¿Qué es este proceso LSASS?.exe, cómo eliminarlo

¿Qué es este proceso LSASS?.exe, cómo eliminarlo

Una de las herramientas de Windows más efectivas, que le permite detectar software malicioso y privado de cualquier medio de análisis heurístico: "Gerente de tareas". Y necesito admitir que muchos usuarios usan de manera bastante activa para monitorear la situación en caso de comportamiento de la computadora extraña. La capacidad de rastrear en cualquier momento en que el proceso o la aplicación consuma ineficazmente los recursos de la PC es muy importante, porque tales procesos son los principales candidatos para el papel del virus, troyano u otro software de la misma categoría. Además, muchos estudiaron a fondo la composición del "despachador de las tareas", y cualquier nombre nuevo se percibe inmediatamente como una amenaza potencial. Proceso de LSASS.Exe no pertenece a ellos, porque es sistémico y está presente en todas las versiones de Windows.

Pero ... no todo es tan bueno en el reino de danés. Hoy hablaremos sobre qué casos deben tratarse con desconfianza de este proceso.

LSass.Exe - ¿Qué es este proceso?

Si traduce del descifrado de inglés de la abreviatura LSASS, obtiene algo así como un "servicio para verificar la autenticidad del subsistema de seguridad local". Simplemente hablando, este es el componente del sistema operativo responsable de la autorización de los usuarios dentro del marco de una PC. Se le asigna al proceso un papel importante en el funcionamiento de Windows, y si se elimina, para los usuarios locales, la entrada al sistema está cerrada al sistema. En pocas palabras, no saldrá más allá de la ventana de invitación del sistema operativo.

Aplicación LSASS.EXE es un programa ejecutable ubicado en el catálogo del sistema C: \ Windows \ System32 y tiene el tamaño de aproximadamente 13-22 KB. Debido a lo anterior, se puede argumentar que en la gran mayoría de los casos el proceso no es un virus, aunque su prevalencia juega una broma con él: tal vez sea LSASS.EXE es utilizado más activamente por los escritores de virus como objetivo.

Cómo funciona el proceso LSASS.EXE

La tarea del proceso del sistema es identificar los datos ingresados ​​en la etapa de autorización, y no necesariamente durante la entrada al sistema. Si los datos se ingresan correctamente, el proceso establece el indicador, que el sistema percibe en consecuencia. Si el usuario inicia el proceso de autorización durante la sesión actual del sistema operativo, se instalará un indicador para iniciar el entorno del usuario (shell). Si en el futuro habrá un intento de inicializar el procedimiento de autorización por parte de la aplicación, recibirá los derechos del usuario de acuerdo con las banderas establecidas.

De esto se deduce que el archivo LSASS.EXE no debe tener un gran tamaño y que prácticamente no usa recursos informáticos, activando según sea necesario, pero en cualquier caso, rara vez.

Y si nota en el "Administrador de tareas" que esto no es así, es decir, los números en el salto de la columna "CPU", desviando de cero a valores sólidos, es decir, LSASS.EXE está bastante cargado por el procesador: significa que no está tratando con el archivo original.

De hecho, los atacantes usan voluntariamente este proceso para penetrar el sistema, infectando el archivo ejecutable o enmascarando debajo de él. Al mismo tiempo, usan una variedad de trucos para rodear la protección antivirus y no quedan atrapados en el ojo del usuario. Por ejemplo, creando un archivo con un nombre similar localizado en el catálogo del sistema de Windows (carpeta System32), o colocando un archivo infectado con el mismo nombre en otro catálogo.

Dado que el proceso se muestra en el "Administrador de tareas" como LSASS.exe (la primera letra L es una minúscula, no un capital), los escritores de virus usan esto, reemplazando a L con i, en este caso, isass.Exe se verá casi natural si no miras de cerca. En algunas fuentes, estas cartas son prácticamente indistinguibles. Para identificar la captura, debe copiar el nombre del archivo, inserte en Word y transferirlo al registro superior (mayúscula). Si la primera letra es correcta, el proceso se muestra como LSASS, si el virus, entonces quedará isass.

Hay otras técnicas que permiten enmascarar el archivo viral para el presente; por ejemplo, inserte un espacio en el nombre (LSASS .exe), agregue una letra adicional (LSASSA.Exe, lSasss.exe) y t. D.

