Что это за процесс lsass.exe, как его удалить

Дата: 26.10.2021. Опубликовал: Админ, на

Один из самых эффективных инструментов Windows, позволяющий обнаруживать зловредный софт и лишённый при этом каких-либо средств эвристического анализа – «Диспетчер задач». И нужно признаться, он достаточно активно используется многими пользователями для мониторинга ситуации в случае странного поведения компьютера. Возможность в любой момент времени отследить, какой процесс или приложение неэффективно расходует ресурсы ПК, очень важна, ведь такие процессы являются главными кандидатами на роль вируса, трояна или иного ПО из этой же категории. Более того, многие досконально изучили состав «Диспетчера задач», и любое новое имя в нём сразу воспринимается как потенциальная угроза. Процесс lsass.exe к таковым не принадлежит, поскольку является системным и присутствует во всех версиях Windows.

Но… Не всё так хорошо в королевстве датском. Сегодня речь пойдёт о том, в каких случаях к этому процессу следует относиться с недоверием.

Lsass.exe – что это за процесс

Если перевести с английского расшифровку аббревиатуры LSASS, получится что-то вроде «сервис проверки подлинности подсистемы локальной безопасности». Если говорить проще, это компонента операционной система, ответственная за авторизацию пользователей в рамках одного ПК. Процессу отводится важная роль в функционировании Windows, и если его удалить, для локальных юзеров вход в систему окажется закрыт. Попросту говоря, дальше окна приглашения ОС вы не попадёте.

Приложение lsass.exe – это исполняемая программа, расположенная в системном каталоге c:\Windows\System32 и имеющая размер порядка 13-22 КБ. В силу вышесказанного можно утверждать, что в подавляющем большинстве случаев процесс не является вирусом, хотя его распространённость играет с ним плохую шутку: пожалуй, именно lsass.exe активнее всего используется вирусописателями в качестве мишени.

Приложение lsass.exe в Windows

Как функционирует процесс lsass.exe

Задача системного процесса заключается в идентификации данных, введённых на этапе авторизации, и необязательно во время входа в систему. Если данные введены правильно, процесс устанавливает флаг, который воспринимается системой соответствующим образом. Если процесс авторизации запущен пользователем во время текущей сессии ОС, будет установлен флаг, позволяющий запускать пользовательскую среду (оболочку). Если в дальнейшем будет попытка инициализации процедуры авторизации со стороны приложения, оно получит права пользователя в соответствии с установленными флагами.

Из этого следует, что файл lsass.exe не должен иметь большой размер и что он практически не использует ресурсы компьютера, активируясь по мере необходимости, но в любом случае редко.

И если вы заметите в «Диспетчере задач», что это не так, то есть цифры в колонке «ЦП» прыгают, отклоняясь от нуля на солидные величины, то есть lsass.exe достаточно сильно грузит процессор – значит, вы имеете дело не с оригинальным файлом.

Действительно, злоумышленники охотно используют этот процесс для проникновения в систему, заражая сам исполняемый файл или маскируясь под него. При этом они используют самые разные ухищрения, чтобы обойти антивирусную защиту и не попасться на глаза пользователю. Например, посредством создания файла с похожим именем, локализованным в системном каталоге Windows (папка System32), или размещая заражённый файл с таким же именем в другой каталог.

Поскольку процесс отображается в «Диспетчере задач» как lsass.exe (первая буква L строчная, а не прописная), вирусописатели используют это, заменяя l на I, в этом случае Isass.exe будет выглядеть почти натурально, если не присматриваться. В некоторых шрифтах эти буквы практически неразличимы. Чтобы выявить подвох, необходимо скопировать имя файла, вставить его в Word и перевести в верхний регистр (uppercase). Если первая буква правильная, процесс отобразится как LSASS, если вирус, то так и останется ISASS.

Есть и другие приёмы, позволяющие замаскировать вирусный файл под настоящий – например, вставить в название пробел (lsass .exe), добавить лишнюю букву (lsassa.exe, lsasss.exe) и т. д.

Варианты названия файла

Если запустить процедуру поиска файла с именем lsass.exe, и он окажется в папке, отличной от system32, можно быть уверенным, что мы имеем дело с вирусом. Такой файл можно смело удалять, не опасаясь последствий.

Осуществить проверку можно и непосредственно из «Диспетчера задач» — достаточно выделит его, кликнуть ПКМ (в Windows 10 – перейти во вкладку «Подробности») и выбрать пункт «Свойства». В новом окне отобразится полное имя файла и папка, в которой он хранится.

Пункт «Диспетчер задач»

Свойства lsass.exe в Windows

Просмотр расположения lsass.exe в Windows

Не помешает и проверка подлинности файла, для чего нужно перейти во вкладку «Цифровые подписи» и убедиться, что файл подписан разработчиком – компанией Microsoft.

