Hva lsass.exe er & Hvordan det påvirker datamaskinen din

Innholdsfortegnelse:

Hva lsass.exe er & Hvordan det påvirker datamaskinen din
Hva lsass.exe er & Hvordan det påvirker datamaskinen din
Anonim

Lsass.exe (Local Security Authority Process) er en sikker fil fra Microsoft som brukes i Windows-operativsystemer. Den er avgjørende for normal drift av en Windows-datamaskin og bør derfor ikke slettes, flyttes eller redigeres på noen måte.

Filen er permanent plassert i mappen \Windows\System32\ og brukes til å håndheve sikkerhetspolicyer, noe som betyr at den er involvert i ting som passordendringer og påloggingsverifikasjoner.

Selv om filen er ekstremt viktig for vanlige Windows-operasjoner og ikke bør tukles med, er det kjent at skadelig programvare enten kaprer den ekte lsass.exe-filen eller later til å være autentisk for å lure deg til å la den kjøre.

Hvordan oppdage en falsk lsass.exe-fil

Image
Image

Det er ikke vanskelig å oppdage en falsk lsass.exe-fil, men du må se veldig nøye på noen få ting for å sikre at du har å gjøre med en falsk prosess og ikke den virkelige som Windows trenger.

Sjekk stavemåten

Den vanligste metoden som brukes av skadelig programvare for å lure deg til å tro at lsass.exe ikke er et virus, er ved å gi nytt navn til filen til noe som ligner veldig. Siden en mappe ikke kan ha to filer med samme navn, vil den bli endret litt.

Her er et eksempel:


Isass.exe

Hvis det ser akkurat ut som lsass.exe, har du rett…det gjør det. Imidlertid bruker den virkelige filen en liten L (l) mens den ondsinnede bruker en stor i (I). Avhengig av hvordan skriftene vises på datamaskinen din, kan de se identiske ut, noe som gjør det enkelt å forveksle dem for hverandre.

En måte å bekrefte om filnavnet er feil, er å bruke en kasuskonvertering. Kopier filnavnet og lim det inn i tekstboksen ved Konverter store og små bokstaver, og velg deretter små bokstaver for å konvertere alt til små bokstaver. Hvis resultatet ikke er ekte, vil det bli stavet slik: isass.exe

Dette er noen andre målrettede feilstavinger som har til hensikt å lure deg til å la filen bli værende på datamaskinen din eller la den kjøre når du blir bedt om det (se nøye på den første, den har en unødvendig plass):


lsass.exe

lsassa.exe

lsasss.exe

Isassa.exe

Hvor ligger det?

Den ekte lsass.exe-filen er kun i én mappe, så hvis du finner den andre steder, er den mest sannsynlig farlig og bør slettes umiddelbart.

Den virkelige filen er ment å være lagret i System32-mappen:


C:\Windows\System32\

Hvis det er noe annet sted på datamaskinen din, som på skrivebordet, i nedlastingsmappen din, på en flash-stasjon osv., behandle den som en trussel og fjern den umiddelbart (det er mer om hvordan du gjør det nedenfor).

Datamaskinen din kan ha noen lsass.exe-filer i C:\Windows\winsxs\-mapper. Disse brukes under Windows-oppdateringer og fungerer som sikkerhetskopier, men skulle du føle behov for å fjerne dem senere når du skanner etter lsass.exe-filer, er det trygt å slette dem.

Hvis du ser lsass.exe i Task Manager, ser du her hvordan du vet hvor den faktisk kjører fra:

  1. Åpne Oppgavebehandling.

    Det er flere måter å gjøre dette på, men den enkleste er med Ctrl+Shift+Esc hurtigtast. Du kan også få tilgang til den fra Power User Menu i Windows 11/10/8 ved å høyreklikke på Start-knappen.

  2. Åpne Details-fanen.

    Hvis du ikke ser denne fanen, velg Flere detaljer nederst i Oppgavebehandling.

  3. Høyreklikk lsass.exe fra listen. Velg den første du ser.

    Image
    Image
  4. Velg Åpne filplassering, som skal åpne mappen C:\Windows\System32 og forhåndsvelge lsass.exe-filen, som du kan se nedenfor.

    Image
    Image
  5. Gjenta trinnene ovenfor for hver lsass.exe-fil du ser i Oppgavebehandling. Det skal bare være én oppført, så hvis du ser flere forekomster, er alle unntatt én falske.
  6. Fant du en falsk lsass.exe-fil? Se instruksjonene på knappen på denne siden for hvordan du sletter den og sørger for at datamaskinen din er ren for lsass.exe-relaterte ormer, spionprogrammer, virus osv.

Hva er filstørrelsen?

