Co je to tento proces LSASS.exe, jak to smazat
- 3532
- 1001
- MUDr. Atila Brázdil
Jeden z nejúčinnějších nástrojů pro Windows, který vám umožňuje detekovat škodlivý software a zbaven jakýchkoli prostředků heuristické analýzy - „Správce úloh“. A musím přiznat, že mnoho uživatelů je poměrně aktivně používáno ke sledování situace v případě podivného chování počítače. Schopnost sledovat kdykoli, ve kterém je proces nebo aplikace neúčinně spotřebovává zdroje PC, je velmi důležitá, protože takové procesy jsou hlavními kandidáty na roli viru, trojského nebo jiného softwaru ze stejné kategorie. Mnozí navíc důkladně studovali složení „dispečera úkolů“ a jakékoli nové jméno v něm je okamžitě vnímáno jako potenciální hrozba. LSASS Proces.EXE nepatří těm, protože je to systémové a je přítomen ve všech verzích Windows.
Ale ... ne všechno je tak dobré v dánském království. Dnes budeme hovořit o tom, s jakými případy by se mělo zacházet s nedůvěrou tohoto procesu.
Lsass.Exe - Co je tento proces
Pokud překládáte z anglického dešifrování zkratky LSASS, získáte něco jako „službu pro kontrolu autentičnosti místního zabezpečovacího subsystému“. Jednoduše řečeno, jedná se o součást operačního systému odpovědného za autorizaci uživatelů v rámci jednoho PC. Proces je přiřazen důležitou roli ve funkci Windows, a pokud je odstraněn, pro místní uživatele je vstup do systému uzavřen do systému. Jednoduše řečeno, nebudete se dostat za okno pozvání OS.
Aplikace LSASS.EXE je spustitelný program umístěný v katalogu systému C: \ Windows \ System32 a má velikost asi 13-22 kB. Vzhledem k výše uvedenému lze tvrdit, že ve velké většině případů není proces virem, i když jeho prevalence s tím hraje špatný vtip: možná je to LSAS.EXE je nejaktivněji používán virus -writers jako cíl.
Jak funguje proces LSASS.Exe
Úkolem systémového procesu je identifikovat data zadaná ve fázi autorizace a ne nutně během vstupu do systému. Pokud jsou data zadána správně, proces nastaví příznak, který systém odpovídajícím způsobem vnímá. Pokud je proces autorizace spuštěn uživatelem během aktuální relace OS, bude nainstalován příznak pro spuštění uživatelského prostředí (Shell). Pokud v budoucnu dojde k pokusu o inicializaci postupu povolení ze strany žádosti, obdrží uživatelská práva v souladu se zavedenými příznaky.
Z toho vyplývá, že soubor LSASS.EXE by neměla mít velkou velikost a že prakticky nepoužívá počítačové zdroje, aktivuje se podle potřeby, ale v žádném případě zřídka zřídka.
A pokud si v „Správci úloh“ všimnete, že tomu tak není, to znamená, že čísla ve sloupci „CPU“ se odchylují od nuly na solidní hodnoty, to znamená LSass.EXE je procesorem docela nabitý - znamená to, že se nezabýváte původním souborem.
Útočníci skutečně ochotně používají tento proces k pronikání systému, infikování samotného spustitelného souboru nebo maskování pod ním. Zároveň používají různé triky, aby obešli antivirovou ochranu a nechytili se do očí uživatele. Například vytvořením souboru s podobným názvem lokalizovaným v katalogu systému Windows (System32) nebo umístěním infikovaného souboru se stejným názvem do jiného katalogu.
Protože proces je zobrazen ve „Správci úloh“ jako LSASS.EXE (první písmeno L je menší, nikoli kapitál), spisovatelé virů to používají a nahrazují L za I, v tomto případě ISass.Exe bude vypadat téměř přirozeně, pokud se nedíváte úzce. V některých písmech jsou tato písmena prakticky nerozeznatelná. Chcete -li identifikovat úlovek, musíte zkopírovat název souboru, vložit jej do slova a převést jej do horního registru (velká písmena). Pokud je první písmeno správné, proces se zobrazí jako LSass, pokud virus, pak zůstane ISASS.
Existují i jiné techniky, které umožňují maskovat virový soubor pro současnost - například vložte mezeru do názvu (LSASS .exe), přidejte další písmeno (Lsassa.Exe, lsass.exe) a t. D.
Pokud spustíte postup vyhledávání souborů s názvem LSASS.exe, a bude ve složce odlišné od System32, můžete si být jisti, že jednáme s virem. Takový soubor lze bezpečně smazat bez obav z důsledků.
