矮子是指中央谁:LSASS.exe是病毒吗?怎么删?

正常的系统中应该只有一个这个名字的进程建议杀毒

有两个lsass.exe，你用“进程管理软件”查看是不是来自：C:\WINDOWS\system32，
一些病毒，如W32.Nimos.Worm病毒会在其它位置模仿LSASS.EXE来运行。
如果发现有一个lsass.exe来自C:\WINDOWS\，就可以断定是病毒。

查杀方法：（下载个超级兔子魔法设置和木马清除软件）
1、关闭其它已经打开的应用软件。
2、打开internet选项，清除所以历史纪录、cookis、历史文件
3、打开任务管理器--结束LSASS.exe和exert.exe进程，这里大家注意会有两个lsass.exe 一个是系统自带的，还有一个就是木马的，占用内存比较大的一般就是木马。

4、修改文件夹属性，显示系统隐藏文件和已知文件扩展名。
进入windows安装目录，2000为 X:\winnt 。98，XP为X:\WINDOWS 。
在安装目录下删除 lsass.exe和 exert.exe， (系统自带的lsass.exe在\system32目录下，不可删除)，用资源管理器打开D盘，在根目录下删除command.com和autorun.inf两个文件

5、将超级兔子魔法设置文件MagicSet.exe改名为Magicset.com，运行，魔法设置-文件及媒体，修复文件关联
6、为了保险，最后运行木马清除软件，查杀所有硬盘木马。

超级兔子魔法设置 7.45 正式版
www.onlinedown.net/soft/2636.htm

Windows木马清道夫 8.5
http://www.onlinedown.net/soft/37369.htm

Anti-Hacker&Trojan Expert(反黑客木马专家) 2003 Build 1.6
http://www.onlinedown.net/soft/3513.htm

木马克星iparmor 5.50 build 2305 简体版
www.onlinedown.net/soft/2985.htm

一般在任务管理器里显示的这个进程应该是小写的。
这是这个进程的相关的信息：
本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞，正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查，构建超过1000个"AND"的请求，并发送给服务器，导致触发堆栈溢出，使Lsass.exe服务崩溃，系统在30秒内重新启动。

具体的到这个bbs去看看吧：
http://bbs.51cto.com/archiver/?tid-20043.html
这个上还有图示的：
http://cache.baidu.com/c?word=lsass%3B%2E%3Bexe%3B%B2%A1%B6%BE&url=http%3A//www%2Edreamsea%2Ecn/bbs/read%2Ephp%3Ftid%2D5276%2Ehtml&b=0&a=8&user=baidu#0