Čo je tento proces LSASS.exe, ako to vymazať
- 961
- 5
- Štefan Šurka
Jeden z najúčinnejších nástrojov systému Windows, ktorý vám umožňuje zistiť škodlivý softvér a zbavený akýchkoľvek prostriedkov heuristickej analýzy - „Správca úloh“. A musím pripustiť, že mnohí používatelia ho veľmi aktívne používa na monitorovanie situácie v prípade podivného počítačového správania. Schopnosť sledovať kedykoľvek, keď je proces alebo aplikácia neúčinne spotrebúvajúce zdroje počítača, je veľmi dôležitá, pretože takéto procesy sú hlavnými kandidátmi na úlohu vírusu, trójskeho konca alebo iného softvéru z rovnakej kategórie. Okrem toho mnohí dôkladne študovali zloženie „dispečer úloh“ a akékoľvek nové meno v ňom je okamžite vnímané ako potenciálna hrozba. Proces LSASS.EXE k nim nepatrí, pretože je systémový a je prítomný vo všetkých verziách systému Windows.
Ale ... nie všetko je také dobré v dánskom kráľovstve. Dnes budeme hovoriť o tom, aké prípady by sa mali zaobchádzať s nedôverou v tento proces.
Lsass.EXE - Aký je tento proces
Ak prekladáte z anglického dešifrovania skratky LSASS, dostanete niečo ako „služba na kontrolu autenticity miestneho subsystému zabezpečenia“. Jednoducho povedané, toto je súčasť operačného systému zodpovedného za povolenie používateľov v rámci jedného počítača. Procesu je priradená dôležitá úloha vo fungovaní systému Windows, a ak je pre miestnych používateľov odstránený, vstup do systému je uzavretý do systému. Jednoducho povedané, nedostanete sa za okno pozvanie OS.
Aplikácia LSASS.EXE je spustiteľný program umiestnený v katalógu systému C: \ Windows \ System32 a má veľkosť asi 13-22 kb. V dôsledku vyššie uvedeného je možné tvrdiť, že v drvivej väčšine prípadov tento proces nie je vírus, hoci jeho prevalencia s ním hrá zlý vtip: možno je to LSASS.EXE najviac aktívne používajú vírusové pracovníci ako cieľ.
Ako funguje proces LSASS.exe
Úlohou systému je identifikovať údaje zadané vo fáze autorizácie a nie nevyhnutne počas vstupu do systému. Ak sú údaje správne zadané, proces nastaví príznak, ktorý systém podľa toho vníma. Ak proces autorizácie spustí používateľ počas aktuálnej relácie OS, nainštaluje sa príznak na spustenie používateľského prostredia (shell). Ak v budúcnosti dôjde k pokusu o inicializáciu autorizačného postupu zo strany žiadosti, dostane používateľské práva v súlade so zavedenými príznakmi.
Z toho vyplýva, že súbor LSASS.EXE by nemala mať veľkú veľkosť a že prakticky nepoužíva počítačové zdroje, ktoré sa podľa potreby aktivujú, ale v každom prípade zriedka.
A ak si všimnete v „Správcovi úloh“, že to tak nie je, to znamená, že čísla v skoku „CPU“, odchyľujúce sa od nuly po pevné hodnoty, tj LSASS.EXE je procesor celkom načítaný - to znamená, že sa nezaoberáte pôvodným súborom.
Útočníci ochotne používajú tento proces na prenikanie do systému, infikovanie spustiteľného súboru samotného alebo maskovania pod ním. Zároveň používajú rôzne triky, aby obchádzali antivírusovú ochranu a nezachytili sa do očí používateľa. Napríklad vytvorením súboru s podobným názvom lokalizovaným v katalógu systému Windows (System32) alebo umiestnením infikovaného súboru s rovnakým názvom v inom katalógu.
Pretože proces sa zobrazuje v „Správcovi úloh“ ako LSASS.EXE (prvé písmeno L je malé písmeno, nie kapitál), autori vírusu to používajú a nahradia L za i, v tomto prípade Isass.Exe bude vyzerať takmer prirodzene, ak sa nepozeráte pozorne. V niektorých písmach sú tieto listy prakticky nerozoznateľné. Ak chcete identifikovať úlovok, musíte skopírovať názov súboru, vložiť ho do programu Word a preniesť ho do horného registra (veľké písmená). Ak je prvé písmeno správne, proces sa zobrazuje ako LSASS, ak vírus, potom zostane Isass.
Existujú aj ďalšie techniky, ktoré umožňujú maskovať vírusový súbor pre súčasnosť - napríklad vložte medzeru do názvu (LSASS .exe), pridajte ďalší list (LSASSA.Exe, lsass.exe) a t. D.
Ak spustíte postup vyhľadávania súborov s menom LSASS.Exe, a on bude v priečinku odlišným od systému 32, môžete si byť istí, že sa zaoberáme vírusom. Takýto súbor sa dá bezpečne vymazať bez strachu z dôsledkov.
