Koks yra šis „LSASS“ procesas.exe, kaip jį ištrinti

Koks yra šis „LSASS“ procesas.exe, kaip jį ištrinti

Vienas iš efektyviausių „Windows“ įrankių, leidžiančių aptikti kenksmingą programinę įrangą ir atimti bet kokias euristinės analizės priemones - „Task Manager“. Ir turiu pripažinti, kad daugelis vartotojų jį gana aktyviai naudoja, norėdami stebėti situaciją, kai keistas kompiuterio elgesys. Gebėjimas sekti bet kuriuo metu, kai procesas ar programa neveiksmingai sunaudoja, kompiuterio ištekliai yra labai svarbūs, nes tokie procesai yra pagrindiniai kandidatai į viruso, trojano ar kitos programinės įrangos vaidmenį iš tos pačios kategorijos iš tos pačios kategorijos. Be to, daugelis kruopščiai ištyrė „užduočių dispečerio kompoziciją“, o bet koks naujas vardas jame iškart suvokiamas kaip potenciali grėsmė. LSASS procesas.EXE nepriklauso tiems, nes jis yra sisteminis ir yra visose „Windows“ versijose.

Bet ... ne viskas taip gerai Danijos karalystėje. Šiandien mes kalbėsime apie tai, kokius atvejus reikia traktuoti nepasitikėdami šiuo procesu.

LSAS.exe - koks yra šis procesas

Jei išverčiate iš angliško santrumpos iššifravimo, jūs gaunate kažką panašaus į „paslaugą, skirtą patikrinti vietinio saugumo posistemio autentiškumą“. Paprasčiau tariant, tai yra operacinės sistemos, atsakingos už vartotojų leidimą viename kompiuteryje, komponentas, komponentas. Procesui priskiriamas svarbus vaidmuo veikiant „Windows“, o jei jis pašalinamas, vietiniams vartotojams įėjimas į sistemą yra uždarytas į sistemą. Paprasčiau tariant, jūs neperžengsite OS kvietimo lango.

„LSASS“ programa.EXE yra vykdoma programa, esanti sistemos kataloge C: \ Windows \ System32 ir jos dydis yra apie 13–22 kb. Dėl to, kas išdėstyta, galima teigti, kad daugeliu atvejų procesas nėra virusas, nors jo paplitimas su tuo susijęs: galbūt tai yra LSASS.EXE labiausiai aktyviausiai naudoja viruso rašytojai kaip taikinys.

Kaip veikia „LSASS“ procesas.Exe

Sistemos proceso užduotis yra nustatyti duomenis, įvestus autorizacijos etape, ir nebūtinai įėjimo į sistemą metu. Jei duomenys įvedami teisingai, procesas nustato vėliavą, kurią atitinkamai suvokia sistema. Jei autorizacijos procesą vartotojas pradės per dabartinę OS sesiją, bus įdiegta vėliava, kad būtų paleista vartotojo aplinka (apvalkalas). Jei ateityje bus bandoma inicijuoti paraiškos autorizacijos procedūrą, ji gaus vartotojo teises pagal nustatytas vėliavas.

Iš to iš to išplaukia, kad „LSass“ failas.EXE neturėtų būti didelio dydžio ir kad jis praktiškai nenaudoja kompiuterio išteklių, prireikus suaktyvinti, tačiau bet kokiu atveju, retai.

Ir jei „Task Manager“ pastebite, kad taip nėra, tai yra, skaičiai stulpelio „CPU“ šuolyje, nukrypstant nuo nulio iki kietųjų reikšmių, tai yra, LSASS.EXE yra gana įkeltas procesoriaus - tai reiškia, kad jūs nesusiduriate su originaliu failu.

Iš tikrųjų užpuolikai noriai naudoja šį procesą, kad prasiskverbtų į sistemą, užkrėsdami patį vykdomąjį failą arba maskuojate po juo. Tuo pačiu metu jie naudoja įvairius triukus, kad galėtų apsaugoti antivirusinę apsaugą ir neįsitraukti į vartotojo akį. Pvz., Sukūrę failą su panašiu pavadinimu, lokalizuotu „Windows System“ kataloge („System32“ aplanke) arba įdėdami užkrėstą failą tuo pačiu pavadinimu kitame kataloge.

Kadangi procesas rodomas „užduočių tvarkyklėje“ kaip LSASS.exe (pirmoji L raidė L yra mažoji, o ne kapitalas), virusų rašytojai tai naudoja, pakeisdami L į I, šiuo atveju isass.Exe atrodys beveik natūralu, jei nežiūrėsite atidžiai. Kai kuriuose šriftuose šie raidės yra praktiškai nesiskiriančios. Norėdami nustatyti laimikį, turite nukopijuoti failo pavadinimą, įterpti jį į „Word“ ir perkelti į viršutinį registrą (didžioji raidė). Jei pirmoji raidė yra teisinga, procesas rodomas kaip LSASS, jei virusas, tada liks iSass.

Yra ir kitų metodų, leidžiančių užmaskuoti virusinį failą dabartinei - pavyzdžiui, įterpti spragą į pavadinimą (LSASS .exe), pridėkite papildomą laišką (lsassa.Exe, lsass.exe) ir t. D.

