lsass.exe文件异常错误的解决办法

这是由于W32/Sasser.worm病毒及其变种引起的。

【病毒档案】

根据分析，“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑，并直接引导这些电脑下载病毒文件并执行，因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。

　　“震荡波”病毒的发作特点，类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒，那就是造成电脑反复重启。

　　瑞星反病毒专家王耀华介绍，该病毒会通过FTP 的5554端口攻击电脑，使系统文件崩溃，造成电脑反复重启。病毒如果攻击成功，会在C:\WINDOWS目录下产生名为avserve.exe的病毒体，用户可以通过查找该病毒文件来判断是否中毒。

　　“震荡波”病毒会随机扫描IP地址，对存在有漏洞的计算机进行攻击，并会打开FTP的5554端口,用来上传病毒文件，该病毒还会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立："avserve.exe"=%windows%\avserve.exe的病毒键值进行自启动。

　　该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃，出现系统反复重启的现象，并且使跟安全认证有关的程序出现严重运行错误。
【初步检查】 
1。打开注册表编辑器：在C:windows目录下双击regedit.exe文件。找到My computer/HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run。如果里面有avserver2.exe的项，将其删除。关闭regedit。 
2。打开任务管理器：同时按下Alt+Ctrl+Del，在弹出的对话框里选“任务管理器”，选择里面的第二页“进程”。如果里面有avserver2.exe正在运行，将其中止。 
3。到C:Windows目录下找到该文件(找不到的话就搜索一下)，将其删除。 
如果以上三步都复合我说的，那么就确定是W32/Sasser.worm病毒了。 

【清除方法】
1.下载专杀工具进行查杀

下载地址:   “震荡波(Worm.Sasser)”病毒专杀工具下载

2。对windows进行升级。尽管病毒文件已经被删除，病毒还是不时会引起强行关机，所以没有足够时间安装所有的升级包。先选择最关键的两个K835732和K824146。安装后，重新启动，应该就不会再强行关机了。之后安装所有关键升级补丁就可以了。

注：如果你的机器从未升级，那么安装这两个补丁的时候可能会提示必须先安装ServicePack1-3.

附：

进程文件： lsass 或者 lsass.exe