什么是lsass.exe？
lsass.exe是一個(gè)系統(tǒng)進(jìn)程，用于微軟Windows系統(tǒng)的安全機(jī)制。它用于本地安全和登陸策略。注意：lsass.exe也有可能是 Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm創(chuàng)建的，病毒通過軟盤、群發(fā)郵件和P2P文件共享進(jìn)行傳播

lsass.exe病毒的診斷
如果你的啟動(dòng)菜單（開始-運(yùn)行-輸入“msconfig”）里有個(gè)lsass.exe啟動(dòng)項(xiàng)，那就證明你的lsass.exe是木馬病毒，中毒后，在進(jìn)程里可以見到有兩個(gè)相同的進(jìn)程，分別是lsass.exe和LSASS.EXE，同時(shí)在windows下生成LSASS.EXE和exert.exe 兩個(gè)可執(zhí)行文件，且在后臺運(yùn)行，LSASS.EXE管理exe類執(zhí)行文件，exert.exe管理程序退出，還會在D盤根目錄下產(chǎn)生 command.com和 autorun.inf兩個(gè)文件，同時(shí)侵入注冊表破壞系統(tǒng)文件關(guān)聯(lián)。

lsass.exe病毒的清除
一、準(zhǔn)備工作
打開“我的電腦”——工具——文件夾選項(xiàng)——查看

a、把“隱藏受保護(hù)的操作系統(tǒng)文件（推薦）”和“隱藏已知文件類型的擴(kuò)展名”前面的勾去掉；

b、勾中“顯示所有文件和文件夾”

二、結(jié)束進(jìn)程
1、用Ctrl+Alt+Del調(diào)出windows務(wù)管理器,想通過右擊當(dāng)前用戶名的lsass.exe來結(jié)束進(jìn)程是行不通的.會彈出該進(jìn)程為系統(tǒng)進(jìn)程無法結(jié)束的提醒框;

2、點(diǎn)到任務(wù)管理器進(jìn)程面版，點(diǎn)擊菜單，“查看”－“選擇列”，在彈出的對話框中選擇“PID（進(jìn)程標(biāo)識符）”，并點(diǎn)擊“確定”。找到映象名稱為 “LSASS.exe”，并且用戶名不是“SYSTEM”的一項(xiàng)，記住其PID號.點(diǎn)擊“開始”——運(yùn)行，輸入“CMD”，點(diǎn)擊“確定”打開命令行控制臺。

3、輸入“ntsd –c q -p (此紅色部分填寫你在任務(wù)管理器里看到的LSASS.EXE的PID列的數(shù)字，是當(dāng)前用戶名進(jìn)程的PID，別看錯(cuò)了)”，比如我的計(jì)算機(jī)上就輸入“ntsd –c q -p 1064”.這樣進(jìn)程就結(jié)束了。

三、刪除病毒文件
刪除如下幾個(gè)文件：

C:Program FilesCommon FilesINTEXPLORE.pif （有的沒有.pif）

C:Program FilesInternet ExplorerINTEXPLORE.com

C:WINDOWSEXERT.exe （或者exeroute.exe）

C:WINDOWSIO.SYS.BAK

C:WINDOWSLSASS.exe

C:WINDOWSDebugDebugProgram.exe

C:WINDOWSsystem32dxdiag.com

C:WINDOWSsystem32MSCONFIG.COM

C:WINDOWSsystem32regedit.com

在D:盤上點(diǎn)擊鼠標(biāo)右鍵，選擇“打開”。刪除掉該分區(qū)根目錄下的“Autorun.inf”和“command.com”文件.

四、刪除注冊表中的其他垃圾信息
將C:WINDOWS目錄下的“regedit.exe”改名為“regedit.com”并運(yùn)行，刪除以下項(xiàng)目：

1、HKEY_CLASSES_ROOTWindowFiles
2、HKEY_CURRENT_USERSoftwareVB and VBA Program Settings

3、HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain 下面的 Check_Associations項(xiàng)

4、HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetINTEXPLORE.pif

5、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下面的ToP項(xiàng)

五、修復(fù)注冊表中被篡改的鍵值
1、將HKEY_CLASSES_ROOT.exe的默認(rèn)值修改為 “exefile”(原來是windowsfile)

2、將HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand 的默認(rèn)值修改為 “C:Program FilesInternet Exploreriexplore.exe” %1 (原來是intexplore.com)

3、將HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D} shellOpenHomePageCommand 的默認(rèn)值修改為“C:Program FilesInternet ExplorerIEXPLORE.EXE”(原來是INTEXPLORE.com)

4、將HKEY_CLASSES_ROOT ftpshellopencommand 和HKEY_CLASSES_ROOThtmlfileshellopennewcommand 的默認(rèn)值修改為“C:Program FilesInternet Exploreriexplore.exe” %1 (原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)

5、將HKEY_CLASSES_ROOT htmlfileshellopencommand 和 　　HKEY_CLASSES_ROOTHTTPshellopencommand的默認(rèn)值修改為 “C:Program FilesInternet Exploreriexplore.exe” –nohome

6、將HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet 的默認(rèn)值修改為“IEXPLORE.EXE”.(原來是INTEXPLORE.pif)

六、關(guān)掉注冊表編輯器
將C:WINDOWS目錄下的regedit.com改回regedit.exe，如果提示有重名文件存在，不能更改，可以先將重名的regedit.exe刪除，再將regedit.com改為regedit.exe。

看上面的清除lsass.exe病毒的方法來看，說明中了lsass.exe病毒后清除lsass.exe病毒還是很復(fù)雜的，因此需要時(shí)時(shí)檢測自己的電腦是否中毒，若中毒，及時(shí)清除病毒以免受感染。