供两种办法：一、系统可以启动登陆的修复方法：1：把系统程序“lsass.exe”文件和系统DLL组件程序“mfc40u.dll”文件同时改名，Windows系统是支持运行着的程序改名的。(如果您能终止掉系统程序“lsass.exe”和DLL组件“mfc40u.dll”的运行也可以)。2：复制一个正常的系统程序“lsass.exe”文件保存为“C:WINDOWSsystem32lsass.exe”文件。3：复制一个正常的系统DLL组件程序“mfc40u.dll”文件保存为“C:WINDOWSsystem32mfc40u.dll”文件。4：按照上边的1-3步骤操作完毕后，重新启动一次计算机，一切修复完毕。5：系统修复完毕后，要使用杀毒软件去查杀病毒。因为该病毒为木马下载器，它可能已经在您的计算机系统中安装了其它恶意程序(20款以上)。-------------------------------------二、系统无法启动登陆的修复方法：1：使用PE盘或DOS盘启动系统(这种情况下，安全模式是无法登陆的)。2：复制一个正常的系统程序“lsass.exe”文件保存为“C:WINDOWSsystem32lsass.exe”文件。3：复制一个正常的系统DLL组件程序“mfc40u.dll”文件保存为“C:WINDOWSsystem32mfc40u.dll”文件。4：按照上边的1-3步骤操作完毕后，重新启动一次计算机，一切修复完毕。5：系统修复完毕后，要使用杀毒软件去查杀病毒。因为该病毒为木马下载器，它可能已经在您的计算机系统中安装了其它恶意程序(20款以上)。解决方法二试验成功，推荐使用．高手就不用了

lsass.exe为系统进程---本地安全机制,不用关闭,system用户,说明是系统用户,也就是权限最大的用户,比admin权限优先且大.所以不能只能结束,也结束不了.可以查杀什么软件植入lsass.exe.

震荡波”变种(Worm.Sasser.c) ，蠕虫病毒，利用 WINDOWS 平台的 Lsass 漏洞进行广泛传播，开启上千个线程不停攻击其它网上其它系统，病毒的攻击行为可让系统不停的倒计时重启。该病毒会严重堵塞网络。此次变种和变种 B 大体相同，只是提高了开启攻击的线程数，造成受感染的系统极慢或死机。以下是病毒详情： 病毒信息： 病毒名称: Worm.Sasser.c 中文名称: 震荡波变种C 病毒长度: 15,872 字节 威胁级别: 3A 病毒类型: 蠕虫 受影响系统: WinNT/Win2000/WinXP/Win2003 发现日期: 2004.05.02 处理日期: 2004.05.02 发作现象： · 使用AbortSystemShutdown API来防止系统重启或关机； · 它开启TCP端口5554来建立一个FTP服务器，用来当作感染其他机器的服务器； · 通过TCP445端口扫描随机的IP地址，当连接成功时，被感染的计算机向被连接机器发动溢出攻 击，被攻击的计算机将会自动连接被感染计算机的5554端口并通过FTP下载蠕虫的副本，名称一 般为4到5个数字加上"_up"的组合，如(78456_up.exe)； · 由于该病毒本身编写的漏洞存在，它运行一段时间后会导致LSASS.EXE的崩溃，当LSASS.EXE崩 溃时系统默认会重启。 · 同时开启1027个线程攻击； 特别说明：和最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器下载特定文件并运行，来达到感染的目的。 文件名为：avserve2.exe 其他细节：该自运行的蠕虫通过使用Windows的一个漏洞来传播[MS04-011 vulnerability (CAN-2003-0907)]，关于该漏洞的更多信息请访问： [url] http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx[/url] 该变种是.b变种的源码重新编译后，用同样的加壳工具加壳。 系统修改：（点击查看详情） A、拷贝自身到：%Windir%avserve2.exe B、在注册表主键： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下添加如下键值 : "avserve2.exe" = %SystemRoot%avserve2.exe C、拷贝其本身至系统目录： %System%\_up.exe D、在 C 盘根目录创建以下文件： C:win.log( 该文件用以记录本地主机的 IP 地址 ) E、使用 AbortSystemShutdown API 来防止系统重启或关机。 F、它开启 TCP 端口 5554 来建立一个 FTP 服务器，用来当作感染其他机器的服务器。 G、通过 TCP445 端口扫描随机的 IP 地址，当连接成功时，被感染的计算机向被连接机器发动溢出攻击，被攻击的计算机将会自动连接被感染计算机的 5554 端口并通过 FTP 下载蠕虫的副本，名称一般为 4 到 5 个数字加上 "_up" 的组合，如 (78456_up.exe) H、由于该病毒本身编写的漏洞存在，它运行一段时间后会导致 LSASS.EXE 的崩溃，当 LSASS.EXE 崩溃时系统默认会重启。 以下是 LSASS.EXE 崩溃时可能回弹出的窗口： I、 该自运行的蠕虫通过使用 Windows 的一个漏洞来传播 [MS04-011 vulnerability (CAN-2003-0907)] ，关于该漏洞的更多信息请访问： [url] http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx[/url] 金山毒霸关于 MS04-011 的相关报道： [url] http://www.duba.net/c/2004/04/14/110870.shtml[/url] 解决方案: · 请使用金山毒霸2004年05月02日的病毒库可完全处理该病毒； · 手工解决方案 首先，若系统为WinMe，则请先关闭系统还原功能； （毒霸论坛：反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系统还原”功能） 步骤一，使用进程序管里器结束病毒进程 右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务 管理器中，单击“进程”标签，在例表栏内找到病毒进程“avserve2.exe”，单击“结束进程 按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”； 步骤二，查找并删除病毒程序 通过“我的电脑”或“资源管理器”进入系统目录（Winnt或windows)，找到文件 "avserve2.exe"，将它删除;然后进入系统目录(Winntsystem32或windowssystem32)，找到文 件"*_up.exe", 将它们删除； 步骤三，清除病毒在注册表里添加的项 打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter； 在左边的面板中, 双击（按箭头顺序查找，找到后双击）： HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun 在右边的面板中, 找到并删除如下项目： "avserve2.exe" = %SystemRoot%avserve2.exe 关闭注册表编辑器

