lsass.exe是什么进程 lsass.exe是病毒吗

lsass.exe是什么进程 lsass.exe是病毒吗

正常情况下lsass.exe不是病毒进程，再开机情况下只有一个lsass.exe的时候没有问题。
lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。

lsass.exe是什么东西啊?

lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略.不能删除。如果杀软查到病毒，说明LSASS.EXE可能被木马感染了，可以用木马克星分离出来清除
如果你的启动菜单里有个lsass.exe启动项，那就证明你中了lsass.exe木马病毒，中毒后，会在windows里产生lsass.exe和exert.exe两个病毒文件，还会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联.

下面分享相关内容的知识扩展：

xp出现lsass错误无法开机

lsass.exe是很重要的进程，用于安全认证。那么xp进不了系统lsass怎么办呢？小编这就为大家带来xp出现lsass错误无法开机的解决 *** 。
xp出现lsass错误无法开机的解决 *** ：
1、在开机出现“lsass.exe系统错误，安全帐户管理器初始化失败”时，大多数会黑屏，进不了系统，这种情况，只能在带命令提示符的安全模式或PE下去替换文件，但有时，也可能进入系统，或者可以进入安全模式，如果有这种机会，可以直接替换掉SAM文件。替换 *** ：进入C:\Windows\Repait文件，直接复制SAM文件，把它复制到C:\Windows\System32\Config文件下；

2、如果在C:\Windows\System32\Config文件下，没有这个SAM文件，复制会顺利进行，如果这个SAM文件，只是损坏，但还存在，复制时，就会弹出提示框，询问是否覆盖文件，按是即可，如果在系统下无法覆盖， 被系统阻止，则到安全模式下去覆盖试试，在替换文件时，把杀毒软件临时关闭一下，替换完后，重启电脑，就能进入系统了；

3、如果不能进入系统，也进入不了安全模式，或者在这两种模式下，替换不了文件，可以试试带命令提示的安全模式。在开机过了自检后，立即按F8键，进入高级模式，在高级模式界面，选择其中的“带命令提示的安全模式”这一项，按Enter回车键进入；

4、进入这种安全模式后，什么都没有，只有一个cmd命令提示框，先在这个框中输入cd c:\windows\system32\Config命令，回车；

5、等切换目录成功后，再输入下一条copy c:\windows\repait\sam命令，按Enter键回车，替换完后，重启电脑，就能进入系统了。

扩展资料：

Windows 7，是由微软公司（Microsoft）开发的操作系统，内核版本号为Windows NT 6.1。Windows 7可供家庭及商业工作环境：笔记本电脑 、多媒体中心等使用。和同为NT6成员的Windows Vista一脉相承，Windows 7继承了包括Aero风格等多项功能，并且在此基础上增添了些许功能。
2019年1月15日，微软公司宣布，2020年1月14日停止对Windows7进行安全更新的支持。

发展历程
2008年1月，对选中的微软合作伙伴发布之一个公布版本Milestone 1，Build6519。在2008年的PDC（Professional Developers Conference，专业开发人员会议）上，微软发表了Windows 7的新工作列以及开始功能表，并在会议结束时发布了Build 6801，但是所发表的新工作列并没有在这个版本中出现。
2009年7月14日，Windows 7正式开发完成，并于同年10月22日正式发布。10月23日，微软于中国正式发布Windows 7。
2015年1月13日，微软正式终止了对Windows 7的主流支持，但仍然继续为Windows 7提供安全补丁支持，直到2020年1月14日正式结束对Windows 7的所有技术支持。[1]
2019年1月15日，微软公司宣布Windows 7系统将于美国时间2020年1月14日正式退役，微软会停止对Windows 7的外延支持，也不再发布任何安全更新。[1]
2020年1月14日，微软停止对Windows7的更新[2] 。

photoshop的Set-up.exe文件双击没反应怎么回事

这是由于setup程序和windows中的某个进程有冲突，如果没有使用管理员身份登陆的话也可能出现此状况。
　　具体解决 *** 有以下两种：
　　1、在安全模式下安装。在开机时选择安全模式启动。
　　2、可以在“任务管理器”中把没用的进程结束在安装，具体 *** 是：在任务栏右击，在出现的菜单中选择“任务管理器”，在进程选项卡中，结束不必要的进程，只留下以下进程：
system
idle
process
system
*** ss.exe
csrss.exe
winlogon.exe
service.exe
lsass.exe
svchost.exe
winmgmt.exe
rundll32.exe
explorer.exe
taskmgr.exe

电脑一开机就会出现svchost.exe进程,删除就会自动倒数重启?

