Здравствуйте, Дядя Михайло!
"lsass.exe" is the Local Security Authentication Server. It verifies the validity of user logons to your PC/Server. It generates the process responsible for authenticating users for the Winlogon service. This process is performed by using authentication packages such as the default Msgina.dll. If authentication is successful, Lsass generates the user's access token, which is used to launch the initial shell. Other processes that the user initiates inherit this token. More info

Note: The lsass.exe file is located in the folder C:\Windows\System32. In other cases, lsass.exe is a virus, spyware, trojan or worm! Check this with Security Task Manager.

Virus with same name:
W32.Nimos.Worm - Symantec Corporation
W32.Sasser.E.Worm (Lsasss.exe) - McAfee
W32.HLLW.Lovgate.C@mm - Symantec Corporation


Перевожу на русский проверьтесь на вирусы

Здравствуйте, Дядя Михайло!
Трудно сказать определенно по Вашему конкретному случаю, но давайте попробуем разобраться.

Брандмауэр Windows обнаружил приложение, прослушивающее входящий трафик

Т.е. процесс не "лезет" в сеть, а прослушивает входящий трафик. Обратил внимание на

Категория события: [b]Подробное[/b] отслеживание

. Значит отслеживаются все мало-мальски значимые события.
Процесс lsass.exe

Управляет политикой IP-безопасности и запускает ISAKMP/Oakley (IKE) и драйвер IP-безопасности.

- это служба Windows, которая обеспечивает безопасность IP, а IP связан с сетью. Он контролирует доступ к компьютеру или серверу. Отсюда вполне закономерно, что данная служба может общаться с сетью. У меня, кстати, он тоже имеет доступ к сети, но по определенному правилу сетевого экрана (встроенный брандмауэр отключен). Любые иные действия и не по разрешенным путям будут при этом беспощадно пресекаться. У себя проконтролировать приложения, запрашивающие выход в сеть и имеющие таковой Вы можете сами легко с помощью ProcX >> (если есть зеленая "антеннка", по типу Wi-Fi). Многие рекомендуют вообще отключить службу IPSEC, но лично я не являюсь сторонником этого шага, поэтому воздержусь от рекомендаций.
Для сервера процесс имеет и свои особенности и отличия. Подробности прочтите Здесь >>
У Вас файл расположен по месту назначения, так что, казалось-бы, можно и успокоиться. Но известный червь Worm.Win32.Sasser может встраиваться в процесс и действовать под его именем. Признаки:
Использует уязвимость в службе LSASS Microsoft Windows.
Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя. Загрузка выполняется по протоколу FTP.
Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "_up.exe", где N - случайное число.
При запуске червь регистрирует себя в ключе автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avserve.exe = %WINDIR%\avserve.exe
avserve2.exe = %WINDIR%\avserve2.exe
Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер ок. 15 Кб, упакован ZiPack.
Заплатки:
Для русской версии WinXP >>
Для английской версии WinXP >>
Таким образом, можно просто убедиться в отсутствии его признаков, а для полного успокоения скопировать файл lsass.exe из System32 и отправить на virustotal >>. Или проверить жесткий диск сканерами и (или) другими антивирусами.