lsass.exe病毒的查杀方法 如果你的启动菜单里有个lsass.exe启动项，那就证明你得lsass.exe木马病毒，中毒后，会在windows里产生lsass.exe和exert.exe两个病毒文件，还会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联，以下说一下本人对该病毒的杀法，以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个文件，这两个文件是隐藏的，再到D：删除command.com和autorun.inf两个文件，最后重启电脑到DOS 运行，用scanreg/restore 命令来恢复注册表，（如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表），重启后进到WINDOWS桌面用杀毒软件（本人用金山毒霸2006）全面杀毒，清除余下的病毒！ 在进程里可以见到有两个相同的进程，分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行。LSASS.EXE管理exe类执行文件，exert.exe管理程序退出。下载个进程管理器，找出问题进程的路径，手动终止LSASS.EXE和exert.exe两个进程（管理器不能终止LSASS.EXE,提示系统进程不能终止），打开msconfig.exe取消LSASS.EXE启动项。删除C:Documents and SettingsAdministratorLocal Settings empt和Temporary Internet Files下的文件,断开网络后再删除C:Program FilesCommon Filesupdate文件夹，这里exe类文件已不能运行，新建一个reg文件，输入如下内容： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESOFTWAREClasses.exe] @="exefile" "Content Type"="％1，%*" [HKEY_LOCAL_MACHINESOFTWAREClasses.exePersistentHandler] @="{098f2470-bae0-11cd-b579-08002b30bfeb}" 或用工具恢复注册表。

lsass.exe进程文件:lsassorlsass.exe进程名称:本地安全权限服务描述:这个本地安全权限服务控制Windows安全机制。是否为系统进程:是楼主的电脑肯定是中了木马，进程LSASS。EXE不正常，然后结束掉，结果后果很严重。我记得结束前有个警告，楼主肯定没看！估计得重装了。

LSASS.EXE 进程文件： lsass 或者 lsass.exe进程名称： Local Security Authority Service进程名称： lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。如果你的启动菜单（开始-运行-输入“msconfig”）里有个lsass.exe启动项，那就证明你的lsass.exe是木马病毒，中毒后，在进程里可以见到有两个相同的进程，分别是lsass.exe和LSASS.EXE，同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行，LSASS.EXE管理exe类执行文件，exert.exe管理程序退出，还会在D盘根目录下产生command.com和 autorun.inf两个文件，同时侵入注册表破坏系统文件关联。以下说一下本人对该病毒的杀法，以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个文件，这两个文件是隐藏的，再到 D：删除command.com和autorun.inf两个文件，最后重启电脑到DOS 运行，用scanreg/restore 命令来恢复注册表，（如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表），重启后进到WINDOWS桌面用杀毒软件，全面杀毒，清除余下的病毒！出品者： Microsoft Corp.属于： Microsoft Windows Operating System系统进程： 是后台程序： 是使用网络： 否硬件相关： 否常见错误： 未知N/A 内存使用： 未知N/A 安全等级 (0-5): 0间谍软件： 否 广告软件： 否Virus: 否 木马: 否

解决方法：解决：使用WINPE引导（pe真是个好东西，如果没有的话有dos启动盘也行，这个也没有的话我也没什么办法了），删除或者转移这些文件，清除系统的垃圾文件，总之，让系统盘的可用空间达到至少100M以上，系统才可以运行。理论上需要至少1G的可用空间，原则上越大越好。这个问题重在预防，xp在系统空间不足时会提示内存或系统资源不足。不要忽略。下载和安装的软件尽量不要放在c:盘，所有的下载程序如果不改的话默认都是存放到c:盘，软件也是，所以做这些事情的时候最好仔细的看一下。良好的的使用习惯会让你受益良多lsass.exe 系统错误—系统资源不够，无法完成API 朋友的电脑出问题了，让我去看看。开机后在进入WindowsXP欢迎界面之前，弹出了瑞星开机扫描程序，按任意键扫描后却没有发现任何病毒。扫描完成后，突然弹出对话框，提示“系统资源不足，无法完成API”，标题是“lsass.exe 系统错误”，点确定后就重启。重新试了几次，发现在弹出瑞星开机扫描程序时无论是扫描还是按“Esc”不扫描，都是一样的情况，看来并不是病毒或者这个开机扫描程序的问题。正常启动不行，试试开机后按F8选择“最后一次正确配置”，结果——还是一样的情况。继续重启，按F8，选择安全模式，怎么？在装载完基本的驱动程序和文件后，居然蓝屏了，提示"Unknown Hardware Error"。到了这个地步，看来是系统或者硬件的问题了（因为以前也曾经遇到过进入欢迎界面时弹出类似“lsass.exe 系统错误”的提示，后来经检测发现是硬盘的数据线接线问题）。由于朋友不怎么懂，也从来没有动过硬件，所以排除是硬件的问题，决定用“一键Ghost”还原系统，谁料备份的GHO文件找不到！应该是朋友误删了。只有用Partition Magic先格式化C盘，再重装系统了。运行Partition Magi，正准备格式化，咦？C盘怎么一点空间都不剩？有多大就已使用了多大。登录时出现的“系统资源不够，无法完成API”所说的系统资源不够会不会就是指硬盘空间不够？用光盘的Dos工具删除了C盘下面比较大的一个文件，再重启，问题解决！

