进程档案：lsass 或者 lsass.exe

进程名称：Local Security Authority Service、本地安全许可权服务

出品者：Microsoft Corp.

属于：Microsoft Windows Operating System

系统进程：是

后台程式：是

使用网路：是

使用连线埠：49154 （TCP）

硬体相关：否

常见错误：未知N/A

记忆体使用：未知N/A

安全等级 (0-5)： 0

间谍软体：否

广告软体：否

病毒： 否

木马：否

本地安全许可权服务控制Windows安全机制，这是一个系统进程，它会随着系统启动而自动启动。

管理IP安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程式等，是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆叠溢出漏洞，正是利用LDAP 3搜寻请求功能对用户提交请求缺少正确缓冲区边界检查，构建超过1000个"AND"的请求，并传送给伺服器，导致触发堆叠溢出，使Lsass.exe服务崩溃，系统在60秒内重新启动。并且会导致一些功能失效。

该(这些)病毒是一个可以在WIN9X/NT/2000/XP等作业系统上运行的盗号木马。病毒会强行终止多种防毒软体的进程，使其不能正常运行。它会频繁检查“传奇”客户端的视窗，如果视窗存在，就会取得当前滑鼠的位置，并记录键盘信息，最后把记录下来的信息传送到指定信箱，从而窃取用户的游戏账号和密码等。

如果你的启动选单（开始-运行-输入“msconfig”）里有个lsass.exe启动项，那就说明你中了LSASS.EXE木马病毒，中毒后，在进程里可以见到有两个相同的进程，分别是lsass.exe和LSASS.EXE，同时在windows下生成LSASS.EXE和exert.exe两个执行档，且在后台运行，LSASS.EXE管理exe类执行档案，exert.exe管理程式退出，还会在D糟根目录下产生和 autorun.inf两个档案，同时侵入注册表破坏系统档案关联。

这个病毒比较狠毒，手工清除较为複杂。请用户务必按照步骤严格操作，否则很可能出现无法清除乾净的情况。建议一般用户最好使用防毒软体来清除这个病毒。

打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个档案，这两个档案是隐藏的，再到 D：删除和autorun.inf两个档案，最后重启电脑到DOS 运行，用scanreg/restore 命令来恢复注册表，（如果不会的或者是XP系统不能用的可以用瑞星注册表修复程式之类的软体修复一下注册表），重启后进到WINDOWS桌面用防毒软体，全面防毒，清除余下的病毒。

打开“我的电脑”——工具——资料夹选项——查看

a、把“隐藏受保护的作业系统档案（推荐）”和“隐藏已知档案类型的扩展名”前面的勾去掉；

b、勾中“显示所有档案和资料夹”

用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;

点到任务管理器进程面版，点击选单，“查看”－“选择列”，在弹出的对话框中选择“PID（进程标识符）”，并点击“确定”。找到映象名称为“LSASS.exe”，并且用户名不是“SYSTEM”的一项，记住其PID号.点击“开始”——运行，输入“CMD”，点击“确定”打开命令行控制台。

输入“ntsd –c q -p (此红色部分填写你在任务管理器里看到的LSASS.EXE的PID列的数字，是当前用户名进程的PID，别看错了)”，比如我的计算机上就输入“ntsd –c q -p 1064”.这样进程就结束了。（如果结束了又会出现，那幺你还是用下面的方法吧）

删除如下几个档案： （与WIN2000的目录有所不同）

C:\Program Files\Common Files\INTEXPLORE.pif （有的没有.pif）

C:\Program Files\Internet Explorer\INTEXPLORE.C0M

C:\WINDOWS\EXERT.exe （或者exeroute.exe）

C:\WINDOWS\IO.SYS.BAK

C:\WINDOWS\LSASS.exe

C:\WINDOWS\Debug\DebugProgram.exe

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\

在D:盘上点击滑鼠右键，选择“打开”。删除掉该分区根目录下的“Autorun.inf”档案.

将C:\WINDOWS目录下的“regedit.exe”改名为“”并运行，删除以下项目：

1、HKEY_CLASSES_ROOT\WindowFiles

2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings

3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations项

4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif

5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的TOP项

1、将HKEY_CLASSES_ROOT\.exe的默认值修改为 “exefile”(原来是windowsfile)

2、将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默认值修改为 “C:\Program Files\Internet Explorer\iexplore.exe” %1

3、将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} \shell\OpenHomePage\Command 的默认值修改为

“C:\Program Files\Internet Explorer\IEXPLORE.EXE”

4、将HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command

的默认值修改为“C:\Program Files\Internet Explorer\iexplore.exe” %1 (原来的值分别INTEXPLORE.pif)

5、将HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和

HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为

“C:\Program Files\Internet Explorer\iexplore.exe” –nohome

6、将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默认值修改为“IEXPLORE.EXE”.(原来是INTEXPLORE.pif)

关掉注册表编辑器

将C:\WINDOWS目录下的改回regedit.exe，如果提示有重名档案存在，不能更改，可以先将重名的regedit.exe删除，再将改为regedit.exe。

出现提示缺少exe档案问题的大部分原因是因该档案被木马病毒破坏导致系统程式找不到此档案，出现错误提示框，或程式无法运行，解决此问题只需找到专业的exe档案下载网站，下载该档案后，找到适合程式的档案版本，複製到相应目录。即可解决。

1、Windows 95/98/Me系统，则複製到C:\WINdows\system32\ 目录下。

2、Windows NT/2000系统，则複製到C:\WINNT\system32\ 目录下。

3、Windows XP系统，则複製到C:\WINdows\system32\ 目录下。

4、Windows 7/8系统，则複製到C:\WINdows\system32\目录下。