什么是lsass.exe？
lsass.exe是一個(gè)系統(tǒng)進(jìn)程，用于微軟Windows系統(tǒng)的安全機(jī)制。它用于本地安全和登陸策略。注意：lsass.exe也有可能是 Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm創(chuàng)建的，病毒通過(guò)軟盤(pán)、群發(fā)郵件和P2P文件共享進(jìn)行傳播

lsass.exe病毒的診斷
如果你的啟動(dòng)菜單（開(kāi)始-運(yùn)行-輸入“msconfig”）里有個(gè)lsass.exe啟動(dòng)項(xiàng)，那就證明你的lsass.exe是木馬病毒，中毒后，在進(jìn)程里可以見(jiàn)到有兩個(gè)相同的進(jìn)程，分別是lsass.exe和LSASS.EXE，同時(shí)在windows下生成LSASS.EXE和exert.exe 兩個(gè)可執(zhí)行文件，且在后臺(tái)運(yùn)行，LSASS.EXE管理exe類(lèi)執(zhí)行文件，exert.exe管理程序退出，還會(huì)在D盤(pán)根目錄下產(chǎn)生 command.com和 autorun.inf兩個(gè)文件，同時(shí)侵入注冊(cè)表破壞系統(tǒng)文件關(guān)聯(lián)。

lsass.exe病毒的清除
一、準(zhǔn)備工作
打開(kāi)“我的電腦”——工具——文件夾選項(xiàng)——查看

a、把“隱藏受保護(hù)的操作系統(tǒng)文件（推薦）”和“隱藏已知文件類(lèi)型的擴(kuò)展名”前面的勾去掉；

b、勾中“顯示所有文件和文件夾”

二、結(jié)束進(jìn)程
1、用Ctrl+Alt+Del調(diào)出windows務(wù)管理器,想通過(guò)右擊當(dāng)前用戶(hù)名的lsass.exe來(lái)結(jié)束進(jìn)程是行不通的.會(huì)彈出該進(jìn)程為系統(tǒng)進(jìn)程無(wú)法結(jié)束的提醒框;

2、點(diǎn)到任務(wù)管理器進(jìn)程面版，點(diǎn)擊菜單，“查看”－“選擇列”，在彈出的對(duì)話(huà)框中選擇“PID（進(jìn)程標(biāo)識(shí)符）”，并點(diǎn)擊“確定”。找到映象名稱(chēng)為 “LSASS.exe”，并且用戶(hù)名不是“SYSTEM”的一項(xiàng)，記住其PID號(hào).點(diǎn)擊“開(kāi)始”——運(yùn)行，輸入“CMD”，點(diǎn)擊“確定”打開(kāi)命令行控制臺(tái)。

3、輸入“ntsd –c q -p (此紅色部分填寫(xiě)你在任務(wù)管理器里看到的LSASS.EXE的PID列的數(shù)字，是當(dāng)前用戶(hù)名進(jìn)程的PID，別看錯(cuò)了)”，比如我的計(jì)算機(jī)上就輸入“ntsd –c q -p 1064”.這樣進(jìn)程就結(jié)束了。

三、刪除病毒文件
刪除如下幾個(gè)文件：

C:\Program Files\Common Files\INTEXPLORE.pif （有的沒(méi)有.pif）

C:\Program Files\Internet Explorer\INTEXPLORE.com

C:\WINDOWS\EXERT.exe （或者exeroute.exe）

C:\WINDOWS\IO.SYS.BAK

C:\WINDOWS\LSASS.exe

C:\WINDOWS\Debug\DebugProgram.exe

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\regedit.com

在D:盤(pán)上點(diǎn)擊鼠標(biāo)右鍵，選擇“打開(kāi)”。刪除掉該分區(qū)根目錄下的“Autorun.inf”和“command.com”文件.

四、刪除注冊(cè)表中的其他垃圾信息
將C:\WINDOWS目錄下的“regedit.exe”改名為“regedit.com”并運(yùn)行，刪除以下項(xiàng)目：

1、HKEY_CLASSES_ROOT\WindowFiles
2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings

3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations項(xiàng)

4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif

5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP項(xiàng)

五、修復(fù)注冊(cè)表中被篡改的鍵值
1、將HKEY_CLASSES_ROOT\.exe的默認(rèn)值修改為 “exefile”(原來(lái)是windowsfile)

2、將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默認(rèn)值修改為 “C:\Program Files\Internet Explorer\iexplore.exe” %1 (原來(lái)是intexplore.com)

3、將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} \shell\OpenHomePage\Command 的默認(rèn)值修改為“C:\Program Files\Internet Explorer\IEXPLORE.EXE”(原來(lái)是INTEXPLORE.com)

4、將HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command 的默認(rèn)值修改為“C:\Program Files\Internet Explorer\iexplore.exe” %1 (原來(lái)的值分別是INTEXPLORE.com和INTEXPLORE.pif)

5、將HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和 　　HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認(rèn)值修改為 “C:\Program Files\Internet Explorer\iexplore.exe” –nohome

6、將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默認(rèn)值修改為“IEXPLORE.EXE”.(原來(lái)是INTEXPLORE.pif)

六、關(guān)掉注冊(cè)表編輯器
將C:\WINDOWS目錄下的regedit.com改回regedit.exe，如果提示有重名文件存在，不能更改，可以先將重名的regedit.exe刪除，再將regedit.com改為regedit.exe。

看上面的清除lsass.exe病毒的方法來(lái)看，說(shuō)明中了lsass.exe病毒后清除lsass.exe病毒還是很復(fù)雜的，因此需要時(shí)時(shí)檢測(cè)自己的電腦是否中毒，若中毒，及時(shí)清除病毒以免受感染。