Какъв е този LSASS процес.exe, как да го изтриете

Един от най -ефективните инструменти на Windows, който ви позволява да откривате злонамерен софтуер и да се лишите от всякакви средства за евристичен анализ - „мениджър на задачи“. И трябва да призная, че много активно се използва от много потребители, за да наблюдават ситуацията в случай на странно компютърно поведение. Възможността за проследяване по всяко време, в което процесът или приложението се консумира неефективно, ресурсите на компютъра са много важни, тъй като такива процеси са основните кандидати за ролята на вируса, троянския или друг софтуер от същата категория. Нещо повече, мнозина подробно проучиха състава на „диспечера на задачите“ и всяко ново име в него веднага се възприема като потенциална заплаха. LSASS процес.EXE не принадлежи на тези, защото е системен и присъства във всички версии на Windows.

Но ... не всичко е толкова добро в царството на датски. Днес ще говорим за какви случаи трябва да се третират с недоверие към този процес.

Lsass.exe - Какъв е този процес

Ако преведете от английското декриптиране на съкращението LSASS, получавате нещо като „услуга за проверка на автентичността на местната подсистема за сигурност“. Просто казано, това е компонентът на операционната система, отговорен за разрешаването на потребителите в рамките на един компютър. Процесът е присвоен важна роля във функционирането на Windows и ако той бъде премахнат, за местните потребители входът към системата е затворен за системата. Просто казано, няма да излезете отвъд прозореца на поканата на ОС.

Приложение LSASS.EXE е изпълнима програма, разположена в системния каталог C: \ Windows \ System32 и с размера на около 13-22 kb. Поради гореизложеното може да се твърди, че в по -голямата част от случаите процесът не е вирус, въпреки че разпространението му играе лоша шега с него: може би е lsass.Exe се използва най -активно от писателите на вируси като цел.

Как функционира процесът на LSASS.Exe

Задачата на системния процес е да се идентифицират данни, въведени на етапа на разрешение, а не непременно по време на входа на системата. Ако данните са въведени правилно, процесът задава знамето, което се възприема съответно от системата. Ако процесът на разрешение стартира от потребителя по време на текущата сесия на ОС, ще бъде инсталиран флаг за стартиране на потребителската среда (Shell). Ако в бъдеще ще има опит да се инициализира процедурата за разрешение от страна на заявлението, тя ще получи правата на потребителя в съответствие с установените знамена.

От това следва, че файлът LSASS.EXE не трябва да има голям размер и че практически не използва компютърни ресурси, като активира при необходимост, но във всеки случай, рядко.

И ако забележите в „Мениджъра на задачите“, че това не е така, тоест числата в скачането на колоната „CPU“, отклоняващи се от нула към твърди стойности, тоест LSASS.EXE е доста зареден от процесора - това означава, че не се занимавате с оригиналния файл.

Всъщност нападателите с охота използват този процес, за да проникнат в системата, заразявайки самия изпълним файл или маскират под него. В същото време те използват различни трикове, за да обиколят антивирусната защита и да не се хванат в очите на потребителя. Например, чрез създаване на файл с подобно име, локализирано в каталога на системата на Windows (папка System32) или поставяне на заразен файл със същото име в друг каталог.

Тъй като процесът се показва в "мениджъра на задачите" като LSASS.EXE (първата буква L е малкия, а не капитал), писателите на вируси използват това, заменяйки L с I, в случая ISASS.Exe ще изглежда почти естествено, ако не погледнете внимателно. При някои шрифтове тези букви са практически неразличими. За да идентифицирате улова, трябва да копирате името на файла, да го поставите в Word и да го прехвърлите в горния регистър (главни). Ако първата буква е правилна, процесът се показва като LSASS, ако вирусът, тогава ще остане ISASS.

Има и други техники, които позволяват да се маскира вирусния файл за настоящето - например, поставете празнина в името (LSASS .exe), добавете допълнителна буква (lsassa.Exe, lsasss.exe) и t. Д.

Ако стартирате процедура за търсене на файл с името LSASS.Exe, и той ще бъде в папка, различна от System32, можете да сте сигурни, че имаме работа с вируса. Такъв файл може безопасно да бъде изтрит без страх от последствията.

