Що це за процес LSASS.Exe, як його видалити
- 4064
- 871
- Loren VonRueden
Один з найефективніших інструментів Windows, який дозволяє виявити шкідливе програмне забезпечення та позбавити будь -яких засобів евристичного аналізу - "Менеджер завдань". І мені потрібно визнати, що багато користувачів дуже активно використовують для моніторингу ситуації у випадку дивної поведінки комп'ютера. Можливість відстежувати в будь -який час, коли процес чи застосування неефективно споживає ресурси ПК дуже важливі, оскільки такі процеси є основними кандидатами на роль вірусу, троян або іншого програмного забезпечення з тієї ж категорії. Більше того, багато хто ретельно вивчав склад "диспетчера завдань", і будь -яка нова назва в ньому негайно сприймається як потенційна загроза. Процес LSASS.Exe не належить до них, оскільки він є системним і присутній у всіх версіях Windows.
Але ... не все так добре в царстві датського. Сьогодні ми поговоримо про те, до яких випадків слід ставитися до недовіри до цього процесу.
LSASS.Exe - Що це за процес
Якщо ви перекладете з англійської розшифровки абревіатури LSASS, ви отримуєте щось на кшталт "послуги для перевірки справжності місцевої підсистеми безпеки". Простіше кажучи, це компонент операційної системи, відповідальної за авторизацію користувачів у рамках одного ПК. Процес присвоюється важлива роль у функціонуванні Windows, і якщо він видалений, для локальних користувачів вхід до системи закритий для системи. Простіше кажучи, ви не вийдете за вікном запрошення ОС.
Додаток LSASS.EXE-це виконувана програма, розташована в системному каталозі C: \ Windows \ System32 і має розмір близько 13-22 кб. Через вищезазначене, можна стверджувати, що в переважній більшості випадків процес не є вірусом, хоча його поширеність грає з ним поганий жарт: можливо, це lsass.Exe найбільш активно використовується вірусами -авторами як ціль.
Як функціонує процес LSASS.Витягувати
Завдання системного процесу - визначити дані, введені на етапі авторизації, а не обов'язково під час входу в систему. Якщо дані вводяться правильно, процес встановлює прапор, який сприймається відповідно системою. Якщо процес авторизації запущений користувачем під час поточного сеансу ОС, буде встановлений прапор для запуску середовища користувача (Shell). Якщо в майбутньому буде спроба ініціалізувати процедуру авторизації з боку програми, вона отримає права користувача відповідно до встановлених прапорів.
З цього випливає, що файл LSASS.EXE не повинен мати великого розміру, і що він практично не використовує комп'ютерні ресурси, активуючи за необхідності, але в будь -якому випадку, рідко.
І якщо ви помітили в "Менеджері завдань", що це не так, тобто числа в стрибку у стовпці "CPU", що переходять від нуля до твердих значень, тобто LSASS.Exe досить завантажений процесором - це означає, що ви не маєте справу з оригінальним файлом.
Дійсно, зловмисники охоче використовують цей процес для проникнення в систему, зараження самого виконуваного файлу або маскування під ним. У той же час, вони використовують різноманітні хитрощі, щоб обходити антивірусну захист і не потрапити в очі користувача. Наприклад, створюючи файл із подібним іменем, локалізованим у каталозі системи Windows (папка System32), або розміщення зараженого файлу з тим самим іменем в іншому каталозі.
Оскільки процес відображається в "Менеджері завдань" як LSASS.exe (перша буква l - це малі, а не капітал), письменники -віруси використовують це, замінюючи l на i, в цьому випадку, isass.Exe буде виглядати майже природно, якщо ви не придивитесь уважно. У деяких шрифтах ці листи практично не відрізняються. Щоб визначити улов, вам потрібно скопіювати ім'я файлу, вставити його у Word та перенести його у верхній регістр (верхній регістр). Якщо перша буква правильна, процес відображається як lsass, якщо вірус, то залишиться isass.
Є й інші методи, які дозволяють замаскувати вірусний файл для сьогодення - наприклад, вставити розрив у ім'я (LSASS .exe), додайте додаткову букву (lsassa.Exe, lsasss.exe) і t. D.
Якщо ви запустите процедуру пошуку файлів із іменем lsass.Exe, і він буде в папці, відмінній від System32, ви можете бути впевнені, що ми маємо справу з вірусом. Такий файл можна безпечно видалити, не боячись наслідків.