它用于本地安全和登陆策略。注意： lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、 Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。如果你的启动菜单里有个lsass.exe启动项，那就证明你得lsass.exe木马病毒，中毒后，会在windows里产生lsass.exe和 exert.exe两个病毒文件，还会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联。在进程里可以见到有两个相同的进程，分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe 两个可执行文件，且在后台运行。LSASS.EXE管理exe类执行文件，exert.exe管理程序退出。

解决方法：这种情况，多数是系统的SAM密码文件损坏或丢失。有如下几种解决方法：1、用原始备份文件替换。2、在带命令提示符的安全模式下，用命令替换文件。3、用U盘PE进入电脑，在PE下替换文件;四，如果没有SAM文件，直接用命令方法重新建一个用户帐户。Lsass.exe是什么？1、在系统中，有一个lsass.exe进程，是系统非常重要的一个进程，随电脑一齐启动，用于安全认证，主要是验证登录密码，处理用户配置策略。2、病毒最喜欢入侵这个进程，如果在C:WindowsSystem32文件夹下，有两个这样的lsass.exe文件，肯定有个是病毒，一般病毒名为ISASS.exe，名字为大写，第一个字母为大写的i，并不是小写的L，删除这个假文件即可。

应用程序发生异常怎么办1.检查电脑是否存在病毒，请使用百度卫士进行木马查杀。2.系统文件损坏或丢失，盗版系统或Ghost版本系统，很容易出现该问题。建议：使用完整版或正版系统。3.安装的软件与系统或其它软件发生冲突，找到发生冲突的软件，卸载它。如果更新下载补丁不是该软件的错误补丁，也会引起软件异常，解决办法：卸载该软件，重新下载重新安装试试。顺便检查开机启动项，把没必要启动的启动项禁止开机启动。4.如果检查上面的都没问题，可以试试下面的方法。打开开始菜单→运行→输入cmd→回车，在命令提示符下输入下面命令 for %1 in (%windir%system32*.dll) do regsvr32.exe /s %1回车。完成后，在输入下面for %i in (%windir%system32*.ocx) do regsvr32.exe /s %i 回车。如果怕输入错误，可以复制这两条指令，然后在命令提示符后击鼠标右键，打“粘贴”，回车，耐心等待，直到屏幕滚动停止为止。（重启电脑）。

文章名称：修复系统无法启动登陆，系统程序"lsass.exe"弹出错误提示"无法定位程序输入点LdrsetSessionName于动态链接库mfc40u.dll上"的方法文章类型：系统修复、病毒查杀说明： 系统无法正常登陆，在启动时系统程序“lsass.exe”会弹出错误提示：“无法定位程序输入点 LdrsetSessionName 于动态链接库 mfc40u.dll 上。”或“没有找到 mfc40u.dll 组件，重新安装应用程序可能会修复此问题。”等信息的修复方法。------------------------------------------------------------------------------------------------------------------------------------------------介绍： 系统程序“lsass.exe”弹出错误“无法定位程序输入点 LdrsetSessionName 于动态链接库 mfc40u.dll 上。”这个提示是由于系统被病毒破坏而产生的。是系统程序“lsass.exe”进程启动时弹出来的错误提示信息，真正的系统程序“lsass.exe” 进程中是不会有这种提示信息的。之所以会弹出该提示，是因为病毒修改了系统“lsass.exe”程序的输入表(在输入表的尾部多加了一条调用信息 “LdrsetSessionName”、“mfc40u.dll”)，同时病毒又使用自身释放出来的恶意DLL组件覆盖了系统本身的DLL组件 “mfc40u.dll”(系统内原本就有这个DLL组件的)。当杀毒软件或安全软件发现了被病毒程序破坏的系统DLL组件“mfc40u.dll”(系统原DLL组件的功能是MFC的部分函数库，被病毒覆盖后的DLL组件的功能是木马下载器)后，就给强行删除掉了，但没有去修复系统程序 “lsass.exe”文件的输入表，也没有还原被病毒破坏的系统DLL组件“mfc40u.dll”文件，所以出现了上边的错误提示信息。 病毒是利用磁盘过滤驱动去读写真实磁盘中的数据，然后去破坏系统“lsass.exe”和“mfc40u.dll”文件的。所以，不管系统 “lsass.exe”和“mfc40u.dll”程序有没有在运行，都会被病毒破坏掉。该病毒使用了类似于“古老的机器狗病毒穿系统还原的设计原理”，并没有去破坏您系统的注册表中的数据信息。所以在网络上见很多人提出使用“重新注册系统‘mfc40u.dll"DLL组件的方法是不对的”，可能会对系统造成更大的破坏。要对症下药，不然很可能会越医越病！！------------------------------------------------------------------------------------------------------------------------------------------------信息：“C:” = “这里的C盘为系统盘”“lsass.exe” = “C:WINDOWSsystem32lsass.exe”“mfc40u.dll” = “C:WINDOWSsystem32mfc40u.dll”上述二个文件一般都可以在系统“C:WINDOWSsystem32dllcache”目录下找到正常完好的系统备份文件。------------------------------------------------------------------------------------------------------------------------------------------------修复方法步骤(经过实际测试绝对有效)：-------------------------------------一、系统可以启动登陆的修复方法：(转载请注明出自Coderui的博客，谢谢)1：把系统程序“lsass.exe”文件和系统DLL组件程序“mfc40u.dll”文件同时改名，Windows系统是支持运行着的程序改名的。(如果您能终止掉系统程序“lsass.exe”和DLL组件“mfc40u.dll”的运行也可以)。2：复制一个正常的系统程序“lsass.exe”文件保存为“C:WINDOWSsystem32lsass.exe”文件。3：复制一个正常的系统DLL组件程序“mfc40u.dll”文件保存为“C:WINDOWSsystem32mfc40u.dll”文件。4：按照上边的1-3步骤操作完毕后，重新启动一次计算机，一切修复完毕。5：系统修复完毕后，要使用杀毒软件去查杀病毒。因为该病毒为木马下载器，它可能已经在您的计算机系统中安装了其它恶意程序(20款以上)。--------------------------------------------------------------------------二、系统无法启动登陆的修复方法：(转载请注明出自Coderui的博客，谢谢)1：使用PE盘或DOS盘启动系统(这种情况下，安全模式是无法登陆的)。2：复制一个正常的系统程序“lsass.exe”文件保存为“C:WINDOWSsystem32lsass.exe”文件。3：复制一个正常的系统DLL组件程序“mfc40u.dll”文件保存为“C:WINDOWSsystem32mfc40u.dll”文件。4：按照上边的1-3步骤操作完毕后，重新启动一次计算机，一切修复完毕。5：系统修复完毕后，要使用杀毒软件去查杀病毒。因为该病毒为木马下载器，它可能已经在您的计算机系统中安装了其它恶意程序(20款以上)。--------------------------------------------------------------------------注意：上述三个文件一般都可以在系统“C:WINDOWSsystem32dllcache”目录下找到正常完好的系统备份文件。如果实在没有找到的话，可以去同一个版本的其它计算机系统中拷贝。最好是断开网络修复系统，因为该病毒为木马下载器，它会连接网络向您的计算机中安装20多款其它恶意程序(如网络游戏盗号木马等)。因为该病毒并没有去破坏或修改您系统中的注册表，请您不要去重新注册系统DLL组件“mfc40u.dll”，不然可能会带去不必要的麻烦。-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------这个病毒我们已经捕捉到了(转载请注明出自Coderui的博客，谢谢)，并做了分析和处理。上述方法在真实机器上测试修复通过，和大家分享下，希望可以帮助处于水深火热中的朋友们，这样大家就省去重新安装操作系统的麻烦了。------------------------------------------------------------------------