电脑一开机就会出现这4个进程,删除的话就会自动倒数关机,用杀毒软件杀不了,根本搜不出,这是个什么病毒,有专杀工具吗?不要网上复制的 *** ,那些都长编大论,我要最直接最实用的
vchost.exe、lsass.exe、wdfmgr.exe，打开进程列表后你会发现一大堆不知用途的进程，究竟是系统进程还是木马病毒？如果打开系统文件夹，一大堆奇奇怪怪名称的文件，更是会把你弄得晕头转向。很多朋友因此而始终抱有一种未知的恐惧，认为木马、黑客无处不在，即使是高手，也不能把这些陌生的系统文件说个明明白白。为消除大家的疑惑，从这期开始为大家带来一档新的连载栏目——系统蓝色档案为大家曝光这些隐秘文件的秘密。两位主人公，现在就来认识一下。

主人公介绍

小菜：刚接触电脑不久的菜鸟，但对电脑知识有着非常浓厚的学习兴趣，常说的一句话是“菜鸟先飞”。

大嘴:乐于助人的老鸟，经常被别人冠以“大嘴高手”称号，不过这并不是指他嘴特别大，而是一谈到电脑知识就滔滔不绝。

一、紧急状况:系统发现严重病毒

小菜刚刚学习了进程的概念和知识，于是就打开“任务管理器”观察系统中的进程，这一看不要紧，还真发现了一个“病毒”Svchost.exe，这家伙在系统进程列表中竟然有5个之多(见图1)，于是小菜就逐个结束这些进程，没想到第二个进程结束后还会再生，而结束第四个进程时更离谱，系统提示“系统即将关机，离关机还有60秒”，进程再生、错误提示，这些典型的病毒“症状”更让小菜相信“Svchost.exe”是病毒无疑，但无法结束进程，又该怎么清除病毒呢？小菜只好请来了大嘴。

图1 数量众多的SVCHOST进程

大嘴过来后还没看电脑，就先告诉小菜，系统中的Svchost.exe进程是正常系统进程，不是病毒，不仅仅是你，其他朋友一看到系统中这么多的 Svchost.exe进程，之一反应也感觉它是病毒，虽然系统中有多个Svchost.exe进程是正常的，但也不保证都是正常的。听起来似乎有些矛盾？这让小菜更有些迷糊，大嘴坐下后给小菜详细讲了起来。

二、松了口气:Svchost.exe是台“CD机”

1.服务装在“CD机”里

Svchost.exe是NT内核*作系统(Windows 2000/XP/2003都属于NT内核*作系统)独有的进程，“Svchost”其实就是“Service Host”(服务宿主)的缩写。微软官方对它的定义是:Svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称，通俗讲，它就是一个服务装载器。大家可以把每个服务想象成一张音乐CD，而Svchost.exe就是用来播放这种CD的CD机。

2.为什么用“CD机”装服务

由于Windows 2000/XP系统服务越来越多，以EXE单独进程的形式启动所有服务会大大增加系统负担，为节省系统资源，微软将一些系统服务以动态链接库(DLL)形式实现，而Svchost.exe就是用来装载这些DLL文件以启动系统服务的程序。没有人会为了发行一张CD而 *** 一台专用播放此CD的CD机，微软也一样。

3.系统里有几台这样的“CD机”

那为什么系统进程列表中的Svchost.exe会有多个呢？微软为了让系统能更好地进行服务控制，就允许多个Svchost.exe进程同时运行，每个 Svchost.exe进程可以包含一组服务，想像一下可以同时容纳3张甚至更多CD的多碟CD机。打开注册表[HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Svchost]主键，在窗口右侧可以看到许多键值，这里的每个键值都代表一组服务，键值数据则包含了该组服务下面运行的服务名称列表，每组服务启动时都会通过单独的Svchost.exe进程来装载。Windows XP中默认共有六组服务(见图2)，其中imgsvc、NetworkService、rpcss、termsvcs四个组，它们都只有一个服务运行，这些服务启动后的Svchost.exe进程用户名为“SYSTEM”。而LocalService和netsvcs组都启动了多个服务，它们的 Svchost.exe进程用户名分别为“LOCAL SERVICE”和“NETWORD SERVICE”，从图1中可以看到这种区别。

图2 众多svchost进程的区别

当然了，这六组服务通常并不都是启动状态的，根据系统启动的服务不同，反映在系统进程列表中的Svchost.exe进程数量也是不同的，Windows XP会有四个到六个Svchost.exe进程，而Windows 2000通常则会有两个Svchost.exe进程。

小提示：点击“开始→运行”，在运行框中输入“CMD”回车，然后在打开的命令行窗口中输入“Tasklist /svc”(不含引号)命令，可以更直观地看到每个Svchost.exe进程装载的服务名称列表(见图3)。

