Kakav je ovo LSASS proces.exe, kako ga izbrisati
- 2718
- 23
- Morris Cronin PhD
Jedan od najučinkovitijih alata za Windows, koji vam omogućuje otkrivanje zlonamjernog softvera i lišena bilo kakvih sredstava heurističke analize - "Upravitelj zadataka". I moram priznati da mnogi korisnici prilično aktivno koriste za nadzor situacije u slučaju čudnog ponašanja računala. Sposobnost praćenja u bilo kojem trenutku u kojem proces ili aplikacija neefikasno troši resurse računala vrlo je važna, jer su takvi procesi glavni kandidati za ulogu virusa, trojana ili drugog softvera iz iste kategorije. Nadalje, mnogi su temeljito proučavali sastav "dispečera zadataka", a svako novo ime u njemu se odmah shvaća kao potencijalna prijetnja. LSASS postupak.EXE ne pripada tim, jer je sistemski i prisutan je u svim verzijama sustava Windows.
Ali ... nije sve tako dobro u kraljevstvu danskog. Danas ćemo razgovarati o u kojim se slučajevima treba postupati s nepovjerenjem prema ovom procesu.
Lsass.exe - kakav je ovaj postupak
Ako prevedete s engleskog dešifriranja kratice LSASS, dobit ćete nešto poput "usluge za provjeru autentičnosti lokalnog sigurnosnog podsustava". Jednostavno govoreći, ovo je komponenta operativnog sustava odgovornog za autorizaciju korisnika u okviru jednog računala. Proces je dodijeljena važna uloga u funkcioniranju sustava Windows, a ako je uklonjen, za lokalne korisnike, ulaz u sustav je zatvoren za sustav. Jednostavno rečeno, nećete nadići prozor pozivnice OS -a.
LSASS aplikacija.EXE je izvršni program smješten u katalogu sustava C: \ Windows \ System32 i ima veličinu od oko 13-22 KB. Zbog prethodnog, može se tvrditi da u velikoj većini slučajeva proces nije virus, iako njegova prevalencija s njim igra lošu šalu: možda je to LSASS.Exe najiskrenije koriste virusi -autori kao meta.
Kako funkcionira proces LSASS -a.Exe
Zadatak sistemskog postupka je identificirati podatke unesene u fazi autorizacije, a ne nužno i tijekom ulaza u sustav. Ako se podaci pravilno unese, postupak postavlja zastavu, koju sustav u skladu s tim opaža. Ako postupak autorizacije pokreće korisnik tijekom trenutne sesije OS -a, zastava će biti instalirana za pokretanje korisničkog okruženja (Shell). Ako će u budućnosti biti pokušaja inicijalizacije postupka autorizacije na dijelu prijave, ona će dobiti prava korisnika u skladu s utvrđenim zastavama.
Iz toga slijedi da je LSASS datoteka.Exe ne bi trebao imati veliku veličinu i da praktički ne koristi računalne resurse, aktivirajući se prema potrebi, ali u svakom slučaju rijetko.
A ako primijetite u "upravitelju zadataka" da to nije tako, odnosno brojevi u skoku stupca "CPU", odstupajući od nule do čvrstih vrijednosti, to jest, LSASS.Exe je prilično učitan procesorom - to znači da se ne bavite originalnom datotekom.
Doista, napadači voljno koriste ovaj postupak da prodre u sustav, zarazivši sam izvršnu datoteku ili maskirajući pod njom. Istodobno, oni koriste razne trikove za obilazak antivirusne zaštite i ne uhvatiti se u korisnikovo oko. Na primjer, stvaranjem datoteke sa sličnim imenom lokaliziranim u katalogu sustava Windows (System32 mapa) ili postavljanjem zaražene datoteke s istim imenom u drugi katalog.
Budući da je postupak prikazan u "Upravitelj zadataka" kao LSASS.exe (prvo slovo L je mala slova, a ne kapital), virusni pisci koriste ovo, zamjenjujući l s i, u ovom slučaju, ISASS.Exe će izgledati gotovo prirodno ako ne pogledate izbliza. U nekim fontovima ta su slova praktički ne razlikujuća. Da biste identificirali ulov, morate kopirati naziv datoteke, umetnuti ga u Word i prenijeti u gornji registar (velika slova). Ako je prvo slovo ispravno, postupak se prikazuje kao LSASS, ako je virus, ostat će ISASS.
Postoje i druge tehnike koje omogućuju maskiranje virusne datoteke za sadašnjost - na primjer, umetnite jaz u ime (LSASS .exe), dodajte dodatno slovo (lsassa.Exe, lsasss.exe) i t. D.