Ви можете провести перевірку безпосередньо з "Диспетчера завдань" - цього буде достатньо, щоб виділити його, натисніть PKM (у Windows 10 - перейдіть на вкладку "Деталі") та виберіть елемент "Властивості". Повне ім’я файлу та папки, в якій він зберігається, відображатиметься у новому вікні.
Перевірка автентичності файлу не зашкодить, чому вам потрібно перейти на вкладку Digital Signature і переконатися, що файл підписаний розробником - Microsoft.
А оскільки у вас є підозри в цьому, доцільно перевірити LSASS.exe antivirus: Якщо це виявиться заразити, то з високою ймовірністю цей факт відкривається і проблема буде вирішена. А оскільки системний файл виявився жертвами, було б непогано перевірити, а решта таких файлів не є предметом їх цілісності за допомогою вбудованих інструментів Windows, SFC та утиліти DICM.
Для цього ми запускаємо командний рядок (будьте впевнені з правами адміністратора) та отримуємо команду:
SFC /SCANNOW
Якщо ви хочете перевірити лише LSASS, вам потрібно вказати це в параметрах команди:
Sfc /scanfile = c: \ windows \ system32 \ lsass.Витягувати
Утиліта DISM також перевіряє зберігання системної компонента операційної системи на отримання їх пошкодження, яка може виправити. Синтаксис команди:
Диск /в Інтернеті /очищення /зображення /recortoreHealth
Ще раз зазначимо, що видалити оригінальний файл LSASS.Exe неможливий, навіть якщо він заражений, але ви можете вивантажити його з пам'яті, це не призведе до краху системи.
Від'єднання та видалення процесу LSASS.Витягувати
Отже, ви з’ясували, що процес LSASS завантажує CP.Exe - неорігінальний. Щоб усунути загрозу, вам потрібно вжити ряду заходів:
- Завантажте та встановіть програми adwcleaner, ccleaner;
- Ми видаляємо всі файли в C: \ користувачі \ адміністратор \ appdata \ local \ temp;
- Ми запускаємо інструменти "програми та компонентів", ретельно вивчаємо перелік програм, встановлених на комп’ютері, особливо тих, які були встановлені порівняно недавно і які вам невідомі. Якщо є такий, ми їх видаляємо;
- Ми запускаємо утиліту Adwcleaner, виконуємо повне сканування системи, якщо виділено список підозрілих компонентів, натисніть кнопку "Очистіть";
- Подібні дії виконуються з утилітою CCleaner, яка позбавиться від сміття в реєстрі системи;
- Ми запускаємо браузер, який використовується за замовчуванням, і скидаємо його налаштування на початкові.
При високій ймовірності цих кроків достатньо буде вирішити проблему завантаження процесора та уповільнення роботи ПК. Перевірте це, перезавантаживши комп'ютер. Якщо процес все -таки завантажує систему, ви можете спробувати відключити її.
Як відключити LSASS.Витягувати
Іноді заражений системний процес дійсно починає використовувати комп'ютерні ресурси, сильно уповільнюючи свою роботу. Після перезавантаження все зазвичай нормалізується, але якщо ви хочете вивантажити ПК в поточній операції операційної системи, спробуйте просто вимкнути процес:
- Клацніть Win+R, введіть у консолі "виконати" послуги.MSC, підтвердьте натисканням OK;
- У вікні управління послугами Windows ми шукаємо рядок "менеджер облікових записів" (для зручності ви можете сортувати список за іменем);
- Клацніть на рядку PKM, виберіть пункт меню "Властивості";
- На вкладці "Загальна" натисніть кнопку "Стоп", а на навпаки параметра "Тип запуску" виберіть опцію "Відключено", щоб запобігти процесу при запуску системи;
- Ми перезавантажимо комп'ютер.
Цього буде достатньо, щоб позбутися завантаження процесора та пам'яті.
Видалити файл LSASS.Exe, просто перейдіть до папки System32, виберіть файл, натисніть PKM та виберіть пункт меню "Delete". Важливо пам’ятати, що це важливий системний процес, який є життєво важливим для комп'ютерів для багатокористувацьких комп'ютерів, і його видалення може призвести до неможливості введення системи та використання засобів відновлення Windows.
- « Ніж програма Bikaq RSS небезпечна і як її позбутися
- Що це за процес rthdcpl.Exe і чи можливо його зняти »