Můžete provést kontrolu přímo z „Dispatcher úkolu“ - bude stačit k zvýraznění, klikněte na PKM (v systému Windows 10 - přejděte na kartu „Podrobnosti“) a vybrat položku „Vlastnosti“. V novém okně se zobrazí celé jméno souboru a složky, ve které je uložen.
Kontroly autentičnosti souboru nebudou bolet, proč musíte přejít na kartu Digitální podpis a ujistit se, že soubor je podepsán vývojářem - Microsoft.
A protože o tom máte podezření, je vhodné zkontrolovat LSASS.EXE Antivirus: Pokud se ukáže, že je infikován, pak s vysokou pravděpodobností je tato skutečnost otevřena a problém bude vyřešen. A protože se ukázalo, že soubor systému je oběťmi, bylo by hezké zkontrolovat a zbytek takových souborů není předmětem jejich integrity pomocí vybudovaných nástrojů Windows, SFC a Desm Utility.
Za tímto účelem spustíme příkazový řádek (ujistěte se, že s právy správce) a získáme příkaz:
SFC /Scannow
Pokud chcete zkontrolovat pouze LSASS, musíte to zadat v parametrech příkazu:
SFC /SCANFILE = C: \ Windows \ System32 \ lsass.Exe
Nástroj Disl také kontroluje ukládání systémové součásti operačního systému pro jejich poškození, což může opravit. Syntaxe týmu:
Disp /Online /Cleanup-Image /RestoreHealth
Opět si všimneme, že smažte původní soubor LSASS.EXE je nemožná, i když je infikována, ale můžete jej vyložit z paměti, to nevede ke kolapsu systému.
Odpojení a odstranění procesu LSASS.Exe
Zjistili jste tedy, že proces LSASS načítání CP.Exe - ne -obrál. Chcete -li odstranit hrozbu, musíte přijmout řadu opatření:
- Stáhněte si a nainstalujte programy Adwcleaner, Ccleaner;
- Odstraníme všechny soubory v C: \ Users \ Administrator \ AppData \ local \ temp;
- Spusťte nástroje „Programy a komponenty“, pečlivě prostudujte seznam programů nainstalovaných v počítači, zejména ty, které byly nainstalovány relativně nedávno a které vám nejsou známy. Pokud existuje jeden, odstraníme je;
- Spustíme nástroj AdwCleaner, provedeme úplné skenování systému, pokud je zvýrazněn seznam podezřelých komponent, klikněte na tlačítko „Clean“;
- Podobné akce se provádějí s nástrojem CCLEANER, který se v registru systému zbaví odpadků;
- Spusťte prohlížeč použitý ve výchozím nastavení a vyřadíme jeho nastavení do počátečního.
S vysokou pravděpodobností těchto kroků bude stačit vyřešit problém načítání CPU a zpomalení práce PC. Zkontrolujte to restartováním počítače. Pokud proces stále načítá systém, můžete se ho pokusit odpojit.
Jak deaktivovat LSASS.Exe
Někdy infikovaný systémový proces opravdu začíná používat počítačové prostředky, silně zpomaluje svou práci. Po restartování se vše obvykle normalizuje, ale pokud chcete vyložit počítač v aktuální operaci operačního systému, zkuste proces vypnout:
- Klikněte na Win+R, Vstupte do služeb konzoly „Perform“.MSc, potvrďte stisknutím OK;
- V okně správy služeb Windows hledáme řádek „Správce účtu“ (pro pohodlí můžete třídit seznam podle názvu);
- Klikněte na řádek PKM, vyberte položku nabídky „Vlastnosti“;
- Na kartě „Obecné“ klikněte na tlačítko „Stop“ a naopak parametru „typu spuštění“ vyberte možnost „odpojené“, abyste zabránili procesu při spuštění systému;
- Restartujeme počítač.
To bude stačit k zbavení načítání procesoru a paměti.
Odstranit soubor LSASS.EXE, stačí přejít do složky systému System32, vyberte soubor, klikněte na PKM a vyberte položku položky nabídky „Odstranit“. Je důležité si uvědomit, že se jedná o důležitý systémový proces, který je životně důležitý pro počítače s více uživateli a jeho odstranění může vést k nemožnosti vstupu do systému a použití prostředků obnovy systému Windows.
- « Než program Bikaq RSS je nebezpečný a jak se ho zbavit
- Co je to tento proces RTHDCPL.exe a je možné jej odstranit »