Ako pokrenete postupak pretraživanja datoteke s imenom LSASS.exe, a on će biti u mapi koja se razlikuje od sustava32, možete biti sigurni da se bavimo virusom. Takva se datoteka može sigurno izbrisati bez straha od posljedica.
Možete izvršiti provjeru izravno s "Dispatcher zadataka" - bit će dovoljno da ga istaknete, kliknite PKM (u kartici Windows 10 - idite na karticu "Pojedinosti") i odaberite stavku "Svojstva". Puno ime datoteke i mapa u kojoj je pohranjena bit će prikazano u novom prozoru.
Provjere autentičnosti datoteke neće naštetiti, zašto trebate ići na karticu Digital Signature i provjerite je li datoteku potpisao programer - Microsoft.
A budući da imate sumnje u to, preporučljivo je provjeriti LSASS.EXE Antivirus: Ako se ispostavilo da je zaražena, s velikom vjerojatnošću ta se činjenica otvara i problem će se riješiti. A budući da se pokazalo da je sistemska datoteka žrtve, bilo bi lijepo provjeriti, a ostale takve datoteke nisu predmet njihovog integriteta pomoću Alati za Windows, SFC i DIST Utility.
Da bismo to učinili, pokrećemo naredbeni redak (budite sigurni s pravima administratora) i dobili naredbu:
SFC /Scannow
Ako želite provjeriti samo LSAS, to morate odrediti u parametrima naredbe:
Sfc /scanfile = c: \ windows \ system32 \ lsass.Exe
Utility Disc također provjerava skladištenje sustava sustava operativnog sustava na njihovo oštećenje, što može ispraviti. Timska sintaksa:
DISLO /Online /Cleanup-slika /RestoreHealth
Još jednom primjećujemo da izbrišite originalnu LSASS datoteku.Exe je nemoguće, čak i ako je zaražen, ali možete ga istovariti iz memorije, to neće dovesti do kolapsa sustava.
Odspojite i uklanjanje postupka LSASS -a.Exe
Dakle, saznali ste da LSASS proces učitava CP.Exe - ne -originalni. Da biste uklonili prijetnju, morate poduzeti niz mjera:
- Preuzmite i instalirajte programe ADWCleaner, CCleaner;
- Izbrišemo sve datoteke u C: \ users \ administrator \ appdata \ local \ temp;
- Pokrećemo alate "Programi i komponente", pažljivo proučavajući popis programa instaliranih na računalu, posebno one koji su instalirani relativno nedavno i koji vam nisu poznati. Ako ih ima, mi ih izbrišemo;
- Pokrećemo uslužni program ADWCleaner, izvršimo cjelovito skeniranje sustava ako je istaknut popis sumnjivih komponenti, kliknite gumb "Čisto";
- Slične akcije se izvode s uslužnom programom CCleaner, koji će se riješiti smeća u sistemskom registru;
- Pokrećemo preglednik koji se koristi prema zadanim postavkama i odbacimo njegove postavke na početno.
Uz veliku vjerojatnost ovih koraka, bit će dovoljno da riješi problem učitavanja CPU -a i usporavanje rada računala. Provjerite ovo ponovno pokretanjem računala. Ako postupak i dalje učitava sustav, možete ga pokušati isključiti.
Kako onemogućiti LSASS.Exe
Ponekad zaraženi sistemski postupak zaista počinje koristiti računalne resurse, snažno usporavajući svoj rad. Nakon ponovnog pokretanja, sve se obično normalizira, ali ako želite istovariti računalo u trenutnom radu operativnog sustava, pokušajte samo isključiti postupak:
- Kliknite Win+R, unesite usluge "Perform".MSC, potvrdite pritiskom OK;
- U prozoru za upravljanje uslugama Windows tražimo liniju "Upravitelj računa" (radi praktičnosti, možete sortirati popis po imenu);
- Kliknite na liniju PKM -a, odaberite stavku izbornika "Svojstva";
- Na kartici "Općenito" kliknite gumb "Zaustavi" i naprotiv parametra "Vrsta pokretanja", odaberite opciju "Odspojeno" kako biste spriječili postupak prilikom pokretanja sustava;
- Ponovno pokrećemo računalo.
To će biti dovoljno da se riješite učitavanja procesora i memorije.
Za brisanje LSASS datoteke.EXE, samo idite na mapu sustava System32, odaberite datoteku, kliknite PKM i odaberite stavku stavke "Izbriši". Važno je zapamtiti da je ovo važan sistemski postupak koji je od vitalnog značaja za računala s više korisnika, a njegovo uklanjanje može dovesti do nemogućnosti unosa sustava i korištenja sredstava za obnovu sustava Windows.
- « Nego što je program Bikaq RSS opasan i kako ga se riješiti
- Koji je ovaj RTHDCPL proces.exe i je li moguće ukloniti ga »