这个错误很麻烦，好几种情况会造成lsass.exe错误，有可能是中毒了，亦可能是硬件驱动和系统冲突，还可能是软件和系统冲突。根源不好查，按照下述方法尝试修复，如果不行就重装系统：1、开机不断点击F8键，进入系统操作选单，选“最后一次正确配置”，重启电脑，看能否解决。2、开机不断点击F8键，进入系统操作选单，选“安全模式”，如能成功进入，依次单击“开始”→“所有程序”→“附件”→“系统工具”→“系统还原”，出现“系统还原对话框”，选择“恢复我的计算机到一个较早的时间”。 这样可以用Windows系统自带的系统还原功能，还原到以前能正常开机的时候一个还原点。（如果有的话）3、用系统安装光盘盘，放入光驱，重启电脑，进入光盘安装系统状态，等到启动界面闪过后，不要选安装系统，而是选修复系统，对目前系统进行修复（可能会运行很长时间，2-4小时都可能），耐心等待修复完成，看看是否能解决问题。如以上3个方法都无效，只能重装系统。建议你用”电脑店超级U盘启动盘制作工具V6.2（UEFI启动体验版)“制作U盘启动盘或者光盘启动盘来安装操作系统。为了顺利安装系统，不会中途卡机和当机，你必须先把你的所要安装系统的分区进行格式化，如果硬盘内有一两个系统恢复和保护性分区，它会阻止安装非本机OEM的系统，解决方法：就是彻底删除系统分区，并删除所有恢复性或保护性的小分区（一般大小为100--500M），再安装系统。最流行的的系统安装方法：用U盘做成系统启动安装盘首先要下载一个操作系统镜像文件可以在下面下载Windows各版本的操作系统，里面还有详细的电脑系统安装教程， ghost系统基地 www.ghost008.com 在里面下载你所需系统镜像文件（一般格式为：ISO）。具体方法：准备好一个等于或者大于4GB的U盘，先完成格式化。a、从电脑店U盘工具官方网站u.diannaodian.com （前面加：http://）-下载”电脑店超级U盘启动盘制作工具V6.1（UEFI启动体验版)“。b、运行程序之前请尽量关闭杀毒软件和安全类软件（本软件涉及对可移动磁盘的读写操作，部分杀软的误报可能会导致制作失败！）下载完成之后Windows XP系统下直接双击运行即可，Windows Vista或Windows7/8系统请点右键以管理员身份运行。 U盘启动安装盘的具体制作：1. 默认模式：默认模式1.1：打开主程序，插入U盘/SD卡等可移动设备，在磁盘列表里会自动列出当前电脑中所有的可移动磁盘的盘符、型号、容量等信息。默认模式1.2:选择你要制作启动的可移动磁盘，启动模式USB-HDD或USB-ZIP可选，默认采用USB-HDD模式。（chs模式主要针对某些不能检测的Bios，一般不需要勾选此项！如果你想把U盘剩余部分转成NTFS格式可以勾选NTFS选项，注意：格式化成NTFS会影响U盘启动部分功能的使用，除非需要存储超过4G的单文件，否则不建议勾选此项！）默认模式1.3：尽量退出杀毒软件和安全类软件以免制作失败，点击“一键制作启动U盘”按钮，程序会提示是否继续，确认所选U盘无重要数据后点是开始制作.(注意：使用电脑店U盘启动盘制作工具2.0以及之前版本制作过的U盘如果制作失败请先执行初始化U盘)默认模式1.4：制作过程根据电脑配置和U盘芯片的不同耗时长短也不同，请耐心等待。制作完成后正确设置电脑BIOS即可从U盘启动了。为了验证U盘启动制作是否成功，可以运行模拟启动。注：模拟启动仅供测试U盘启动是否制作成功，不可用于测试内部DOS和PE系统。2. ISO模式：ISO模式2.1：切换到ISO模式或者直接点击主程序左上角的ISO制作，程序会切换到ISO制作界面。ISO模式2.2：点击“一键制作启动U盘”按钮后程序会在“D:电脑店ISO”文件夹下创建DND.ISO镜像。ISO模式2.3：打开ISO模式的一键制作启动U盘，点击ISO模式里的按钮，按照图中推荐选项进行选择，最后点击写入按钮等待写入完成。（如需刻录光盘，点击“刻录光盘”按钮进行刻录操作！）注：ISO模式同样支持将Win7或者Win8系统镜像写入U盘做成系统安装盘。按以上步骤制作好U盘的系统安装盘，即可安装Win7或者Win8系统了。小注：把U盘设置为第一启动顺位设备的方法1：开启电脑，根据开机的时候，刚一闪过的第一次开机画面，在屏幕下方显示的白色提示文字，一般是出现“DEL”，那么按下 “del（delete）”键；如果是别的，根据提示可以尝试按F2、F8、F10、F12等等，就可以进入BIOS 。因为各种型号的电脑根据主板的不同，BIOS设置也略有不同，你先在里面菜单里找到带有“BOOT”字样的这一大项，然后进入细项，选择里面的，First Boot：这个的意思就是电脑启动的第一引导驱动，就在这里选择（用上下箭头，或者屏幕下方有英文提示）”USB“字样的设备，然后按F10保存后重新启动，当电脑重启后，里有可以支持的U盘启动盘时，会在屏幕上面显示进入U盘的系统安装界面。把U盘设置为第一启动顺位设备的方法2：开启电脑，根据开机第一个启动画面，在电脑最下方的显示的提示，不停地F9（也可能是F2或者F12），可进入快速启动设备选择项菜单，在菜单里选择：”USB“字样的设备，也可进入U盘启动引导。（进入步骤同方法1）通过U盘安装系统的过程基本是傻瓜式的，按照系统安装界面的提示步骤一步步执行即可，很简单，亦不在此赘述。）最后，如果重装系统之后，还是出现此种故障，那就是你的电脑硬件有问题了。一般是：主板、内存或者显卡坏了或者机器灰尘太多散热有问题，都可能造成此种故障。请去电脑店找专业人士检查维修。如有疑问，请追问，必复！如满意，请给我一个采纳，谢谢！

