Was ist dieser LSASS -Prozess.exe, wie man es löscht

Was ist dieser LSASS -Prozess.exe, wie man es löscht

Eines der effektivsten Windows -Tools, mit dem Sie böswillige Software erkennen und jegliche Mittel der heuristischen Analyse entzogen haben - "Task -Manager". Und ich muss zugeben, dass es von vielen Benutzern sehr aktiv verwendet wird, um die Situation im Falle eines seltsamen Computerverhaltens zu überwachen. Die Fähigkeit, zu jeder Zeit zu verfolgen, in welchem ​​Prozess oder Anwendung ineffektiv die Ressourcen des PC ineffektiv konsumiert werden, ist sehr wichtig, da solche Prozesse die Hauptkandidaten für die Rolle des Virus, des Trojaner oder der anderen Software aus derselben Kategorie sind. Darüber hinaus untersuchten viele die Zusammensetzung des "Dispatcher of the Tasks" gründlich, und jeder neue Name darin wird sofort als potenzielle Bedrohung wahrgenommen. LSASS -Prozess.Exe gehört nicht zu denen, weil es systemisch ist und in allen Versionen von Windows vorhanden ist.

Aber ... nicht alles ist so gut im Königreich Dänisch. Heute werden wir darüber sprechen, welche Fälle mit Misstrauen gegen diesen Prozess behandelt werden sollen.

LSASS.exe - Was ist dieser Prozess

Wenn Sie aus der englischen Entschlüsselung der Abkürzung LSASS übersetzt werden, erhalten Sie so etwas wie "Service zur Überprüfung der Echtheit des lokalen Sicherheits -Subsystems". Einfach gesagt ist dies die Komponente des Betriebssystems, die für die Genehmigung von Benutzern im Rahmen eines PC verantwortlich sind. Dem Prozess wird eine wichtige Rolle bei der Windows -Funktion zugewiesen. Wenn er für lokale Benutzer entfernt wird, ist der Eingang zum System für das System geschlossen. Einfach ausgedrückt, Sie werden nicht über das Einladungsfenster des Betriebssystems hinausgehen.

LSASS -Anwendung.EXE ist ein ausführbares Programm, das sich im Systemkatalog C: \ Windows \ System32 befindet und die Größe von etwa 13-22 kb hat. Aufgrund des Vorstehenden kann argumentiert werden, dass der Prozess in den meisten Fällen kein Virus ist, obwohl seine Prävalenz damit einen schlechten Witz spielt: Vielleicht ist es LSASS.Exe wird von Virus -Schreibern als Ziel am aktivsten verwendet.

Wie der LSASS -Prozess funktioniert.Exe

Die Aufgabe des Systemprozesses besteht darin, Daten zu identifizieren, die in der Autorisierungsstufe eingegeben wurden, und nicht unbedingt während des Eingangs zum System. Wenn die Daten korrekt eingegeben werden, legt der Prozess das Flag fest, das vom System entsprechend wahrgenommen wird. Wenn der Benutzer während der aktuellen Sitzung des Betriebssystems vom Benutzer gestartet wird, wird ein Flag installiert, um die Benutzerumgebung (Shell) zu starten. Wenn es in Zukunft versucht, das Autorisierungsverfahren der Anwendung zu initialisieren, wird die Benutzerrechte gemäß den festgelegten Flags erhalten.

Daraus folgt, dass die LSASS -Datei.Exe sollte keine große Größe haben und es verwendet praktisch keine Computerressourcen, die bei Bedarf aktiviert werden, aber in jedem Fall selten selten.

Und wenn Sie im "Task -Manager" feststellen, dass dies nicht der Fall ist, dh die Zahlen im Spaltensprung "CPU", die von Null zu soliden Werten abweichend abweichen, dh LSASS, LSASS.EXE wird vom Prozessor ziemlich geladen - dies bedeutet, dass Sie sich nicht mit der Originaldatei befassen.

In der Tat verwenden Angreifer diesen Prozess bereitwillig, um in das System einzudringen, die ausführbare Datei selbst zu infizieren oder darunter zu maskieren. Gleichzeitig verwenden sie eine Vielzahl von Tricks, um den Antivirenschutz zu umgehen und sich nicht in das Auge des Benutzers zu befassen. Wenn Sie beispielsweise eine Datei mit einem ähnlichen Namen erstellen, das im Windows -Systemkatalog (System32 -Ordner) lokalisiert ist oder eine infizierte Datei mit demselben Namen in einem anderen Katalog platziert.

Da der Prozess im "Task -Manager" als LSASS angezeigt wird.EXE (der erste Buchstabe L ist ein Kleinbuchstaben, kein Kapital), Virusautoren verwenden dies und ersetzen L durch i in diesem Fall ISASS.Exe wird fast natürlich aussehen, wenn Sie nicht genau hinschauen. In einigen Schriftarten sind diese Briefe praktisch nicht zu unterscheiden. Um den Fang zu identifizieren, müssen Sie den Dateinamen kopieren, ihn in das Wort einfügen und in das obere Register (Großbuchstaben) übertragen. Wenn der erste Buchstabe korrekt ist, wird der Vorgang als LSASS angezeigt, wenn das Virus ISASS bleibt.