Det er vanlig at virus og annen ondsinnet programvare bruker en fil i programstørrelse for å levere hva den skadelige programvaren har med seg, så en annen måte å sjekke om lsass.exe er ekte eller falsk er å se hvor mye plass filen tar opp på harddisken.

Høyreklikk på den og åpne Properties for å sjekke størrelsen.

Image
Image

For eksempel er Windows 11-versjonen av filen 82 KB på testmaskinen vår, Windows 10 lsass.exe-filen er 57 KB, og Windows 8 er 46 KB. Hvis filen du ser er mye større, for eksempel noen få megabyte eller mer, er det mest sannsynlig ikke den virkelige filen levert av Microsoft.

Hvorfor bruker lsass.exe så mye minne?

Image
Image

Rapporterer Oppgavebehandling lsass.exe høy prosessor- eller minnebruk?

Noen Windows-prosesser bør aldri bruke mye minne eller prosessorkraft, og når de gjør det, er det vanligvis et tegn på at noe ikke stemmer helt, og at noe kan være skadelig programvare.

Lsass.exe er ett unntak der den under visse normale omstendigheter vil bruke mer RAM og CPU enn til andre tider, noe som gjør det vanskelig å vite om lsass.exe er ekte eller falsk.

Minnebruken for lsass.exe skal forbli under 10 MB til enhver tid, men det er norm alt at det øker når mer enn én bruker er logget på, under kryptert filskriving på NTFS-volumer, og muligens andre ganger som f.eks. mens en bruker endrer passordet sitt eller under åpningen av et program når det kjøres med en administrators legitimasjon.

Når skal lsass.exe fjernes

Hvis lsass.exe bruker en åpenbart overdreven mengde minne eller prosessor, og spesielt hvis EXE-filen ikke er plassert i mappen Windows\System32\, må du bli kvitt den. Bare en infisert lsass.exe-fil eller en lookalike vil tømme alle systemressursene.

Et eksempel på dette er hvis lsass.exe-filen utgir seg for å være ekte slik at den kan utvinne kryptovalutaer. Programvare som utfører kryptomining krever enorme mengder systemressurser, så hvis datamaskinen din er uvanlig treg, krasjer tilfeldig, viser merkelige feil, eller har uforklarlig installert nettlesertillegg eller andre programmer du aldri har godtatt, så kan du trygt anta at du trenger en god malware-rensing.

Hvordan fjerne et lsass.exe-virus

Før du lærer hvordan du sletter en lsass.exe-infeksjon, husk at du ikke kan slette den ekte lsass.exe-filen, og du kan heller ikke deaktivere den eller slå den av uansett årsak. Trinnene nedenfor er for å fjerne en falsk lsass.exe-fil; en som Windows egentlig ikke bruker.

  1. Avslutt den falske lsass.exe-prosessen og slett filen.

    Du kan gjøre dette på flere måter, men det enkleste er å høyreklikke på oppgaven i Processes-fanen i Oppgavebehandling og velge Avslutt oppgave Hvis du ikke ser oppgaven der, se etter den under fanen Details, høyreklikk den og velg Avslutt prosesstreet

    Image
    Image

    Hvis du prøver å avslutte den ekte prosessen, får du enten en feilmelding som du ikke kan, eller hvis prosessen avsluttes, vil du se en melding om at Windows vil starte på nytt snart.

  2. Når du har avsluttet prosessen, åpner du mappen der filen ligger (se "Hvor er den plassert?"-trinnene ovenfor hvis du ikke er sikker på hvordan) og sletter den.

    Image
    Image

    Hvis du mistenker at et bestemt program er ansvarlig for å installere lsass EXE-viruset, kan du gjerne fjerne programmet for å se om det fjerner prosessen også. IObit Uninstaller er ett eksempel på et kraftig programavinstalleringsprogram som kan gjøre dette.

  3. Skann datamaskinen din for lsass.exe malware ved å bruke et program som Malwarebytes eller en annen on-demand virusskanner.
  4. Installer et antivirusprogram som alltid er på. Dette vil bidra til å gi ikke bare et nytt utseende i tillegg til Malwarebytes, men også en permanent metode for å sikre at datamaskinen din er beskyttet mot fremtidige trusler som denne.

    Se listen vår over den beste Windows-antivirusprogramvaren hvis du ikke er sikker på hvor du skal lete.

  5. Bruk et oppstartbart antivirusverktøy for å slette lsass.exe-viruset. Dette er en perfekt metode hvis de andre programmene ovenfor ikke fungerte, fordi når du kjører et antivirusprogram før Windows starter, kan du sikre en grundig fjerningsprosess uten å få problemer med tillatelser eller låste filer.

Anbefalt: