Mi ez az LSASS folyamat.exe, hogyan lehet törölni
- 1413
- 43
- Hegedüs Sándor
Az egyik leghatékonyabb Windows eszköz, amely lehetővé teszi a rosszindulatú szoftverek észlelését, és megfosztja a heurisztikus elemzés bármely eszközét - "Feladatkezelő". És be kell vallanom, hogy sok felhasználó nagyon aktívan használja a helyzetet furcsa számítógépes viselkedés esetén. Nagyon fontos az a képesség, hogy bármikor nyomon követhesse a folyamat vagy alkalmazás nem hatékonyan fogyasztja a PC forrásait, mivel az ilyen folyamatok a fő jelöltek a vírus, a trójai vagy más szoftver szerepének ugyanazon kategóriából származó szerepére. Sőt, sokan alaposan megvizsgálták a "feladatok diszpécserének" összetételét, és minden új nevet azonnal potenciális fenyegetésnek tekintik. LSASS folyamat.Az EXE nem tartozik azokhoz, mert szisztematikus és a Windows minden verziójában van jelen.
De ... nem minden olyan jó a dán királyságában. Ma arról fogunk beszélni, hogy mely eseteket kell kezelni e folyamat iránti bizalmatlansággal.
LSASS.EXE - Mi ez a folyamat
Ha lefordítja az LSASS rövidítés angol dekódolását, akkor kap valamit, mint például a "Szolgáltatás a helyi biztonsági alrendszer hitelességének ellenőrzéséhez". Egyszerűen beszélve, ez az operációs rendszer alkotóeleme, amely felelős a felhasználók engedélyezéséért egy PC keretein belül. A folyamat fontos szerepet játszik a Windows működésében, és ha eltávolítják, a helyi felhasználók számára a rendszer bejárata bezáródik a rendszerhez. Egyszerűen fogalmazva: nem fogsz túljutni az operációs rendszer meghívásának ablakon.
LSASS alkalmazás.Az EXE egy végrehajtható program, amely a C: \ Windows \ System32 rendszerkatalógusban található, és körülbelül 13-22 kb méretű. A fentiek miatt azt lehet állítani, hogy az esetek túlnyomó többségében a folyamat nem vírus, bár prevalenciája rossz viccet játszik vele: talán ez az LSASS.Az EXE -t a vírus -írók leginkább aktívan használják célként.
Hogyan működik az LSASS folyamat.alkalmazás
A rendszer folyamatának feladata az engedélyezési szakaszban megadott adatok azonosítása, és nem feltétlenül a rendszer bejárata során. Ha az adatokat helyesen adják meg, a folyamat beállítja a zászlót, amelyet a rendszer ennek megfelelően érzékel. Ha az engedélyezési folyamatot a felhasználó indítja el az operációs rendszer aktuális munkamenete során, akkor egy zászlót kell telepíteni a felhasználói környezet elindításához (Shell). Ha a jövőben megkísérlik inicializálni az alkalmazási eljárást az alkalmazás részéről, akkor a felhasználói jogokat a bevált zászlóknak megfelelően kapja meg.
Ebből ebből következik, hogy az LSASS fájl.Az EXE -nek nem szabad nagy mérete, és hogy gyakorlatilag nem használja a számítógépes erőforrásokat, szükség szerint aktiválva, de mindenesetre ritkán.
És ha a „Feladatkezelőben” észreveszi, hogy ez nem így van, azaz a „CPU” oszlopban szereplő számok, nulláról szilárd értékekre eltérnek, azaz LSASS.Az EXE -t a processzor meglehetősen betölti - ez azt jelenti, hogy nem foglalkozik az eredeti fájllal.
Valójában a támadók szívesen használják ezt a folyamatot a rendszerbe való behatolásra, maga a futtatható fájl megfertőzésére vagy az alatta lévő maszkolásra. Ugyanakkor különféle trükköket használnak a vírusellenes védelem körül, és nem kerülnek a felhasználó szemébe. Például egy hasonló névvel rendelkező fájl létrehozásával, amely a Windows System Catalógusban (System32 mappában) lokalizálódik, vagy egy fertőzött fájl ugyanazzal a névvel történő elhelyezése egy másik katalógusba helyezve.
Mivel a folyamat a "feladatkezelő" -ben megjelenik, mint LSASS.exe (az első L betű kisbetű, nem tőke), a vírusírók ezt használják, az l -rel helyettesítve, ebben az esetben ISAS.Az EXE szinte természetesnek tűnik, ha nem nézi alaposan. Néhány betűtípus esetén ezek a betűk gyakorlatilag megkülönböztethetetlenek. A fogás azonosításához át kell másolnia a fájl nevét, be kell helyeznie a Wordbe, és áthelyezni a felső regiszterre (nagybetűkkel). Ha az első betű helyes, akkor a folyamat LSASS -ként jelenik meg, ha a vírus, akkor ott marad ISASS.
Vannak más technikák is, amelyek lehetővé teszik a jelen vírusfájl elfedését - például beilleszteni egy rést a névbe (LSASS .exe), adjon hozzá egy extra levelet (lsassa.Exe, lsasss.exe) és t. D.
Ha elindít egy fájlkeresési eljárást az LSASS névvel.exe, és ő lesz a System32 -től eltérő mappában, biztos lehet benne, hogy a vírussal foglalkozunk. Egy ilyen fájlt biztonságosan törölhet a következményektől való félelem nélkül.
A csekk közvetlenül a "Task Discatcher" -ből végezhet egy csekket - elegendő lesz annak kiemeléséhez, kattintson a PKM -re (a Windows 10 -ben - lépjen a "Részletek" fülre), és válassza a "Tulajdonságok" tétel lehetőséget. Az új ablakban megjelenik a fájl és a tárolt mappa teljes neve.
A fájl hitelességének ellenőrzése nem fog ártani, miért kell a Digital Signature fülre lépnie, és ellenőrizze, hogy a fájlt a fejlesztő - Microsoft aláírja -e.
És mivel ennek gyanúja van, tanácsos ellenőrizni az LSASS -t.Exe Antivirus: Ha kiderül, hogy fertőzött, akkor nagy valószínűséggel ez a tény megnyílik, és a probléma megoldódik. És mivel a rendszerfájl áldozatoknak bizonyult, jó lenne ellenőrizni, és az ilyen fájlok többi része nem az integritásuk tárgya a beépített Windows eszközökkel, az SFC -vel és a Disc Utility segítségével.
Ehhez elindítjuk a parancssort (ügyeljen arra, hogy a rendszergazdai jogai vannak), és megszerezzük a parancsot:
SFC /SCANNOW
Ha csak az LSASS -t szeretné ellenőrizni, ezt meg kell adnia a parancs paramétereiben:
Sfc /scanfile = c: \ windows \ system32 \ lsass.alkalmazás
Az elbocsátási segédprogram ellenőrzi az operációs rendszer rendszerkomponensének tárolását is, amely kijavíthatja a sérülést. Team szintaxis:
DIM /Online /Cleanup-Image /RestorEhealth
Még egyszer megjegyezzük, hogy törli az eredeti LSASS fájlt.Az EXE lehetetlen, még ha fertőzött is, de a memóriából kirakhatja, ez nem vezet a rendszer összeomlásához.
Az LSASS folyamat leválasztása és eltávolítása.alkalmazás
Tehát rájött, hogy az LSASS folyamat betöltése CP.Exe - nem -originális. A fenyegetés kiküszöbölése érdekében számos intézkedést kell hoznia:
- Töltse le és telepítse a programokat az AdwCleaner, a CCleaner;
- Töröljük az összes fájlt a C: \ Felhasználók \ Administrator \ AppData \ Local \ Temp;
- Elindítjuk a "Programok és alkatrészek" eszközöket, gondosan tanulmányozzuk a számítógépre telepített programok listáját, különösen azokat, amelyeket viszonylag nemrégiben telepítettek, és amelyek ismeretlenek az Ön számára. Ha van ilyen, akkor töröljük őket;
- Elindítjuk az AdwCleaner segédprogramot, végezze el a rendszer teljes vizsgálatát, ha a gyanús alkatrészek listája ki van emelve, kattintson a "Tiszta" gombra;
- Hasonló műveleteket hajtunk végre a CCleaner segédprogrammal, amely megszabadul a szeméttől a rendszer nyilvántartásában;
- Alapértelmezés szerint elindítjuk a böngészőt, és a beállításait a kezdetre dobjuk.
Ezeknek a lépéseknek a nagy valószínűséggel elegendő a CPU betöltésének és a PC munkájának lelassításának problémájának megoldása. Ellenőrizze ezt a számítógép újraindításával. Ha a folyamat továbbra is betölti a rendszert, megpróbálhatja leválasztani azt.
Hogyan lehet letiltani az LSASS -t.alkalmazás
Időnként a fertőzött rendszer folyamat valóban elkezdi a számítógépes erőforrások felhasználását, erősen lelassítva munkáját. Az újraindítás után minden általában normalizálódik, de ha az operációs rendszer aktuális működésében szeretné kirakni a számítógépet, próbálja meg csak kikapcsolni a folyamatot:
- Kattintson a Win+R gombra, írja be a "Perform" Szolgáltatások konzolba.MSC, erősítse meg az OK megnyomásával;
- A Windows Service Management ablakban egy sor "fiókkezelő" sort keresünk (a kényelem érdekében a listát név szerint rendezheti);
- Kattintson a PKM sorára, válassza a "Tulajdonságok" menüpontot;
- Az „Általános” lapon kattintson a „Stop” gombra, és az „indító típust” paraméterrel ellentétben válassza ki a „leválasztott” lehetőséget, hogy megakadályozza a folyamatot a rendszer indításakor;
- Újraindítjuk a számítógépet.
Ez elég lesz ahhoz, hogy megszabaduljon a processzor és a memória betöltésétől.
Az LSASS fájl törléséhez.EXE, csak lépjen a System32 System Mappába, válassza ki a fájlt, kattintson a PKM gombra, és válassza ki a „Törlés” menüpontot. Fontos megjegyezni, hogy ez egy fontos rendszerfolyamat, amely létfontosságú a multi -felhasználói számítógépeken, és eltávolítása a rendszerbe való belépés lehetetlenségéhez vezethet, és a Windows Restaurációs eszközök használatához vezethet.
- « Mint a Bikaq RSS program, és hogyan lehet megszabadulni tőle
- Mi ez az rthdcpl folyamat.exe, és lehetséges -e eltávolítani »