Mikä on tämä LSASS -prosessi.Exe, kuinka poistaa se
- 2409
- 357
- Tyler Kozey
Yksi tehokkaimmista Windows -työkaluista, joiden avulla voit havaita haitalliset ohjelmistot ja puuttuu heuristisen analyysin keinot - "Task Manager". Ja minun on myönnettävä, että monet käyttäjät käyttävät sitä melko aktiivisesti seuraamaan tilannetta omituisen tietokoneen käyttäytymisen tapauksessa. Kyky seurata milloin tahansa, jolloin prosessi tai sovellus kuluttaa tehottomasti tietokoneen resursseja, on erittäin tärkeä, koska tällaiset prosessit ovat pääehdokkaita viruksen, troijalaisen tai muun ohjelmiston rooliin samasta luokasta. Lisäksi monet tutkivat perusteellisesti "tehtävien dispetterin" koostumusta, ja kaikkiin siihen pidetään välittömästi mahdollisena uhana. LSASS -prosessi.EXE ei kuulu niihin, koska se on systeeminen ja on läsnä kaikissa Windows -versioissa.
Mutta ... kaikki ei ole niin hyvää tanskalaisen valtakunnassa. Tänään puhumme siitä, mitä tapauksia tulisi kohdella epäluottamuksella tähän prosessiin.
Lsassi.exe - mikä tämä prosessi on
Jos käännät LSASS: n lyhenteen salauksen purkamisesta, saat jotain "palvelun paikallisen tietoturva -alajärjestelmän aitouden tarkistamiseksi". Yksinkertaisesti puhuen, tämä on osa käyttöjärjestelmää, joka vastaa käyttäjien valtuutuksesta yhden tietokoneen puitteissa. Prosessille annetaan tärkeä rooli Windowsin toiminnassa, ja jos se poistetaan, paikallisille käyttäjille järjestelmän sisäänkäynti on suljettu järjestelmään. Yksinkertaisesti sanottuna et pääse käyttöikkunan ulkopuolelle.
LSASS -sovellus.Exe on suoritettava ohjelma, joka sijaitsee järjestelmässä C: \ Windows \ System32 ja jonka koko on noin 13-22 kb. Edellä esitetyn vuoksi voidaan väittää, että suurimmassa osassa tapauksia prosessi ei ole virus, vaikka sen esiintyvyys on huono vitsi: ehkä se on LSASS.Virus -kirjoittajat käyttävät aktiivisimmin tavoitteena.
Kuinka LSASS -prosessi toimii.Exe
Järjestelmäprosessin tehtävänä on tunnistaa valtuutusvaiheeseen syötetyt tiedot, ei välttämättä järjestelmän sisäänkäynnin aikana. Jos tiedot syötetään oikein, prosessi asettaa lipun, jonka järjestelmä havaitsee vastaavasti. Jos käyttäjä käynnistää valtuutusprosessin käyttöjärjestelmän nykyisen istunnon aikana, asennetaan lippu käyttäjäympäristön (SHOL) käynnistämiseksi. Jos tulevaisuudessa yritetään alustamaan sovelluksen valtuutusmenettely.
Tästä seuraa, että LSASS -tiedosto.EXE: llä ei pitäisi olla suurta kokoa ja että siinä käytännössä ei käytä tietokonevaroja, aktivoiessa tarvittaessa, mutta joka tapauksessa harvoin.
Ja jos huomaat ”tehtävähallinnassa”, että näin ei ole, eli ”CPU” -sarakkeen hyppy numerot, jotka poikkeavat nollasta kiinteisiin arvoihin, ts. LSASS.Prosessori on ladattu EXE - se tarkoittaa, että et käsittele alkuperäistä tiedostoa.
Itse asiassa hyökkääjät käyttävät mielellään tätä prosessia järjestelmän tunkeutumiseen, tartuttamalla itse suoritettavan tiedoston tai peittämällä sen alla. Samanaikaisesti he käyttävät erilaisia temppuja virustentorjuntaa koskevien suojaamiseksi eivätkä jää kiinni käyttäjän silmään. Esimerkiksi luomalla tiedosto, jolla on samanlainen nimi, joka on paikallistettu Windows System -luetteloon (System32 -kansio), tai asettamalla tartunnan saane tiedosto, jolla on sama nimi toiseen luetteloon.
.exe (ensimmäinen kirjain L on pieni kirjain, ei pääoma), viruskirjailijat käyttävät tätä, korvaa L: n i: llä, tässä tapauksessa isass.Exe näyttää melkein luonnolliselta, jos et katso tarkkaan. Joissakin kirjasimissa nämä kirjeet ovat käytännössä erottamattomia. Saaliin tunnistamiseksi sinun on kopioitava tiedostonimi, asetettava se sanaan ja siirrettävä se ylärekisteriin (isoin kirjain). Jos ensimmäinen kirjain on oikea, prosessi näkyy LSASS: nä, jos virus on edelleen ISASS.
On muitakin tekniikoita, jotka sallivat peittää virustiedoston nykyiselle - esimerkiksi lisää aukko nimeen (lsass .exe), lisää ylimääräinen kirjain (LSASSA.Exe, lsassit.exe) ja t. D.
Jos aloitat tiedostohakumenettelyn nimellä LSASS.Exe, ja hän on kansiossa, joka on erilainen kuin System32, voit olla varma, että olemme tekemisissä viruksen kanssa. Tällainen tiedosto voidaan turvallisesti poistaa pelkäämättä seurauksia.
Voit suorittaa tarkistuksen suoraan "Tehtävien lähettäjästä" - se riittää korostamaan sitä, napsauta PKM (Windows 10 - siirry "Tiedot" -välilehteen ja valita "Ominaisuudet" -kohdat. Tiedoston täydellinen nimi ja kansio, johon se tallennetaan, näytetään uudessa ikkunassa.
Tiedoston aitoustarkastukset eivät vahingoita, miksi sinun on siirryttävä Digital Signature -välilehteen ja varmistettava, että tiedosto on allekirjoittanut kehittäjä - Microsoft.
Ja koska sinulla on epäilyjä tästä, on suositeltavaa tarkistaa LSASS.Exe virustentorjunta: Jos se osoittautuu tartunnan saaneeksi, niin tämä tosiasia avataan suurella todennäköisyydellä ja ongelma ratkaistaan. Ja koska järjestelmätiedosto osoittautui uhreiksi, olisi hienoa tarkistaa ja loput tällaiset tiedostot eivät ole niiden eheyden aihe rakennetulla -Windows -työkaluilla, SFC ja ILMOITUS.
Tätä varten käynnistämme komentorivin (varmista järjestelmänvalvojan oikeuksien kanssa) ja saamme komennon:
SFC /SCANNOW
Jos haluat tarkistaa vain LSASS: n, sinun on määritettävä tämä komennon parametreihin:
Sfc /scanfile = c: \ Windows \ system32 \ lsass.Exe
Hylkääminen tarkistaa myös käyttöjärjestelmän järjestelmän komponentin varastoinnin niiden vaurioiden varalta, jotka voivat korjata. Joukkueen syntaksi:
Irtisanominen /online /siivous-kuva /palautusterveys
Huomaamme jälleen kerran, että poistat alkuperäisen LSASS -tiedoston.Exe on mahdotonta, vaikka se olisi tartunnan saanut, mutta voit purkaa sen muistista, tämä ei johda järjestelmän romahtamiseen.
LSASS -prosessin irrottaminen ja poistaminen.Exe
Joten huomasit, että LSASS -prosessin lataaminen CP.Exe - ei -originaali. Uhan poistamiseksi sinun on ryhdyttävä useita toimenpiteitä:
- Lataa ja asenna ohjelmat Adwcleaner, CCLeaner;
- Poistamme kaikki tiedostot C: \ Users \ Administrator \ AppData \ Local \ Temp;
- Käynnistämme "ohjelmat ja komponentit" -työkalut, tutkimme huolellisesti tietokoneelle asennetuista ohjelmista, etenkin ne, jotka on asennettu suhteellisen äskettäin ja jotka ovat sinulle tuntemattomia. Jos niitä on, poistamme ne;
- Käynnistämme Adwcleaner -apuohjelman, suoritamme järjestelmän täydellisen skannauksen, jos epäilyttävien komponenttien luettelo on korostettu, napsauta "Puhdista" -painiketta;
- Samanlaisia toimia suoritetaan CCLeaner -apuohjelmalla, joka pääsee eroon roskista järjestelmän rekisterissä;
- Käynnistämme oletusarvoisesti käytetyn selaimen ja jätämme sen asetukset alkuun.
Näiden vaiheiden suurella todennäköisyydellä riittää ratkaisemaan prosessorin lataaminen ja tietokoneen työn hidastaminen. Tarkista tämä uudelleenkäynnistämällä tietokone uudelleen. Jos prosessi lataa edelleen järjestelmän, voit yrittää irrottaa sen.
Kuinka poistaa LSASS.Exe
Joskus tartunnan saanut järjestelmäprosessi alkaa todella käyttää tietokoneresursseja, hidastaa voimakkaasti työtä. Uudelleenkäynnistyksen jälkeen kaikki yleensä normalisoituu, mutta jos haluat purkaa tietokoneen käyttöjärjestelmän nykyisessä toiminnassa, yritä vain sammuttaa prosessi:
- Napsauta Win+R, kirjoita konsoliin "suorita" -palvelut.MSC, vahvista painamalla OK;
- Windows Service Management -ikkunassa etsimme riviä "Account Manager" (mukavuuden vuoksi voit lajitella luettelon nimeltä);
- Napsauta PKM -riviä, valitse "Ominaisuudet" -valikkokohta;
- Napsauta “Yleinen” -välilehdessä “Stop” -painiketta ja vastoin “Käynnistä Type” -parametria, valitse vaihtoehto “Irrota” estääksesi prosessia järjestelmän aloittaessa;
- Käynnistämme tietokoneen uudelleen.
Tämä riittää eroon prosessorin ja muistin lataamisesta.
LSASS -tiedoston poistaminen.Exe, siirry vain System32 -järjestelmän kansioon, valitse tiedosto, napsauta PKM ja valitse "Poista" -valikkokohta Kohta. On tärkeää muistaa, että tämä on tärkeä järjestelmäprosessi, joka on elintärkeä monikäyttötietokoneissa, ja sen poistaminen voi johtaa järjestelmään pääsyn mahdottomuuteen ja Windowsin kunnostamisen käyttötarkoitukset.
- « Kuin Bikaq RSS -ohjelma on vaarallinen ja kuinka päästä eroon siitä
- Mikä on tämä rthdcpl -prosessi.exe ja onko se mahdollista poistaa »