Lsass.exe進程佔用大量內存

Lsass進程爲系統進程，當發現這個進程佔用了大量內存（有的佔用了3G的內存），在某些內存不是很大的服務器上內存直接達到90%以上。

在發現這些內存出現問題的服務器上主要出現了以下情況：

1.殺毒軟件掃描出一樣的病毒文件。（看掃描出的病毒文件，懷疑爲勒索病毒）

2.系統文件lsass.exe的大小變爲30.5K（原正常文件大小爲30.0K）。

處理方式：
網上找到的處理方法找到兩種，一種是打補丁（Windows 7 SP1 和 Windows Server 2008 R2 SP1 (KB3156417））。另外一種就是利用PE替換lsass程序文件。

兩種方法我都測試過了，首先說一下用PE的方法（使用該方法必定要備份系統，或者克隆一下），虛擬機裏進PE不是很好進，能夠本身先準備一個PE鏡像，而後將鏡像切換爲PE的鏡像。進入後，發現用PE的文件管理器沒法直接操做lsass文件，提示好像是權限不足。而後我就使用PE裏的DiskGenius分區工具，而後找到lsass文件，再進行替換操做就能夠了。在第一臺server 2008 r2的機器上成功了，正常開機，而且內存也正常了。第二臺server 2008 r2上一樣的操做開機時卻藍屏了！因此利用PE操做必定要注意備份或者作鏡像。

第二種方法打補丁。當時的機器補丁太老舊，上面只有一個補丁程序。

而後我就直接將系統更新給打開了，將補丁給更新到最新

重啓後，內存降下來了，而且lsass文件也恢復到了30.0K。不過上面也沒有KB3156417的補丁程序。打補丁的話建議直接將補丁都更新到最新。

建議遇到一樣問題的人，先全盤查殺病毒，而後將補丁打至最新，建議不要用PE替換文件，可能會出現沒法逆轉的藍屏（經測試就算將異常的lsass程序從新換回去也是藍屏）