图3 查看svchost进程装载的服务名称

4.获取每张“CD”的详细信息

如果想更进一步了解Svchost.exe装载的这些服务都是什么功能，可以记下键值数据中的服务名称，例如“RpcSs”，接着打开注册表的 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services]，再打开下面的“RpcSs”子键，在右边的“Description”键值中就可以看到该服务的描述，而在“ImagePath”键值数据中则可以看到这个服务的运行命令正是“% SystemRoot%\system32\svchost -k rpcss”(见图4)。而在“RpcSs”子键下还有一个“Parameters”(参数)子键，其右边的“ServiceDll”键值数据“% SystemRoot%\system32\rpcss.dll”则表明了RpcSs服务启动时调用的是系统目录下的“Rpcss.dll”文件，这就好像你原来只知道CD中歌曲的歌名，现在又让你能够查到这首歌的演唱者。

图4 查看svchost的具体功能

如果觉得通过注册表查询服务名称了解其属性不太方便，也可以使用“全能助手用Windows服务管理专家”(以下简称“服务管理专家”)来查询，运行软件后单击“All Win32 Services”分支，在右侧服务列表中根据服务名称索引即可快速找到要查询的服务，单击服务名称，即可看到该服务的启动命令以及调用的DLL文件等相关信息(见图5)。同时软件还专门设计了Svchost Group分支，可以快速查询LocalService和netsvcs组中的服务详细信息。

图5 用工具查看svchost的情况

全能助手Windows服务管理专家 小档案

软件名称： 全能助手Windows服务管理专家
软件版本： 1.02
软件大小： 67KB
软件授权： 免费
适用平台： Windows 2000/XP
下载地址： 点击这里下载

三、危机仍在:小心病毒的骗局

由于Svchost.exe进程的特殊性，它隐藏了真正运行的程序的名称，在表面看到的只是Svchost.exe进程，这个特性同时也让许多病毒、木马有空可钻，企图以此迷惑用户。那么如何判断系统中的多个Svchost.exe进程是否正常呢？下面针对这类病毒常用的几种欺骗手法来进行分析。

骗局1:利用假冒Svchost.exe名称的病毒程序

火眼金睛:这种方式运行的病毒并没有直接利用真正的Svchost.exe进程，而是启动了另外一个名称同样是Svchost.exe的病毒进程，由于这个假冒的病毒进程并没有加载系统服务，它和真正的Svchost.exe进程是不同的，只需在命令行窗口中运行一下“Tasklist /svc”，如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”(见图6)，而不是一个具体的服务名，那么它就是病毒进程了，记下这个病毒进程对应的PID数值(进程标识符)，即可在任务管理器的进程列表中找到它，结束进程后，在C盘搜索Svchost.exe文件，也可以用第三方进程工具直接查看该进程的路径，正常的Svchost.exe文件是位于%systemroot%\System32目录中的，而假冒的 Svchost.exe病毒或木马文件则会在其他目录，例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在 Windows\System32\Wins目录中，将其删除，并彻底清除病毒的其他数据即可。

图6 查看可疑svchost进程

骗局2:一些高级病毒则采用类似系统服务启动的方式，通过真正的Svchost.exe进程加载病毒程序，而Svchost.exe是通过注册表数据来决定要装载的服务列表的，所以病毒通常会在注册表中采用以下 *** 进行加载：

添加一个新的服务组，在组里添加病毒服务名
在现有的服务组里直接添加病毒服务名
修改现有服务组里的现有服务属性，修改其“ServiceDll”键值指向病毒程序
判断 *** :病毒程序要通过真正的Svchost.exe进程加载，就必须要修改相关的注册表数据，可以打开[HKEY_LOCAL_MACHINE\ Software\Microsoft\WindowsNT\CurrentVersion\Svchost]，观察有没有增加新的服务组，同时要留意服务组中的服务列表，观察有没有可疑的服务名称，通常来说，病毒不会在只有一个服务名称的组中添加，往往会选择LocalService和netsvcs这两个加载服务较多的组，以干扰分析，还有通过修改服务属性指向病毒程序的，通过注册表判断起来都比较困难，这时可以利用前面介绍的服务管理专家，分别打开 LocalService和netsvcs分支，逐个检查右边服务列表中的服务属性，尤其要注意服务描述信息全部为英文的，很可能是第三方安装的服务，同时要结合它的文件描述、版本、公司等相关信息，进行综合判断。例如这个名为PortLess BackDoor的木马程序，在服务列表中可以看到它的服务描述为“Intranet Services”，而它的文件版本、公司、描述信息更全部为空(见图7)，如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\ WINDOWS\System32\svchost.exe -k netsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马，知道了其原理，清除 *** 也很简单了：先用服务管理专家停止该服务的运行，然后运行regedit.exe打开“注册表编辑器”，删除[HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\IPRIP]主键，重新启动计算机，再删除%systemroot%\System32目录中的木马源程序“svchostdll.dll”，通过按时间排序，又发现了时间完全相同的木马安装程序“PortlessInst.exe”，一并删除即可。