南昌豫章高中:请问LSASS.EXE这个病毒怎么删除！我就是删除不了！

我也中过这病毒 卡巴 诺顿我都用过 不过都删不掉
我劝你把电脑重装吧

lsass.exe 本身是系统进程
进程文件: lsass or lsass.exe
进程名称: 本地安全权限服务
描述: 这个本地安全权限服务控制Windows安全机制。
是否为系统进程: 是

你中的是震荡波病毒，它作为一个线程附在了 lsass.exe 进程中。
可以下载震荡波专杀工具清除病毒http://it.rising.com.cn/service/technology/tool.htm

发现 WINDOWS 2K 存在漏洞。如果攻击者能在 WIN2K 中运行程序，利用此漏洞，他至少能取得对 C:\WINNT\SYSTEM32 和 HKCR 的写权。
问题在于所有进程对 x86 debug registers DR0-7 都可访问。通过在一个进程中设置硬件断点，将能影响到其它进程和服务，例如中止该服务。攻击者然后再劫持该服务的信任命名管道。当其它服务向该命名管道写入时，便能伪装成服务了。

例如用硬件断点杀死 pipe3.cpp LSASS.EXE ，然后劫持 \\.\pipe\lsass :

1) 观察是否存在漏洞：

用 windbg 启动 debugging CALC.EXE ，设硬件断点于 ESP，再打开 taskmgr.exe 。如果你接到的不是 CALC.EXE 而是 Single Step exception 对话框或 BSOD ，那么，该系统存在此漏洞。

2) 利用 pipe3.cpp：

pipe3.cpp 有两个参数 , 。先启动 pipe3，稍等片刻。预期结果是能得到 LSASS.EXE 的 exception ，然后它将会消亡，之后控制台会被锁住，机器被重启。在 c:\winnt\system32 中会创建一个文件，在 HKCR 会创建一个 KEY。如果 LSASS.EXE 没消亡，先停止 PIPE3，然后再重启它。如果利用不成功。便需要 MAGICESPINLSA 参数了，它是 LSASS.EXE 中的 ESP。如果你得到 BSOD，那么将需要进一步利用该参数或 Sleep()。