Es gibt andere Techniken, mit denen die Virusdatei vorliegend maskiert werden kann - beispielsweise eine Lücke in den Namen einfügen (LSASS .exe), fügen Sie einen zusätzlichen Brief hinzu (LSASSA.Exe, lsasss.exe) und t. D.

Wenn Sie eine Dateisuchprozedur mit dem Namen LSASS starten.exe, und er wird in einem Ordner anders sein als System32, Sie können sicher sein, dass wir uns mit dem Virus befassen. Eine solche Datei kann ohne Angst vor den Folgen sicher gelöscht werden.

Sie können eine Prüfung direkt über den "Task -Dispatcher" durchführen - es reicht aus, um sie hervorzuheben, auf PKM (in Windows 10 - zur Registerkarte "Details" zu klicken und "Eigenschaften" -Position zu wählen. Ein vollständiger Name der Datei und des Ordners, in dem sie gespeichert wird, wird im neuen Fenster angezeigt.

Die Überprüfungen der Dateiauthentizität schaden nicht, warum Sie zur Registerkarte Digital Signature gehen und sicherstellen müssen, dass die Datei vom Entwickler - Microsoft signiert wird.

Und da Sie den Verdacht haben, ist es ratsam, LSASS zu überprüfen.Exe Antivirus: Wenn sich herausstellt, dass es infiziert ist, wird diese Tatsache mit einer hohen Wahrscheinlichkeit geöffnet und das Problem wird gelöst. Und da sich herausstellte, dass die Systemdatei die Opfer waren, wäre es schön zu überprüfen.

Dazu starten wir die Befehlszeile (stellen Sie mit den Rechten des Administrators sicher) und erhalten den Befehl:

SFC /Scannow

Wenn Sie nur LSASS überprüfen möchten, müssen Sie dies in den Parametern des Befehls angeben:

Sfc /scanfile = c: \ windows \ system32 \ lSass.Exe

Das DISM -Dienstprogramm überprüft auch die Speicherung der Systemkomponente des Betriebssystems auf ihren Schaden, der korrigiert werden kann. Teamsyntax:

DISM /Online /Cleanup-Image /Restorehealth

Noch einmal stellen wir fest, dass die ursprüngliche LSASS -Datei löschen.Exe ist unmöglich, auch wenn es infiziert ist, aber Sie können es aus dem Speicher entladen. Dies führt nicht zum Zusammenbruch des Systems.

Trennen und Entfernen des LSASS -Prozesses.Exe

Sie haben also festgestellt, dass der LSASS -Prozess CP lädt.Exe - nicht original. Um die Bedrohung zu beseitigen, müssen Sie eine Reihe von Maßnahmen ergreifen:

  • Laden Sie die Programme adwcleaner, cleaner, herunter und installieren Sie sie;
  • Wir löschen alle Dateien im C: \ Benutzer \ Administrator \ AppData \ Local \ temp;
  • Wir starten die "Programme und Komponenten" -Tools und untersuchen sorgfältig die Liste der auf dem Computer installierten Programm. Wenn es einen gibt, löschen wir sie;
  • Wir starten das AdwCleaner -Dienstprogramm und führen einen vollständigen Scan des Systems durch, wenn eine Liste verdächtiger Komponenten hervorgehoben wird. Klicken Sie auf die Schaltfläche "Reinigen"
  • Ähnliche Aktionen werden mit dem Cleaner -Dienstprogramm ausgeführt, das den Müll im Systemregister beseitigt
  • Wir starten den standardmäßig verwendeten Browser und geben seine Einstellungen in die Initiale ab.

Mit einer hohen Wahrscheinlichkeit dieser Schritte reicht es aus, das Problem des Ladens der CPU zu lösen und die Arbeit des PC zu verlangsamen. Überprüfen Sie dies, indem Sie den Computer neu starten. Wenn der Vorgang das System immer noch lädt, können Sie versuchen, es zu trennen.

Wie man LSASS deaktiviert.Exe

Manchmal beginnt ein infizierter Systemprozess wirklich, Computerressourcen zu nutzen und seine Arbeit stark zu verlangsamen. Nach dem Neustart normalisiert sich normalerweise alles, aber wenn Sie den PC im aktuellen Betrieb des Betriebssystems entladen möchten, versuchen Sie, den Prozess einfach auszuschalten:

  • Klicken Sie auf Win+R, geben Sie in die Konsole "Ausführen" -Dienste ein.MSC, bestätigen Sie, indem Sie OK drücken;
  • Im Windows Service Management -Fenster suchen wir nach einer Zeile "Account Manager" (aus Gründen der Bequemlichkeit können Sie eine Liste nach Namen sortieren)
  • Klicken Sie auf die PKM -Zeile, wählen Sie den Menüelement "Eigenschaften"
  • Klicken Sie auf der Registerkarte "Allgemein" auf die Schaltfläche "Stop" und wählen Sie im Gegenteil des Parameters "Starttyp" die Option "getrennt", um den Prozess beim Starten des Systems zu verhindern
  • Wir starten den Computer neu.

Dies reicht aus, um das Laden des Prozessors und des Speichers loszuwerden.

LSASS -Datei löschen.EXE, gehen Sie einfach zum System des Systems System32, wählen Sie eine Datei, klicken Sie auf PKM und wählen Sie das Menüelement "Löschen". Es ist wichtig zu beachten.