Jei pradėsite failų paieškos procedūrą su pavadinimu LSASS.exe, ir jis bus aplanke, kitokiame nei „System32“, galite būti tikri, kad mes susiduriame su virusu. Tokį failą galima saugiai ištrinti, nebijant pasekmių.

Galite atlikti čekį tiesiogiai iš „Užduočių dispečerio“ - to pakaks, kad jį paryškintumėte, spustelėkite PKM („Windows 10“ - eikite į skirtuką „Duomenys“) ir pasirinkite elementą „Properties“. Visas failo pavadinimas ir aplankas, kuriame jis saugomas.

Failo autentiškumo patikrinimai nepakenks, kodėl jums reikia eiti į skirtuką „Digital Signature“ ir įsitikinkite, kad failą pasirašo kūrėjas - „Microsoft“ - „Microsoft“.

Ir kadangi jūs įtariate tai, patartina patikrinti LSASS.exe antivirusas: jei jis pasirodys užkrėstas, tada didelė tikimybė, kad šis faktas bus atidarytas ir problema bus išspręsta. Ir kadangi sistemos failas pasirodė kaip aukos, būtų malonu patikrinti, o likę tokie failai nėra jų sąžiningumo objektas, naudojant „Built -Inning -Windows“ įrankius, SFC ir „DEST Utility“.

Norėdami tai padaryti, mes paleidžiame komandinę eilutę (būtinai turėdami administratoriaus teises) ir įgyjame komandą:

SFC /Scannow

Jei norite patikrinti tik LSASS, turite tai nurodyti komandos parametruose:

SFC /SCANFILE = C: \ Windows \ System32 \ LSASS.Exe

„DEST Utility“ taip pat patikrina operacinės sistemos sistemos komponento saugojimą, ar nėra jų pažeidimo, kuris gali ištaisyti. Komandos sintaksė:

Disp /Online /CleanUp-Image /RestoreHealth

Dar kartą atkreipiame dėmesį, kad ištriname originalų „LSASS“ failą.EXE neįmanoma, net jei jis yra užkrėstas, tačiau galite jį iškrauti iš atminties, tai nesukels sistemos žlugimo.

LSASS proceso atjungimas ir pašalinimas.Exe

Taigi, jūs sužinojote, kad „LSASS“ proceso įkėlimo CP.Exe - ne -originalus. Norėdami pašalinti grėsmę, turite imtis daugybės priemonių:

  • Atsisiųskite ir įdiekite programas „Adwcleaner“, „Ccleaner“;
  • Ištrinkite visus failus c: \ users \ administrator \ appData \ local \ temp;
  • Mes paleidžiame įrankius „Programos ir komponentai“, atidžiai ištirti kompiuteryje įdiegtų programų sąrašą, ypač tas, kurios buvo įdiegtos palyginti neseniai ir kurios jums nežinomos. Jei jų yra, mes juos ištriname;
  • Mes paleidžiame „ADWCleaner“ įrankį, atliekame visą sistemos nuskaitymą, jei paryškintas įtartinų komponentų sąrašas, spustelėkite mygtuką „Išvalyti“;
  • Panašūs veiksmai atliekami naudojant „Ccleaner“ naudingumą, kuris atsikratys šiukšlių sistemos registre;
  • Mes paleidžiame naršyklę, naudojamą pagal numatytuosius nustatymus, ir perkeliame jos nustatymus į pradinį.

Esant didelę šių veiksmų tikimybę, pakaks išspręsti CPU įkėlimo problemą ir sulėtinti kompiuterio darbą. Patikrinkite tai iš naujo paleisdami kompiuterį. Jei procesas vis dar įkelia sistemą, galite pabandyti ją atjungti.

Kaip išjungti LSAS.Exe

Kartais užkrėstos sistemos procesas tikrai pradeda naudoti kompiuterio išteklius, stipriai sulėtindamas savo darbą. Iš naujo paleidus iš naujo, viskas paprastai normalizuojasi, tačiau jei norite iškrauti kompiuterį į dabartinę operacinės sistemos veikimą, pabandykite tiesiog išjungti procesą:

  • Spustelėkite „Win+R“, įveskite konsolės „Atlikite“ paslaugas.MSC, patvirtinkite paspausdami Gerai;
  • „Windows“ paslaugų valdymo lange ieškome eilutės „Sąskaitos tvarkyklės“ (patogumui galite rūšiuoti sąrašą pagal pavadinimą);
  • Spustelėkite PKM eilutę, pasirinkite meniu „Properties“ elementą;
  • Skirtuke „Bendroji“ spustelėkite mygtuką „Sustabdyti“ ir parametro „paleidimo tipo“ priešingai, pasirinkite parinktį „Atjungti“, kad išvengtumėte proceso paleidžiant sistemą;
  • Iš naujo paleidžiame kompiuterį.

To pakaks, kad atsikratytumėte procesoriaus ir atminties įkėlimo.

Norėdami ištrinti „LSass“ failą.Exe, tiesiog eikite į „System32 System System“ aplanką, pasirinkite failą, spustelėkite PKM ir pasirinkite meniu „Ištrinti“ elemento elemento. Svarbu atsiminti, kad tai yra svarbus sistemos procesas, kuris yra gyvybiškai svarbus kelių vartotojų kompiuteriams, o jo pašalinimas gali sukelti neįmanoma patekti į sistemą ir naudoti „Windows“ atkūrimo vidurkius.