Co to za proces LSass.exe, jak to usunąć
- 1504
- 417
- Roman Pawlik
Jedno z najskuteczniejszych narzędzi Windows, które pozwala wykryć złośliwe oprogramowanie i pozbawione wszelkich środków analizy heurystycznej - „Menedżer zadań”. I muszę przyznać, że jest dość aktywnie używany przez wielu użytkowników do monitorowania sytuacji w przypadku dziwnego zachowania komputerowego. Możliwość śledzenia w dowolnym momencie, w którym proces lub aplikacja jest nieskutecznie zużywa zasoby komputera, jest bardzo ważna, ponieważ takie procesy są głównymi kandydatami do roli wirusa, trojanu lub innego oprogramowania z tej samej kategorii. Ponadto wielu dokładnie zbadało skład „dyspozytora zadań”, a każda nowa nazwa w nim jest natychmiast postrzegana jako potencjalne zagrożenie. Proces LSASS.Exe nie należy do nich, ponieważ jest systemowy i jest obecny we wszystkich wersjach systemu Windows.
Ale ... nie wszystko jest tak dobre w królestwie duńskiego. Dzisiaj porozmawiamy o tym, jakie przypadki powinny być traktowane z nieufnością do tego procesu.
Lsass.EXE - Jaki jest ten proces
Jeśli przetłumaczysz z angielskiego odszyfrowania skrótu LSASS, otrzymasz coś w rodzaju „usługi sprawdzania autentyczności lokalnego podsystemu bezpieczeństwa”. Mówiąc prosto, jest to element systemu operacyjnego odpowiedzialnego za autoryzację użytkowników w ramach jednego komputera. Proces jest przypisywany ważną rolą w funkcjonowaniu systemu Windows, a jeśli zostanie usunięty, dla użytkowników lokalnych wejście do systemu jest zamknięte dla systemu. Mówiąc najprościej, nie wyjdziesz poza okno zaproszenia systemu operacyjnego.
Aplikacja LSASS.EXE to program wykonywalny zlokalizowany w katalogu systemowym C: \ Windows \ System32 i o wielkości około 13-22 kb. Z powodu powyższego można argumentować, że w zdecydowanej większości przypadków proces ten nie jest wirusem, chociaż jego rozpowszechnienie odgrywa zły żart: być może jest to lsass.EXE jest najbardziej aktywnie używany przez autorów wirusów jako cel.
Jak funkcjonuje proces LSASS.Exe
Zadaniem procesu systemowego jest identyfikacja danych wprowadzonych na etapie autoryzacji i niekoniecznie podczas wejścia do systemu. Jeśli dane zostaną wprowadzone poprawnie, proces ustawia flagę, która jest odpowiednio postrzegana przez system. Jeśli proces autoryzacji zostanie uruchomiony przez użytkownika podczas bieżącej sesji systemu operacyjnego, zostanie zainstalowana flaga do uruchomienia środowiska użytkownika (Shell). Jeśli w przyszłości nastąpi próba zainicjowania procedury autoryzacji ze strony aplikacji, otrzyma prawa użytkownika zgodnie z ustalonymi flagami.
Z tego wynika, że plik LSASS.EXE nie powinno mieć dużego rozmiaru i że praktycznie nie używa zasobów komputerowych, aktywując się w razie potrzeby, ale w każdym razie rzadko, rzadko.
A jeśli zauważysz w „Menedżerze zadań”, że tak nie.EXE jest całkiem załadowany przez procesor - oznacza to, że nie masz do czynienia z oryginalnym plikiem.
Rzeczywiście, atakujący chętnie używają tego procesu do penetracji systemu, zarażając sam plik wykonywalny lub maskowanie pod nim. Jednocześnie używają różnych sztuczek, aby obejść ochronę antywirusową i nie są złapane w oku użytkownika. Na przykład, tworząc plik o podobnej nazwie zlokalizowanej w katalogu systemu Windows (folder System32) lub umieszczając zainfekowany plik o tej samej nazwie w innym katalogu.
Ponieważ proces jest wyświetlany w „Menedżerze zadań” jako LSASS.exe (pierwsza litera L to małe litery, a nie kapitał), pisarze wirusów używają tego, zastępując L na i, w tym przypadku, Isass.Exe będzie wyglądać prawie naturalnie, jeśli nie przyjrzysz się uważnie. W niektórych czcionkach litery te są praktycznie nie do odróżnienia. Aby zidentyfikować połów, musisz skopiować nazwę pliku, wstawić go do Word i przenieść do górnego rejestru (UpperCase). Jeśli pierwsza litera jest poprawna, proces jest wyświetlany jako LSass, jeśli wirus, pozostanie Isass.
Istnieją inne techniki, które pozwalają maskować plik wirusowy dla teraźniejszości - na przykład wstaw lukę do nazwy (LSass .exe), dodaj dodatkową literę (LSASSA.Exe, LSasss.exe) i t. D.
