Kakšen je ta postopek LSASS.exe, kako ga izbrisati

Kakšen je ta postopek LSASS.exe, kako ga izbrisati

Eno najučinkovitejših orodij Windows, ki vam omogoča zaznavanje zlonamerne programske opreme in prikrajšano za kakršno koli hevristično analizo - "vodja opravil". Priznati moram, da ga mnogi uporabniki precej aktivno uporabljajo za spremljanje situacije v primeru čudnega računalniškega vedenja. Sposobnost sledenja kadar koli, v katerem procesu ali aplikaciji neučinkovito porabi vire računalnika, je zelo pomembna, saj so takšni procesi glavni kandidati za vlogo virusa, trojana ali druge programske opreme iz iste kategorije. Poleg tega so mnogi temeljito preučevali sestavo "dispečerja nalog", vsako novo ime v njem pa je takoj zaznano kot potencialno grožnjo. LSASS postopek.Exe ne pripada tistim, ker je sistemski in je prisoten v vseh različicah Windows.

Ampak ... v danskem kraljestvu ni vse tako dobro. Danes bomo govorili o tem, katere primere je treba obravnavati z nezaupanjem tega procesa.

Lsass.exe - kaj je ta postopek

Če prevedete iz angleškega dešifriranja kratice LSAS, dobite nekaj podobnega kot "storitev za preverjanje pristnosti lokalnega varnostnega podsistema". Preprosto govorjenje, to je sestavni del operacijskega sistema, ki je odgovoren za dovoljenje uporabnikov v okviru enega računalnika. Postopek je dodeljen pomembna vloga pri delovanju sistema Windows, in če je odstranjen, je za lokalne uporabnike vhod v sistem zaprt za sistem. Preprosto povedano, ne boste presegli vabila OS.

Aplikacija LSASS.EXE je izvršljiv program, ki se nahaja v sistemskem katalogu C: \ Windows \ System32 in ima velikost približno 13-22 kb. Zaradi zgoraj navedenega je mogoče trditi, da v veliki večini primerov postopek ni virus, čeprav se njena razširjenost slabo šali z njim: morda je LSASS.Exe najbolj aktivno uporabljajo virusni pisarniki kot tarčo.

Kako deluje postopek LSASS.Exe

Naloga sistemskega postopka je prepoznati podatke, vnesene v fazi avtorizacije, in ne nujno med vhodom v sistem. Če se podatki pravilno vnesejo, postopek nastavi zastavo, ki jo sistem ustrezno zazna. Če uporabnik med trenutnim sejam OS sproži postopek avtorizacije, bo nameščena zastava za zagon uporabniškega okolja (Shell). Če bo v prihodnosti poskus inicializacije postopka avtorizacije s strani vloge, bo prejel pravice uporabnikov v skladu z uveljavljenimi zastavami.

Iz tega izhaja, da datoteka LSASS.Exe ne bi smel imeti velike velikosti in da praktično ne uporablja računalniških virov, ki se po potrebi aktivira, ampak v vsakem primeru redko.

In če v "upravitelju opravil" opazite, da to ni tako, to je, da številke v skoku stolpca "CPU", ki odstopajo od nič na trdne vrednosti, torej LSASS.Exe precej naloži procesor - to pomeni, da se ne ukvarjate z izvirno datoteko.

Dejansko napadalci ta postopek voljno uporabljajo za prodor v sistem, okužbo same izvršljive datoteke ali zakrivanje pod njim. Hkrati uporabljajo različne trike, da se odpravijo na protivirusno zaščito in se ne ujamejo v oči uporabnika. Na primer, z ustvarjanjem datoteke s podobnim imenom, lokaliziranim v sistemu Windows System (System32 mapa), ali v istoimenskem imenu postavite okuženo datoteko z istim imenom.

Ker je postopek prikazan v "upravitelju opravil" kot LSASS.exe (prva črka l je mala črka, ne kapital), pisci virusov to uporabljajo in nadomestijo l z i, v tem primeru ISASS.Exe bo videti skoraj naravno, če ne pogledate natančno. V nekaterih pisavah so te črke praktično nerazločljive. Če želite prepoznati ulov, morate kopirati ime datoteke, ga vstaviti v besedo in ga prenesti v zgornji register (velike črke). Če je prva črka pravilna, je postopek prikazan kot LSASS, če virus, potem bo ostal ISASS.

Obstajajo tudi druge tehnike, ki omogočajo prikrivanje virusne datoteke za sedanjost - na primer vstavite vrzel v ime (LSASS .exe), dodajte dodatno črko (lsassa.Exe, lsass.exe) in t. D.