WINXP下的lsass.exe占CPU为00~02左右~高过这个数字表示，你电脑的远程缓冲区使用过大，很有可能你的电脑里有远程控制木马。进程文件： lsass 或者 lsass.exe进程名称： Local Security Authority Service 进程名称： lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。

lsass.exe占用CPU大的解决办法如下：1、点击开始运行，输入cmd，进入管理员命令提示符。2、然后输入RD /s /q "%USERPROFILE%AppDataRoamingMicrosoftProtect"。这样子就解决了。lsass.exe进程是微软为Windows操作系统定义的系统进程，存在于基于Windows NT的系统，如Windows 2000/Xp/2003/Vista系统中。其描述为：LSA Shell （Export Version）本地安全认证服务，其作用是处理密码变更以及验证尝试登录到计算机的用户，如果登录成功它会创建该用户的访问令牌，并用它来启动外壳程序（Explorer.exe），其他的由用户初始化的进程会继承这个令牌。扩展资料：lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。参考资料：百度百科——LSASS.EXE

lsass．exe是一个系统级的进程。本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞，正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查，构建超过1000个"AND"的请求，并发送给服务器，导致触发堆栈溢出，使Lsass.exe服务崩溃，系统在30秒内重新启动。

说明系统的SAM密码文件损坏或丢失。没有SAM文件，直接用命令方法重新建一个用户账户即可，详细步骤：1、按下键盘上win+R键，打开运行对话框。2、在对话框中输入cmd命令。3、输入完成后 按下enter键，即打开了系统模拟的DOS环境--cmd命令行程序窗口。4、在cmd命令行程序窗口中输入：net user test 123456/add 命令。5、按下enter键就成功设置test用户。6、即可查看当前登录账号。

分类: 电脑/网络 >> 反病毒 问题描述: 我在网上看到，说lsass.exe是病毒。我把它进程结束后。系统提示我60秒后关机。。 解析: lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。 一些病毒，如W32.Nimos.Worm病毒会在其它位置模仿LSASS.EXE来运行。 如果发现有一个lsass.exe来自C:WINDOWS，就可以断定是病毒。 查杀方法：（下载个超级兔子魔法设置和木马清除软件） 1、关闭其它已经打开的应用软件。 2、打开inter选项，清除所以历史纪录、cookis、历史文件 3、打开任务管理器--结束LSASS.exe和exert.exe进程，这里大家注意会有两个lsass.exe 一个是系统自带的，还有一个就是木马的，占用内存比较大的一般就是木马。 4、修改文件夹属性，显示系统隐藏文件和已知文件扩展名。 进入windows安装目录，2000为 X:winnt 。98，XP为X:WINDOWS 。 在安装目录下删除 lsass.exe和 exert.exe， (系统自带的lsass.exe在system32目录下，不可删除)，用资源管理器打开D盘，在根目录下删除mand和autorun.inf两个文件 5、将超级兔子魔法设置文件MagicSet.exe改名为Magicset，运行，魔法设置-文件及媒体，修复文件关联 6、为了保险，最后运行木马清除软件，查杀所有硬盘木马。