Môžete vykonať kontrolu priamo z „dispečera úloh“ - stačí ho zvýrazniť, kliknite na PKM (v systéme Windows 10 - prejdite na kartu „Podrobnosti“) a vyberte položku „Vlastnosti“. V novom okne sa zobrazí celé meno súboru a priečinka, v ktorom sa ukladá.
Kontroly autenticity súboru sa neublížia, prečo musíte prejsť na kartu Digital Signature a uistiť sa, že súbor podpísaný vývojárom - Microsoft.
A keďže to máte podozrenie, je vhodné skontrolovať LSASS.EXE Antivírus: Ak sa ukáže, že je infikovaný, potom s vysokou pravdepodobnosťou je táto skutočnosť otvorená a problém sa vyrieši. A keďže sa ukázalo, že súbor systému je obeťami, bolo by pekné skontrolovať a zvyšok takýchto súborov nie je predmetom ich integrity pomocou zabudovaných nástrojov Windows, SFC a DISM Utility.
Za týmto účelom spustíme príkazový riadok (uistite sa, že s právami správcu) a získame príkaz:
Sfc /scannow
Ak chcete skontrolovať iba LSASS, musíte to určiť v parametroch príkazu:
SFC /SCANFILE = C: \ Windows \ System32 \ LSASS.exe
Utilitu DISM tiež kontroluje ukladanie systému systému operačného systému, aby ich poškodenie bolo možné napraviť. Syntax tímu:
DISM /ONLINE /CLEASUP-IMAGE /RESTOREHEALGS
Ešte raz poznamenávame, že odstránenie pôvodného súboru LSASS.EXE je nemožné, aj keď je infikovaný, ale môžete ho vyložiť z pamäte, nebude to viesť k kolapsu systému.
Odpojenie a odstránenie procesu LSASS.exe
Zistili ste teda, že proces načítania procesu LSASS CP.Exe - non -original. Ak chcete odstrániť hrozbu, musíte prijať niekoľko opatrení:
- Stiahnite a nainštalujte programy AdwCleaner, Ccleaner;
- Odstraňujeme všetky súbory v C: \ Users \ Administrator \ AppData \ Local \ Temp;
- Spúšťame nástroje „Programy a komponenty“, starostlivo preštudujeme zoznam programov nainštalovaných v počítači, najmä tie, ktoré boli nainštalované relatívne nedávno a ktoré vám nie sú známe. Ak existuje, vymažeme ich;
- Spustíme nástroj ADWCleaner, vykonáme úplné skenovanie systému, ak je zvýraznený zoznam podozrivých komponentov, kliknite na tlačidlo „Clean“;
- Podobné akcie sa vykonávajú s nástrojom Ccleaner, ktorý sa zbavuje odpadu v registri systému;
- Predvolene spustíme prehliadač použitý a vyhodíme jeho nastavenia na počiatočné.
S vysokou pravdepodobnosťou týchto krokov bude stačiť na vyriešenie problému načítania CPU a spomalenie práce PC. Skontrolujte toto reštartom počítača. Ak proces stále načíta systém, môžete ho skúsiť odpojiť.
Ako zakázať LSASS.exe
Niekedy infikovaný systémový proces skutočne začína využívať počítačové zdroje a dôrazne spomaľuje svoju prácu. Po reštarte sa všetko zvyčajne normalizuje, ale ak chcete vyložiť počítač v aktuálnej prevádzke operačného systému, skúste tento proces vypnúť:
- Kliknite na kliknutím na Win+R, vstúpte do konzoly „Vykonajte“ služby.MSC, potvrďte stlačením tlačidla OK;
- V okne Správa služieb Windows hľadáme riadok „Správca účtu“ (pre pohodlie môžete zoradiť zoznam podľa názvu);
- Kliknite na riadok PKM, vyberte položku ponuky „Vlastnosti“;
- Na karte „Všeobecné“ kliknite na tlačidlo „Stop“ a naopak parametra „spustenia typu“ vyberte možnosť „odpojená“, aby ste zabránili procesu pri spustení systému;
- Reštatujeme počítač.
To bude stačiť na zbavenie sa načítania procesora a pamäte.
Odstránenie súboru LSASS.Exe, stačí prejsť do systému System32, vyberte súbor, kliknite na PKM a vyberte položku položky „Odstrániť“ položku ponuky „Odstrániť“. Je dôležité si uvedomiť, že ide o dôležitý systémový proces, ktorý je nevyhnutný pre počítače s viacerými používateľmi, a jeho odstránenie môže viesť k nemožnosti vstupu do systému a použitia obnovy systému Windows znamená.
- « Než program Bikaq RSS je nebezpečný a ako sa ho zbaviť
- Aký je tento proces RTHDCPL.exe a je možné ho odstrániť »