Če začnete postopek iskanja datotek z imenom LSASS.exe, in on bo v mapi, ki se razlikuje od sistema32, lahko ste prepričani, da se ukvarjamo z virusom. Takšno datoteko je mogoče varno izbrisati brez strahu pred posledicami.

Preverite lahko neposredno iz "dispečerja nalog" - dovolj bo, da ga poudarite, kliknite PKM (v Windows 10 - pojdite na zavihek "Podrobnosti") in izberite element "Lastnosti". Polno ime datoteke in mapa, v kateri je shranjena, bo prikazana v novem oknu.

Pregledi verodostojnosti datoteke ne bodo škodili, zakaj morate iti na zavihek Digital Signature in se prepričati, ali datoteko podpiše razvijalec - Microsoft.

In ker imate sume o tem, je priporočljivo preveriti LSASS.Exe Antivirus: Če se izkaže, da je okužen, potem se z veliko verjetnostjo odpre to dejstvo in problem bo rešena. In ker se je sistemska datoteka izkazala za žrtve, bi bilo lepo preveriti, preostale takšne datoteke pa niso predmet njihove integritete z uporabo vgrajenih -Windows Tools, SFC in Dism Utility.

Če želite to narediti, zaženemo ukazno vrstico (se prepričajte s pravicami skrbnika) in pridobimo ukaz:

SFC /SCANNOW

Če želite preveriti samo LSASS, morate to določiti v parametrih ukaza:

SFC /SCANFILE = C: \ Windows \ System32 \ lsass.Exe

Utility DISM preveri tudi shranjevanje sistemske komponente operacijskega sistema za njihovo škodo, ki lahko popravi. Sintaksa ekipe:

Dism /Online /Cleanup-Image /RestoreHealth

Še enkrat opazimo, da izbrišete originalno datoteko LSASS.Exe je nemogoč, tudi če je okužen, vendar ga lahko raztovorite iz pomnilnika, to ne bo privedlo do propada sistema.

Odklop in odstranjevanje postopka LSAS.Exe

Torej, ugotovili ste, da postopek LSASS nalaga CP.Exe - neoriginalni. Če želite odpraviti grožnjo, morate sprejeti številne ukrepe:

  • Prenesite in namestite programe Adwcleaner, CCleaner;
  • Vse datoteke izbrišemo v C: \ Uporabniki \ Administrator \ appData \ local \ temp;
  • Zaženemo orodja "programi in komponente", natančno preučimo seznam programov, nameščenih v računalniku, zlasti tistih, ki so bili nameščeni relativno pred kratkim in ki vam niso znani. Če jih obstaja, jih izbrišemo;
  • Zaženemo pripomoček AdwCleaner, izvedemo celotno skeniranje sistema, če je poudarjen seznam sumljivih komponent, kliknite gumb "Clean";
  • Podobna dejanja se izvajajo s pripomočkom CCleaner, ki se bo v sistemskem registru znebil smeti;
  • Zaženemo, uporabljen brskalnik privzeto in njegove nastavitve odložimo na začetnico.

Z veliko verjetnostjo teh korakov bo dovolj za reševanje problema nalaganja CPU -ja in upočasnitve dela računalnika. Preverite to tako, da znova zaženete računalnik. Če postopek še vedno naloži sistem, ga lahko poskusite odklopiti.

Kako onemogočiti LSASS.Exe

Včasih okužen sistemski postopek res začne uporabljati računalniške vire, kar močno upočasni svoje delo. Po ponovnem zagonu se vse običajno normalizira, če pa želite računalnik raztovoriti v trenutnem delovanju operacijskega sistema, poskusite samo izklopiti postopek:

  • Kliknite Win+R, vstopite v konzolo "Izvajajte" storitve.MSC, potrdite s pritiskom v OK;
  • V oknu za upravljanje storitev Windows iščemo vrstico "Upravitelj računa" (za udobje lahko seznam razvrstite po imenu);
  • Kliknite na vrstico PKM, izberite element menija "Lastnosti";
  • Na zavihku »Splošno« kliknite gumb »Stop« in na nasprotju parametra »Vrsta zažene« izberite možnost »odklopljeno«, da preprečite postopek pri zagonu sistema;
  • Ponovno zaženemo računalnik.

To bo dovolj, da se znebite nalaganja procesorja in pomnilnika.

Za brisanje datoteke LSASS.Exe, samo pojdite v sistemsko mapo System32, izberite datoteko, kliknite PKM in izberite element elementa "Izbriši" element menija. Pomembno si je zapomniti, da je to pomemben sistemski proces, ki je ključnega pomena za večkratne računalnike, njegova odstranitev pa lahko privede do nemožnosti vstopa v sistem in uporaba obnove oken.