进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看(V)"－>"选择列(S)..."，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"－》“运行”，输入"CMD"，点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)"2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了.删除如下几个文件： C:Program FilesCommon FilesINTEXPLORE.pif C:Program FilesInternet ExplorerINTEXPLORE.com C:WINDOWSEXERT.exe C:WINDOWSIO.SYS.BAK C:WINDOWSLSASS.exe C:WINDOWSDebugDebugProgram.exe C:WINDOWSsystem32dxdiag.com C:WINDOWSsystem32MSCONFIG.COM C:WINDOWSsystem32 egedit.com在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。将Windows目录下的"regedit.exe"改名为"regedit.com"并运行，删除以下项目： HKEY_CLASSES_ROOTWindowFiles HKEY_CURRENT_USERSoftwareVB and VBA Program Settings HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain 下面的 Check_Associations项 HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetINTEXPLORE.pif HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下面的ToP项将HKEY_CLASSES_ROOT.exe的默认值修改为 "exefile"(原来是windowsfile) 将HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand 的默认值修改为 "C:Program FilesInternet Exploreriexplore.exe" %1" (原来是intexplore.com) 将HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D} shellOpenHomePageCommand 的默认值修改为 "C:Program FilesInternet ExplorerIEXPLORE.EXE"(原来是INTEXPLORE.com) 将HKEY_CLASSES_ROOT ftpshellopencommand 和HKEY_CLASSES_ROOThtmlfileshellopennewcommand 的默认值修改为"C:Program FilesInternet Exploreriexplore.exe" %1" (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif) 将HKEY_CLASSES_ROOT htmlfileshellopencommand HKEY_CLASSES_ROOTHTTPshellopencommand的默认值修改为 "C:Program FilesInternet Exploreriexplore.exe" –nohome” 将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet 的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif) 重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕.Enjoy It .

如果你的启动菜单里有个lsass.exe启动项，那就证明你得lsass.exe木马病毒，中毒后，会在windows里产生lsass.exe和exert.exe两个病毒文件，还会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联。在进程里可以见到有两个相同的进程，分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行。LSASS.EXE管理exe类执行文件，exert.exe管理程序退出。下载个进程管理器，找出问题进程的路径，手动终止LSASS.EXE和exert.exe两个进程（Windows自带的任务管理器不能终止LSASS.EXE,提示系统进程不能终止），打开msconfig.exe取消LSASS.EXE启动项。删除C:Documents and SettingsAdministratorLocal Settings empt和Temporary Internet Files下的文件,断开网络后再删除C:Program FilesCommon Filesupdate文件夹，这里exe类文件已不能运行，新建一个reg文件，输入如下内容：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINESOFTWAREClasses.exe]@=exefileContent Type=%1，%*[HKEY_LOCAL_MACHINESOFTWAREClasses.exePersistentHandler]@=或用工具恢复注册表。以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个文件，这两个文件是隐藏的，再到D：删除command.com和autorun.inf两个文件，最后重启电脑到DOS 运行，用scanreg/restore 命令来恢复注册表，（如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表），重启后进到WINDOWS桌面用杀毒软件（本人用金山毒霸2006）全面杀毒，清除余下的病毒！进程里面有2个lsass.exe进程，一个是system的，一个是当前用户名的（该进程为病毒）。双击D:盘打不开，只能通过右击选择打开来打开。用kaspersky扫描可以扫描出来，并且可以杀掉。但是重启后又有两个lsass.exe进程。该病毒是一个木马程序，中毒后会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联。该病毒修改注册表启动RUN键值，指向LSASS.exe，修改HKEY_CLASSES_ROOT下的。exe，exefile键值，并新建windowfile键值。将exe文件打开链接关联到其生成的病毒程序%SYSTEMEXERT.exe上。该病毒新建如下文件：c: ewtro文件夹c:program filescommon filesINTEXPLORE.pifc:program filesinternet explorerINTEXPLORE.com%SYSTEMdebugdebugprogram.exe%SYSTEMsystem32Anskya0.exe%SYSTEMsystem32dxdiag.com%SYSTEMsystem32MSCONFIG.com%SYSTEMsystem32 egedit.com%SYSTEMsystem32LSASS.exe%SYSTEMsystem32EXERT.exe

1、如果你是局域网用户，可能是服务器那边设置了安全策略，阻止你现在的IP登录指定的域2、LSASS.EXE文件被破坏，重其他电脑拷贝，复制到本机就可以。现在很多人都是病毒导致LSASS文件中毒，最大杀手反而是杀毒软件。

　　你好知友!　　最大可能是中毒造成的,需要进安全模式下杀毒,或系统还原,也可以进PE使用备份恢复系统,　　.　　lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。　　如果你的启动菜单（开始-运行-输入“msconfig”）里有个lsass.exe启动项，那就证明你的lsass.exe是木马病毒，中毒后，在进程里可以见到有两个相同的进程，分别是lsass.exe和LSASS.EXE，同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行，LSASS.EXE管理exe类执行文件，exert.exe管理程序退出，还会在D盘根目录下产生和 autorun.inf两个文件，同时侵入注册表破坏系统文件关联。　　★建议先使用杀软全盘杀毒.还不行,就下载使用Norton Power Eraser(诺顿强力清除器)　　(用来删除恶意程序,干掉连杀软也无法搞定的顽固病毒木马很有效)　　它是赛门铁克（Symantec）出品的一款免费且强力的计算机威胁删除工具，采用高启发扫描算法。Norton Power Eraser简称NPE。　　可以用来删除传统病毒扫描技术不容易检测到的深层嵌入、难以删除的恶意软件。　　如果您感染了常规病毒扫描功能检测不到的流氓恶意软件，则可以使用 Norton Power Eraser 来检测并删除它们。　　☆注意 由于 Norton Power Eraser 可主动检测这些威胁,因此，您会面临该工具可能会选择一些合法程序进行删除的风险。请务必慎重选择要清除的项目!　　如果对你有帮助.请点击我的回答下方【选为满意回答】按钮.及时采纳你将回收到5财富值.