Просмотр списка подписей lsass.exe в Windows

И раз уж у вас возникли подозрения на этот счёт, желательно проверить lsass.exe антивирусом: если он окажется заражённым, то с большой вероятностью этот факт вскроется и проблема будет решена. А поскольку пострадавшим оказался системный файл, неплохо бы проверить и остальные такие файла не предмет их целостности с помощью встроенных инструментов Windows, утилит sfc и dism.

Запуск командной строки от имени администратора

Для этого запускаем командную строку (обязательно с правами администратора) и набираем команду:

sfc /scannow

Команда scannow в Windows

Если вы хотите проверить только lsass, необходимо указать это в параметрах команды:

sfc /scanfile=c:\windows\system32\lsass.exe

Команда scanfile в Windows

Утилита dism также выполняет проверку хранилища системных компонент операционной системы на предмет их повреждения, которые умеет исправлять. Синтаксис команды:

dism /online /cleanup-image /restorehealth

Команда dism в Windows

Ещё раз отметим, что удалять оригинальный файл lsass.exe нельзя, даже если он заражён, а вот выгрузить из памяти можно, это не приведёт к краху системы.

Отключение и удаление процесса lsass.exe

Итак, вы выяснили, что грузящий ЦП процесс lsass.exe – неоригинальный. Чтобы устранить угрозу, нужно предпринять ряд мер:

  • скачиваем и инсталлируем программы AdwCleaner, CCleaner;
  • удаляем все файлы в каталоге c:\users\Администратор\AppData\Local\Temp;
    Временные файлы в Windows
  • запускаем инструмент «Программы и компоненты», внимательно изучаем список установленных на компьютер программ, особенно тех, которые были инсталлированы относительно недавно и которые вам неизвестны. Если таковые найдутся, удаляем их;
    Удаление неизвестных программ
  • запускаем утилиту AdwCleaner, выполняем полное сканирование системы, если будет высвечен список подозрительных компонентов, нажимаем кнопку «Очистить»;
    Кнопка «Сканировать» в AdwCleaner
  • аналогичные действия производим с утилитой CCleaner, которая позволит избавиться от мусора в системном реестре;
    Ошибки в реестре в CCleaner
  • запускаем используемый по умолчанию браузер и выполняем сброс его настроек до начальных.
    Сброс настроек браузера

С большой вероятностью этих шагов будет достаточно, чтобы решить проблему загрузки ЦП и замедления работы ПК. Проверяем это, перезагрузив компьютер. Если процесс всё ещё грузит систему, можно попробовать его отключить.

Как отключить lsass.exe

Иногда не заражённый системный процесс действительно начинает использовать ресурсы компьютера, сильно замедляя его работу. После перезагрузки обычно всё нормализуется, но если вы хотите разгрузить ПК в текущем сеансе работы операционной системы, попробуйте просто отключить процесс:

  • кликаем Win+R, вписываем в консоль «Выполнить» services.msc, подтверждаем нажатием Ок;
    Ввод команды services.msc в Windows 10
  • в появившемся окне управления службами Windows ищем строку «Диспетчер учетных данных» (для удобства можно отсортировать список по имени);
    Пункт «Диспетчер учетных данных»
  • кликаем по строке ПКМ, выбираем пункт меню «Свойства»;
  • во вкладке «Общие» кликаем по кнопке «Остановить», а напротив параметра «Тип запуска» выбираем вариант «Отключена» для исключения запуска процесса при старте системы;
    Отключение службы «Диспетчер учетных данных»
  • перезагружаем компьютер.

Этого будет достаточно, чтобы избавиться от загрузки процессора и памяти.

Чтобы удалить файл lsass.exe, достаточно перейти в системную папку system32, выбрать файл, кликнуть ПКМ и выбрать пункт меню «Удалить». Важно помнить, что это важный системный процесс, который жизненно необходим на многопользовательских компьютерах, и его удаление может привести к невозможности входа в систему и использованию средств восстановления Windows.

Подписаться
Уведомить о

2 комментариев
Популярные
Новые Старые
Межтекстовые Отзывы
Посмотреть все комментарии
Лука
17.02.2022 02:04

Когда-то захотелось компьютер самостоятельно почистить, поудалял куча программ нужных, в итоге пришлось относить к специалистам, чтобы они всё исправили.

Мирон
29.01.2024 12:15

Здравствуйте, вот и я подцепил этот вирус. Аваст его видит, но вылечить и удалить почему-то не может. Обычно в таких ситуациях выручало восстановление системы, но сейчас оно не работает. В командную строку войти тоже не могу. При попытке зайти в соцсети (одноклассники, вКонтакте) появляется окно, в котором просят сделать что-то, чтобы содрать с меня денег (отправить смску, ввести номер телефона и т.д.). Как избавиться без переустановки виндовс?