Si comienza un procedimiento de búsqueda de archivos con el nombre LSASS.exe, y él estará en una carpeta diferente de System32, puede estar seguro de que estamos tratando con el virus. Tal archivo se puede eliminar de forma segura sin temor a las consecuencias.

Puede realizar un cheque directamente desde el "despachador de tareas": será suficiente para resaltarlo, haga clic en PKM (en Windows 10 - Vaya a la pestaña "Detalles") y seleccione el elemento de "Propiedades". Un nombre completo del archivo y la carpeta en la que se almacena se mostrará en la nueva ventana.

Las verificaciones de autenticidad del archivo no dañarán, por qué necesita ir a la pestaña Digital Signature y asegurarse de que el desarrollador firme el archivo - Microsoft.

Y dado que tiene sospechas de esto, es aconsejable verificar LSASS.exe antivirus: si resulta ser infectado, entonces con una alta probabilidad de este hecho se abre y el problema se resolverá. Y dado que el archivo del sistema resultó ser las víctimas, sería bueno verificar y el resto de dichos archivos no son objeto de su integridad utilizando herramientas de Windows Built -in Windows, SFC y UTILIDAD DESM.

Para hacer esto, lanzamos la línea de comando (asegúrese con los derechos del administrador) y obtenemos el comando:

Sfc /escanno

Si desea verificar solo LSASS, debe especificar esto en los parámetros del comando:

Sfc /scanfile = c: \ windows \ system32 \ lSass.EXE

La utilidad ENM también verifica el almacenamiento del componente del sistema del sistema operativo por su daño, lo que puede corregir. Sintaxis del equipo:

Dism /online /limpiando-imagen /restauración

Una vez más, observamos que eliminar el archivo LSASS original.EXE es imposible, incluso si está infectado, pero puede descargarlo de la memoria, esto no conducirá al colapso del sistema.

Desconectar y eliminar el proceso LSASS.EXE

Entonces, descubriste que el proceso LSASS cargando CP.Exe - no original. Para eliminar la amenaza, debe tomar una serie de medidas:

  • Descargue e instale los programas Adwcleaner, Ccleaner;
  • Eliminamos todos los archivos en C: \ Users \ Administrator \ AppData \ Local \ Temp;
  • Lanzamos las herramientas de "programas y componentes", estudiamos cuidadosamente la lista de programas instalados en la computadora, especialmente aquellos que se instalaron relativamente recientemente y que son desconocidos para usted. Si hay uno, los eliminamos;
  • Lanzamos la utilidad ADWCLEANER, realizamos un escaneo completo del sistema Si se resalta una lista de componentes sospechosos, haga clic en el botón "Limpiar";
  • Acciones similares se realizan con la utilidad Ccleaner, que eliminará la basura en el registro del sistema;
  • Lanzamos el navegador utilizado por defecto y volcamos su configuración a la inicial.

Con una alta probabilidad de estos pasos, será suficiente para resolver el problema de cargar la CPU y ralentizar el trabajo de la PC. Verifique esto reiniciando la computadora. Si el proceso aún carga el sistema, puede intentar desconectarlo.

Cómo deshabilitar LSASS.EXE

A veces, un proceso del sistema infectado realmente comienza a usar recursos informáticos, frenando fuertemente su trabajo. Después de reiniciar, todo generalmente se normaliza, pero si desea descargar la PC en la operación actual del sistema operativo, intente desactivar el proceso:

  • Haga clic en Win+R, ingrese en los servicios de la consola "Realizar".MSC, confirme presionando OK;
  • En la ventana de administración de servicios de Windows, estamos buscando un "Administrador de cuentas" de línea (por conveniencia, puede ordenar una lista por nombre);
  • Haga clic en la línea de PKM, seleccione el elemento del menú "Propiedades";
  • En la pestaña "General", haga clic en el botón "Detener" y, al contrario del parámetro "Tipo de lanzamiento", seleccione la opción "Desconectada" para evitar el proceso al iniciar el sistema;
  • Reiniciamos la computadora.

Esto será suficiente para deshacerse de la carga del procesador y la memoria.

Para eliminar el archivo LSASS.EXE, simplemente vaya a la carpeta del sistema System32, seleccione un archivo, haga clic en PKM y seleccione el elemento de menú "Eliminar". Es importante recordar que este es un proceso de sistema importante que es vital en las computadoras de múltiples usuarios, y su eliminación puede conducir a la imposibilidad de ingresar al sistema y el uso de la restauración de Windows significa.