进入系统时出现一个对话框，提示“lsass.exe系统错误：系统资源不够，无法完成API。按“确定”按钮就重启，但仍出现此对话框。开机时按F8进入Windows高级选项，选择“最后一次正确配置”后无法进入系统（出现相同的提示）。故障分析：当试图更改密码时，你提供的当前密码不正确，导致系统在下次启动时报错。因为C:WINDOWSsystem32configsam文件（无扩展名）损坏。解决方法：在DOS下（用光盘启动到PE系统也行），用C:WINDOWS epairsam文件替换上述文件。特别提示：一些系统设置，如桌面图片、“我的文档”及收藏夹等的位置可能会改变（文件不会少），需要重新修改一下。补充说明：类似这种提示某个文件出错的故障也有可能是由于硬盘有坏道引起的数据暂时不能读取，如果你用的是Windows 2K/XP，可以用安装盘进行系统修复，是不需要全部重装的。进入维修界面后会让你选择一个操作系统（一般情况下就一个），然后会出现命令行提示符（和DOS状态类似），这时输入CHKDSK /r可以进行自动修复。

lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意： lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、 Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。 进程文件： lsass or lsass.exe 进程名称： Local Security Authority Service 进程类别：其他进程 英文描述： lsass.exe is a system process of the Microsoft Windows security mechanisms. It specifically deals with local security and login policies. Note: lsass.exe also relates to the Windang.worm, irc.ratsou.b, Webus.B, MyDoom.L, Randex.AR, Nimos.worm which 中文参考： 对不起，暂时没有中文参考！ 出品者：Microsoft Corp. 属于：Microsoft Windows Operating System 系统进程：Yes 后台程序：Yes 网络相关：Yes 常见错误：N/A 内存使用：N/A 安全等级 (0-5): 0 间谍软件：No 广告软件：No 病毒：No 如果你的启动菜单里有个lsass.exe启动项，那就证明你得lsass.exe木马病毒，中毒后，会在windows里产生lsass.exe和 exert.exe两个病毒文件，还会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联。在进程里可以见到有两个相同的进程，分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe 两个可执行文件，且在后台运行。LSASS.EXE管理exe类执行文件，exert.exe管理程序退出。 下载个进程管理器，找出问题进程的路径，手动终止LSASS.EXE和exert.exe两个进程（管理器不能终止LSASS.EXE,提示系统进程不能终止），打开 msconfig.exe取消LSASS.EXE启动项。删除C:Documents and SettingsAdministratorLocal Settings empt和Temporary Internet Files下的文件,断开网络后再删除C:Program FilesCommon Filesupdate文件夹，这里exe类文件已不能运行，新建一个reg文件，输入如下内容： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESOFTWAREClasses.exe] @="exefile" "Content Type"="％1，%*" [HKEY_LOCAL_MACHINESOFTWAREClasses.exePersistentHandler] @="{098f2470-bae0-11cd-b579-08002b30bfeb}" 或用工具恢复注册表。 以WIN98为例: 打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个文件，这两个文件是隐藏的，再到D：删除command.com和autorun.inf两个文件，最后重启电脑到DOS 运行，用scanreg/restore 命令来恢复注册表，（如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表），重启后进到WINDOWS桌面用杀毒软件（本人用金山毒霸2006）全面杀毒，清除余下的病毒！ windows xp下解决LSASS.exe进程病毒 一、准备工作： 打开“我的电脑”——工具——文件夹选项——查看 a、把“隐藏受保护的操作系统文件（推荐）”和“隐藏已知文件类型的扩展名”前面的勾去掉； b、勾中“显示所有文件和文件夹” 二、结束进程 用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框; 点到任务管理器进程面版，点击菜单，"查看"－"选择列"，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为 "LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"——运行，输入"CMD"，点击"确定"打开命令行控制台。 输入"ntsd –c q -p (此红色部分填写你在任务管理器里看到的LSASS.EXE的PID列的数字，是当前用户名进程的PID，别看错了)"，比如我的计算机上就输入 "ntsd –c q -p 1064".这样进程就结束了。（如果结束了又会出现，那么你还是用下面的方法吧） （另外我强烈推荐大家用 Process Explorer，很强的进程管理工具，可以直接结束想要结束的进程，以后用的时候很方便，使用和下载地址：http: //www.gypin.com/bbs/dispbbs.asp?boardID=16&ID=1303page=1） 三、删除病毒文件 删除如下几个文件： （与WIN2000的目录有所不同） C:Program FilesCommon FilesINTEXPLORE.pif （有的没有.pif） C:Program FilesInternet ExplorerINTEXPLORE.com C:WINDOWSEXERT.exe C:WINDOWSIO.SYS.BAK C:WINDOWSLSASS.exe C:WINDOWSDebugDebugProgram.exe C:WINDOWSsystem32dxdiag.com C:WINDOWSsystem32MSCONFIG.COM C:WINDOWSsystem32 egedit.com 在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件. 四、删除注册表中的其他垃圾信息 将C:WINDOWS目录下的"regedit.exe"改名为"regedit.com"并运行，删除以下项目： 1、HKEY_CLASSES_ROOTWindowFiles 2、HKEY_CURRENT_USERSoftwareVB and VBA Program Settings 3、HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain 下面的 Check_Associations项 4、HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetINTEXPLORE.pif 5、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下面的ToP项 五、修复注册表中被篡改的键值 1、将HKEY_CLASSES_ROOT.exe的默认值修改为 "exefile"(原来是windowsfile) 2、将HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand 的默认值修改为 "C:Program FilesInternet Exploreriexplore.exe" %1 (原来是intexplore.com) 3、将HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand 的默认值修改为 "C:Program FilesInternet ExplorerIEXPLORE.EXE"(原来是INTEXPLORE.com) 4、将HKEY_CLASSES_ROOT ftpshellopencommand 和HKEY_CLASSES_ROOThtmlfileshellopennewcommand 的默认值修改为"C:Program FilesInternet Exploreriexplore.exe" %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif) 5、将HKEY_CLASSES_ROOT htmlfileshellopencommand 和 HKEY_CLASSES_ROOTHTTPshellopencommand的默认值修改为 "C:Program FilesInternet Exploreriexplore.exe" –nohome 6、将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet 的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif) 六、收尾工作 关掉注册表编辑器 将C:WINDOWS目录下的regedit.com改回regedit.exe