Можете да извършите проверка директно от „Диспечерът на задачата“ - ще бъде достатъчно, за да я маркирате, щракнете върху PKM (в Windows 10 - Отидете в раздела „Details“) и изберете елемента „Properties“. Пълно име на файла и папката, в която се съхранява, ще се покаже в новия прозорец.

Проверките за автентичност на файла няма да навредят, защо трябва да отидете в раздела Цифров подпис и да се уверите, че файлът е подписан от разработчика - Microsoft.

И тъй като имате подозрения в това, препоръчително е да проверите LSASS.EXE антивирус: Ако се окаже заразен, тогава с голяма вероятност този факт се отваря и проблемът ще бъде решен. И тъй като системният файл се оказа жертвите, би било хубаво да се провери, а останалите такива файлове не са обект на тяхната цялост, използвайки вградени инструменти на Windows, SFC и Dism Utility.

За да направим това, стартираме командния ред (бъдете сигурни с правата на администратора) и спечелим командата:

SFC /SCANNOW

Ако искате да проверите само LSASS, трябва да посочите това в параметрите на командата:

Sfc /scanfile = c: \ windows \ system32 \ lsass.Exe

Помощната програма Disc също така проверява съхранението на системния компонент на операционната система за техните щети, което може да коригира. Синтаксис на екипа:

Disc /online /cleanup-image /restorehealth

За пореден път отбелязваме, че изтрийте оригиналния LSASS файл.EXE е невъзможно, дори и да е заразен, но можете да го разтоварите от паметта, това няма да доведе до срив на системата.

Изключване и премахване на процеса на LSASS.Exe

И така, разбрахте, че CP за зареждане на процеса на LSASS.Exe - не -оригинална. За да премахнете заплахата, трябва да предприемете редица мерки:

• Изтеглете и инсталирайте програмите adwcleaner, ccleaner;
• Изтриваме всички файлове в C: \ Потребители \ Administrator \ AppData \ Local \ Temp;
  
• Ние стартираме инструментите „Програми и компоненти“, внимателно проучваме списъка с програми, инсталирани на компютъра, особено тези, които са инсталирани сравнително наскоро и които са непознати за вас. Ако има такъв, ние ги изтриваме;
  
• Ние стартираме помощната програма adwcleaner, извършваме пълно сканиране на системата, ако се подчертае списък с подозрителни компоненти, щракнете върху бутона "Clean";
  
• Подобни действия се извършват с помощната програма CCleaner, която ще се отърве от боклука в системния регистър;
  
• Стартираме браузъра, използван по подразбиране и изхвърляме настройките му до първоначалното.
  

С голяма вероятност от тези стъпки ще бъде достатъчно за решаване на проблема с зареждането на процесора и забавяне на работата на компютъра. Проверете това, като рестартирате компютъра. Ако процесът все още зарежда системата, можете да опитате да я изключите.

Как да деактивирате LSASS.Exe

Понякога заразеният системен процес наистина започва да използва компютърни ресурси, силно забавя работата си. След рестартиране всичко обикновено се нормализира, но ако искате да разтоварите компютъра в текущата работа на операционната система, опитайте се просто да изключите процеса:

• Щракнете върху Win+R, въведете в конзолата „Изпълнете“ услугите.MSC, потвърдете чрез натискане на OK;
  
• В прозореца за управление на услугите на Windows търсим ред "мениджър на акаунти" (за удобство можете да сортирате списък по име);
  
• Кликнете върху реда на PKM, изберете елемента от менюто "Свойства";
• В раздела „Общ“ щракнете върху бутона „Стоп“ и напротив на параметъра „Тип на стартиране“ изберете опцията „Изключен“, за да предотвратите процеса при стартиране на системата;
  
• Рестартираме компютъра.

Това ще бъде достатъчно, за да се отървете от зареждането на процесора и паметта.

За да изтриете LSASS файл.Exe, просто отидете в системната папка System32, изберете файл, щракнете върху PKM и изберете елемента от менюто "Изтриване". Важно е да запомните, че това е важен системен процес, който е жизненоважен за многократните компютри и премахването му може да доведе до невъзможността за влизане в системата и използването на средства за възстановяване на Windows.