Jeśli uruchomisz procedurę wyszukiwania pliku z nazwą LSass.exe, a on będzie w folderze inaczej niż System32, możesz być pewien, że mamy do czynienia z wirusem. Taki plik można bezpiecznie usunąć bez obawy o konsekwencje.
Możesz przeprowadzić czek bezpośrednio z „dyspozytora zadań” - wystarczy go podświetlić, kliknij PKM (w systemie Windows 10 - przejdź do zakładki „Szczegóły”) i wybierz pozycję „Właściwości”. Pełna nazwa pliku i folderu, w którym jest przechowywany.
Kontrole autentyczności pliku nie zaszkodzą, dlaczego musisz przejść do karty podpisu cyfrowego i upewnić się, że plik jest podpisany przez programistę - Microsoft.
A ponieważ masz tego podejrzenia, wskazane jest sprawdzenie LSASS.EXE Antivirus: Jeśli okaże się, że zostanie zainfekowany, to z dużym prawdopodobieństwem, który fakt ten zostanie otwarty, a problem zostanie rozwiązany. A ponieważ plik systemowy okazał się ofiarami, miło byłoby sprawdzić, a reszta takich plików nie jest przedmiotem ich integralności za pomocą wbudowanych narzędzi systemu Windows, SFC i Disnsility.
Aby to zrobić, uruchamiamy wiersz polecenia (upewnij się, że z prawami administratora) i zyskujemy polecenie:
SFC /Scannow
Jeśli chcesz sprawdzić tylko LSASS, musisz to określić w parametrach polecenia:
Sfc /scanFile = c: \ Windows \ System32 \ lsass.Exe
Zmysłowa użyteczność sprawdza również przechowywanie komponentu systemowego systemu operacyjnego pod kątem ich szkód, co może się poprawić. Składnia zespołu:
Disn /Online /Cleanup-Imagage /Restorehealth
Jeszcze raz zauważamy, że usuń oryginalny plik LSASS.Exe jest niemożliwe, nawet jeśli jest zarażony, ale możesz go rozładować z pamięci, nie doprowadzi to do upadku systemu.
Odłączenie i usuwanie procesu LSASS.Exe
Dlatego dowiedziałeś się, że przetwarzanie LSASS ładowanie CP.Exe - nieoriański. Aby wyeliminować zagrożenie, musisz podjąć szereg środków:
- Pobierz i zainstaluj programy AdwCleaner, CCleaner;
- Usuwamy wszystkie pliki w C: \ Users \ Administrator \ AppData \ Local \ Temp;
- Uruchamiamy narzędzia „programy i komponenty”, dokładnie badamy listę programów zainstalowanych na komputerze, szczególnie te, które zostały zainstalowane stosunkowo niedawno i które są nieznane. Jeśli taki jest, usuwamy je;
- Uruchamiamy narzędzie AdwCleaner, wykonujemy pełny skan systemu, jeśli wyróżniona jest lista podejrzanych komponentów, kliknij przycisk „Clean”;
- Podobne działania są wykonywane z użytkiem CCLEALER, które pozbywają się śmieci w rejestrze systemu;
- Uruchamiamy przeglądarkę używaną domyślnie i zrzucamy jej ustawienia do początkowego.
Przy wysokim prawdopodobieństwie tych kroków wystarczy rozwiązać problem ładowania procesora i spowolnienia pracy komputera. Sprawdź to, ponownie uruchamiając komputer. Jeśli proces nadal ładuje system, możesz spróbować go odłączyć.
Jak wyłączyć LSass.Exe
Czasami zainfekowany proces systemowy naprawdę zaczyna korzystać z zasobów komputerowych, zdecydowanie spowalniając swoją pracę. Po ponownym uruchomieniu wszystko zwykle normalizuje się, ale jeśli chcesz rozładować komputer w bieżącym działaniu systemu operacyjnego, spróbuj po prostu wyłączyć proces:
- Kliknij Win+R, Wprowadź do konsoli „Wykonaj” usługi.MSC, potwierdź, naciskając OK;
- W oknie zarządzania usługami systemu Windows szukamy linii „Menedżer konta” (dla wygody możesz sortować listę według nazwy);
- Kliknij wiersz PKM, wybierz element menu „Właściwości”;
- Na karcie „Ogólne” kliknij przycisk „Stop” i wręcz parametru „Typ uruchomienia” wybierz opcję „odłączoną”, aby zapobiec procesowi podczas uruchamiania systemu;
- Ponownie uruchamiamy komputer.
To wystarczy, aby pozbyć się ładowania procesora i pamięci.
Aby usunąć plik LSASS.EXE, po prostu przejdź do folderu systemowego System32, wybierz plik, kliknij PKM i wybierz element menu „Usuń”. Ważne jest, aby pamiętać, że jest to ważny proces systemowy, który jest niezbędny dla komputerów wielu użytkowników, a jego usunięcie może prowadzić do niemożności wejścia do systemu i użycia środków przywracania systemu Windows.
- « Niż program BIKAQ RSS jest niebezpieczny i jak się go pozbyć
- Co to za proces RTHDCPL.exe i czy można go usunąć »