你不用结束这个关键的系统进程，结束了对你的电脑有害无益，但是如果是病毒，那请按照下面的方法解决：lsass.exe病毒木马手工清除方法 病毒症状 进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe，修改HKEY_CLASSES_ROOT下的.exe，exefile键值，并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEMEXERT.exe上. 该病毒新建如下文件： c:program filescommon filesINTEXPLORE.pif c:program filesinternet explorerINTEXPLORE.com %SYSTEMdebugdebugprogram.exe %SYSTEMsystem32Anskya0.exe %SYSTEMsystem32dxdiag.com %SYSTEMsystem32MSCONFIG.com %SYSTEMsystem32 egedit.com %SYSTEMsystem32LSASS.exe %SYSTEMsystem32EXERT.exe 解决方法 1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看(V)"－>"选择列(S)..."，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"－》“运行”，输入"CMD"，点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)"，比如我的计算机上就输入"ntsd –c q -p 1064". 2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了. 截图如下: 删除如下几个文件： C:Program FilesCommon FilesINTEXPLORE.pif C:Program FilesInternet ExplorerINTEXPLORE.com C:WINDOWSEXERT.exe C:WINDOWSIO.SYS.BAK C:WINDOWSLSASS.exe C:WINDOWSDebugDebugProgram.exe C:WINDOWSsystem32dxdiag.com C:WINDOWSsystem32MSCONFIG.COM C:WINDOWSsystem32 egedit.com 在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件. 3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。 将Windows目录下的"regedit.exe"改名为"regedit.com"并运行，删除以下项目： HKEY_CLASSES_ROOTWindowFiles HKEY_CURRENT_USERSoftwareVB and VBA Program Settings HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain 下面的 Check_Associations项 HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetINTEXPLORE.pif HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下面的ToP项 将HKEY_CLASSES_ROOT.exe的默认值修改为 "exefile"(原来是windowsfile) 将HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand 的默认值修改为 "C:Program FilesInternet Exploreriexplore.exe" %1" (原来是intexplore.com) 将HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D} shellOpenHomePageCommand 的默认值修改为 "C:Program FilesInternet ExplorerIEXPLORE.EXE"(原来是INTEXPLORE.com) 将HKEY_CLASSES_ROOT ftpshellopencommand 和HKEY_CLASSES_ROOThtmlfileshellopennewcommand 的默认值修改为"C:Program FilesInternet Exploreriexplore.exe" %1" (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif) 将HKEY_CLASSES_ROOT htmlfileshellopencommand HKEY_CLASSES_ROOTHTTPshellopencommand的默认值修改为 "C:Program FilesInternet Exploreriexplore.exe" –nohome” 将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet 的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif) 重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕.Enjoy It . 回答者：米兰天地 - 进士出身 八级 7-1 00:05 修改答复： 米兰天地，您要修改的答复如下: 积分规则 关闭 lsass.exe病毒木马手工清除方法 病毒症状 进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe，修改HKEY_CLASSES_ROOT下的.exe，exefile键值，并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEMEXERT.exe上. 该病毒新建如下文件： c:program filescommon filesINTEXPLORE.pif c:program filesinternet explorerINTEXPLORE.com %SYSTEMdebugdebugprogram.exe %SYSTEMsystem32Anskya0.exe %SYSTEMsystem32dxdiag.com %SYSTEMsystem32MSCONFIG.com %SYSTEMsystem32 egedit.com %SYSTEMsystem32LSASS.exe %SYSTEMsystem32EXERT.exe 解决方法 1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看(V)"－>"选择列(S)..."，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"－》“运行”，输入"CMD"，点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)"，比如我的计算机上就输入"ntsd –c q -p 1064". 2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了. 截图如下: 删除如下几个文件： C:Program FilesCommon FilesINTEXPLORE.pif C:Program FilesInternet ExplorerINTEXPLORE.com C:WINDOWSEXERT.exe C:WINDOWSIO.SYS.BAK C:WINDOWSLSASS.exe C:WINDOWSDebugDebugProgram.exe C:WINDOWSsystem32dxdiag.com C:WINDOWSsystem32MSCONFIG.COM C:WINDOWSsystem32 egedit.com 在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件. 3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。 将Windows目录下的"regedit.exe"改名为"regedit.com"并运行，删除以下项目： HKEY_CLASSES_ROOTWindowFiles HKEY_CURRENT_USERSoftwareVB and VBA Program Settings HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain 下面的 Check_Associations项 HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetINTEXPLORE.pif HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下面的ToP项 将HKEY_CLASSES_ROOT.exe的默认值修改为 "exefile"(原来是windowsfile) 将HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand 的默认值修改为 "C:Program FilesInternet Exploreriexplore.exe" %1" (原来是intexplore.com) 将HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D} shellOpenHomePageCommand 的默认值修改为 "C:Program FilesInternet ExplorerIEXPLORE.EXE"(原来是INTEXPLORE.com) 将HKEY_CLASSES_ROOT ftpshellopencommand 和HKEY_CLASSES_ROOThtmlfileshellopennewcommand 的默认值修改为"C:Program FilesInternet Exploreriexplore.exe" %1" (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif) 将HKEY_CLASSES_ROOT htmlfileshellopencommand HKEY_CLASSES_ROOTHTTPshellopencommand的默认值修改为 "C:Program FilesInternet Exploreriexplore.exe" –nohome” 将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet 的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)

一般在任务管理器里显示的这个进程应该是小写的。 这是这个进程的相关的信息： 本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞，正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查，构建超过1000个"AND"的请求，并发送给服务器，导致触发堆栈溢出，使Lsass.exe服务崩溃，系统在30秒内重新启动。