Question

关于LSASS.EXE进程

系统里有2个LSASS.EXE进程，都是大写，其中一个占内存1.1兆，位于windows/system32下，在安装目录下能找到。另一个占内存6.6兆，用windows优化大师可以看到它位于windows下，但是在安装目录下找不着，从网上看了一些资料，基本上可以肯定占用6.6兆内存的这个进程是一个木马。
在进程管理器上显示的这个进程的资料只有版本号：“3.0.1.9”和说明：“为使用winlogon服务的授权用户生成一个本地的安全授权服务，生成用户的进入令牌，禁止终止”，其他资料例如公司、描述、版权什么的都没有，它所占用的模块列表和前一个LSASS.EXE进程基本上一样，线程列表只有7个，和前一个完全不一样，无启用端口，有3个窗体列表。在任务管理器上结束这个进程时就弹出“该进程为关键系统进程，任务管理器无法结束进程”窗口。想问一下这方面的高手，怎么样才能删除这个东西啊？请精通这个的高手能给与指点一下。我已经看了很多帖子了，很晕，看不明白，请过客就不要从别的帖子复制了。

Answer 1

该进程是多个 Windows 系统服务的宿主。包括：1) HTTP SSL，通过安全套接字层(SSL)实现 HTTP 服务的安全超文本传送协议(HTTPS)。2) IPSEC Services，提供 TCP/IP 网络上客户端和服务器之间端对端的安全，如果此服务被停用，网络上客户端和服务器之间的 TCP/IP 安全将不稳定。3) Kerberos Key Distribution Center，在域控制器上此服务启用用户使用 Kerberos 授权协议登录网络。如果此服务在域控制器上被停用，用户将无法登录网络。4) Net Logon，为用户和服务身份验证维护此计算机和域控制器之间的安全通道。如果此服务被停用，计算机可能无法验证用户和服务身份并且域控制器无法注册 DNS 记录。5) NT LM Security Support Provider，为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。6) Protected Storage，保护敏感数据(如私钥)的存储，以便防止未授权的服务、过程或用户对其的非法访问。如果此服务被停用，保护性存储将不可用。7) Security Accounts Manager，此服务的启动通知其他服务安全帐户管理 (SAM) 准备好接收请求。禁用此服务将使系统中的其他服务接收不到 SAM 准备好的通知，从而导致这些服务启动不正确。此服务不应被禁用。

Answer 2

晕直接用工具找到这个进程文件的路径,然后把它给删了....

Answer 3

先用观察启动程序的工具看看那个东西是怎么自动加载的，可以使用autorun这个软件。正常关不掉就到安全模式下关闭并删除其自动加载。