LSASS.EXE

進程文件：lsass 或者 lsass.exe

進程名稱：Local Security Authority Service、本地安全權限服務

出品者：Microsoft Corp.

屬於：Microsoft Windows Operating System

系統進程：是

後台程序：是

使用網絡：是

使用端口：49154 （TCP）

硬件相關：否

常見錯誤：未知N/A

內存使用：未知N/A

安全等級 (0-5)： 0

間諜軟件：否

廣告軟件：否

病毒： 否

木馬：否

本地安全權限服務控制Windows安全機制，這是一個系統進程，它會隨着系統啓動而自動啓動。

管理IP安全策略以及啓動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序等，是一個本地的安全授權服務，並且它會為使用winlogon服務的授權用户生成一個進程。這個進程是通過使用授權的包，例如默認的msgina.dll來執行的。如果授權是成功的，lsass就會產生用户的進入令牌，令牌別使用啓動初始的shell。其他的由用户初始化的進程會繼承這個令牌的。而windows活動目錄遠程堆棧溢出漏洞，正是利用LDAP 3搜索請求功能對用户提交請求缺少正確緩衝區邊界檢查，構建超過1000個"AND"的請求，併發送給服務器，導致觸發堆棧溢出，使Lsass.exe服務崩潰，系統在60秒內重新啓動。並且會導致一些功能失效 ^[1]  。

該(這些)病毒是一個可以在WIN9X/NT/2000/XP等操作系統上運行的盜號木馬。病毒會強行終止多種殺毒軟件的進程，使其不能正常運行。它會頻繁檢查“傳奇”客户端的窗口，如果窗口存在，就會取得當前鼠標的位置，並記錄鍵盤信息，最後把記錄下來的信息發送到指定郵箱，從而竊取用户的遊戲賬號和密碼等。

如果你的啓動菜單（開始-運行-輸入“msconfig”）裏有個lsass.exe啓動項，那就説明你中了LSASS.EXE木馬病毒，中毒後，在進程裏可以見到有兩個相同的進程，分別是lsass.exe和LSASS.EXE，同時在windows下生成LSASS.EXE和exert.exe兩個可執行文件，且在後台運行，LSASS.EXE管理exe類執行文件，exert.exe管理程序退出，還會在D盤根目錄下產生和 autorun.inf兩個文件，同時侵入註冊表破壞系統文件關聯。

這個病毒比較狠毒，手工清除較為複雜。請用户務必按照步驟嚴格操作，否則很可能出現無法清除乾淨的情況。建議一般用户最好使用殺毒軟件來清除這個病毒。

打開IE屬性刪除cookies和所有脱機內容,啓動進程殺手終止lsass.exe和exert.exe兩個進程，然後到windows目錄下刪除這兩個文件，這兩個文件是隱藏的，再到 D：刪除和autorun.inf兩個文件，最後重啓電腦到DOS 運行，用scanreg/restore 命令來恢復註冊表，（如果不會的或者是XP系統不能用的可以用瑞星註冊表修復程序之類的軟件修復一下注冊表），重啓後進到WINDOWS桌面用殺毒軟件，全面殺毒，清除餘下的病毒。

打開“我的電腦”——工具——文件夾選項——查看

a、把“隱藏受保護的操作系統文件（推薦）”和“隱藏已知文件類型的擴展名”前面的勾去掉；

b、勾中“顯示所有文件和文件夾”

用Ctrl+Alt+Del調出windows務管理器,想通過右擊當前用户名的lsass.exe來結束進程是行不通的.會彈出該進程為系統進程無法結束的提醒框;

點到任務管理器進程面版，點擊菜單，“查看”－“選擇列”，在彈出的對話框中選擇“PID（進程標識符）”，並點擊“確定”。找到映象名稱為“LSASS.exe”，並且用户名不是“SYSTEM”的一項，記住其PID號.點擊“開始”——運行，輸入“CMD”，點擊“確定”打開命令行控制枱。

輸入“ntsd –c q -p (此紅色部分填寫你在任務管理器裏看到的LSASS.EXE的PID列的數字，是當前用户名進程的PID，別看錯了)”，比如我的計算機上就輸入“ntsd –c q -p 1064”.這樣進程就結束了。（如果結束了又會出現，那麼你還是用下面的方法吧）

刪除如下幾個文件： （與WIN2000的目錄有所不同）

C:\Program Files\Common Files\INTEXPLORE.pif （有的沒有.pif）

C:\Program Files\Internet Explorer\INTEXPLORE.C0M

C:\WINDOWS\EXERT.exe （或者exeroute.exe）

C:\WINDOWS\IO.SYS.BAK

C:\WINDOWS\LSASS.exe

C:\WINDOWS\Debug\DebugProgram.exe

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\

在D:盤上點擊鼠標右鍵，選擇“打開”。刪除掉該分區根目錄下的“Autorun.inf”文件.

將C:\WINDOWS目錄下的“regedit.exe”改名為“”並運行，刪除以下項目：

1、HKEY_CLASSES_ROOT\WindowFiles

2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings

3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations項

4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif

5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的TOP項

1、將HKEY_CLASSES_ROOT\.exe的默認值修改為 “exefile”(原來是windowsfile)

2、將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默認值修改為 “C:\Program Files\Internet Explorer\iexplore.exe” %1

3、將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} \shell\OpenHomePage\Command 的默認值修改為

“C:\Program Files\Internet Explorer\IEXPLORE.EXE”

4、將HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command

的默認值修改為“C:\Program Files\Internet Explorer\iexplore.exe” %1 (原來的值分別INTEXPLORE.pif)

5、將HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和

HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認值修改為

“C:\Program Files\Internet Explorer\iexplore.exe” –nohome

6、將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默認值修改為“IEXPLORE.EXE”.(原來是INTEXPLORE.pif)

關掉註冊表編輯器

將C:\WINDOWS目錄下的改回regedit.exe，如果提示有重名文件存在，不能更改，可以先將重名的regedit.exe刪除，再將改為regedit.exe。

出現提示缺少exe文件問題的大部分原因是因該文件被木馬病毒破壞導致系統程序找不到此文件，出現錯誤提示框，或程序無法運行，解決此問題只需找到專業的exe文件下載網站，下載該文件後，找到適合程序的文件版本，複製到相應目錄。即可解決。

1、Windows 95/98/Me系統，則複製到C:\WINdows\system32\ 目錄下。

2、Windows NT/2000系統，則複製到C:\WINNT\system32\ 目錄下。

3、Windows XP系統，則複製到C:\WINdows\system32\ 目錄下。

4、Windows 7/8系統，則複製到C:\WINdows\system32\目錄下。