Eines der effektivsten Windows-Tools, mit dem Sie bösartige Software erkennen können und ohne heuristische Analysetools auskommt, ist der Task-Manager. Und ich muss zugeben, dass es von vielen Benutzern aktiv genutzt wird, um die Situation bei seltsamem Computerverhalten zu überwachen. Die Möglichkeit, jederzeit zu verfolgen, welcher Prozess oder welche Anwendung PC-Ressourcen ineffizient nutzt, ist sehr wichtig, da solche Prozesse die Hauptkandidaten für die Rolle eines Virus, Trojaners oder anderer Software derselben Kategorie sind. Darüber hinaus haben viele die Zusammensetzung des "Task Managers" gründlich studiert, und jeder neue Name darin wird sofort als potenzielle Bedrohung wahrgenommen. Der Prozess lsass.exe gehört nicht dazu, da er systemisch ist und in allen Windows-Versionen vorhanden ist..
Aber ... Im dänischen Königreich ist nicht alles so gut. Heute werden wir darüber sprechen, wann dieser Prozess mit Misstrauen behandelt werden sollte.
Lsass.exe - Was ist dieser Prozess?
Wenn Sie die Entschlüsselung der Abkürzung LSASS aus dem Englischen übersetzen, erhalten Sie so etwas wie "Local Security Subsystem Authentication Service". Einfach ausgedrückt ist dies eine Betriebssystemkomponente, die für die Autorisierung von Benutzern innerhalb eines einzelnen PCs verantwortlich ist. Der Prozess spielt eine wichtige Rolle für das Funktionieren von Windows, und wenn er entfernt wird, wird die Anmeldung am System für lokale Benutzer geschlossen. Einfach ausgedrückt, Sie werden das Fenster mit der Eingabeaufforderung des Betriebssystems nicht verlassen..
Die Anwendung lsass.exe ist ein ausführbares Programm, das sich im Systemverzeichnis c:\Windows\System32 befindet und ungefähr 13-22 KB groß ist. Vor diesem Hintergrund kann argumentiert werden, dass der Prozess in den allermeisten Fällen kein Virus ist, obwohl seine Verbreitung einen schlechten Scherz damit spielt: Vielleicht wird lsass.exe von Virenschreibern am aktivsten als Ziel.
So funktioniert der Prozess lsass.exe
Aufgabe des Systemprozesses ist es, die eingegebenen Daten während der Autorisierungsphase und optional während des Logins zu identifizieren. Bei korrekter Dateneingabe setzt der Prozess ein Flag, das vom System entsprechend wahrgenommen wird. Wird der Autorisierungsprozess vom Benutzer während der aktuellen OS-Sitzung gestartet, wird das Flag gesetzt, das das Starten der Benutzerumgebung (Shell) ermöglicht. Wird in Zukunft versucht, das Autorisierungsverfahren von Seiten der Anwendung zu initialisieren, erhält diese Benutzerrechte gemäß den gesetzten Flags..
Daraus folgt, dass die Datei lsass.exe nicht groß sein sollte und praktisch keine Computerressourcen beansprucht, sondern nach Bedarf aktiviert wird, aber auf jeden Fall selten.
Und wenn Sie im "Task-Manager" feststellen, dass dies nicht so ist, d. h. die Zahlen in der Spalte "CPU" springen, abweichend von Null um feste Werte, dh lsass.exe belastet den Prozessor ziemlich stark - es bedeutet dass Sie es nicht mit der Originaldatei zu tun haben.
Tatsächlich nutzen Cyberkriminelle diesen Prozess bereitwillig, um das System zu infiltrieren, die ausführbare Datei selbst zu infizieren oder sich als solche zu tarnen. Gleichzeitig verwenden sie eine Vielzahl von Tricks, um den Virenschutz zu umgehen und nicht vom Benutzer erwischt zu werden. Zum Beispiel, indem Sie eine Datei mit einem ähnlichen Namen erstellen, die im Windows-Systemverzeichnis (Ordner System32) lokalisiert ist, oder indem Sie eine infizierte Datei mit demselben Namen in einem anderen Verzeichnis ablegen.
Da der Prozess im Task-Manager als lsass.exe angezeigt wird (der erste Buchstabe L ist Kleinbuchstaben, nicht Großbuchstaben), verwenden Virenschreiber dies, indem sie l durch I ersetzen. In diesem Fall sieht Isass.exe fast natürlich aus, wenn man nicht genau hinsieht. In einigen Schriftarten sind diese Buchstaben fast nicht zu unterscheiden. Um den Haken zu identifizieren, müssen Sie den Dateinamen kopieren, in Word einfügen und in Großbuchstaben konvertieren. Wenn der Anfangsbuchstabe richtig ist, wird der Vorgang als LSASS angezeigt, wenn der Virus, dann bleibt ISASS.
Es gibt andere Techniken, mit denen Sie eine Virusdatei als echte Datei tarnen können - zum Beispiel ein Leerzeichen (lsass .exe) in den Namen einfügen, einen zusätzlichen Buchstaben hinzufügen (lsassa.exe, lsasss.exe) usw.
Wenn Sie den Suchvorgang nach einer Datei namens lsass.exe ausführen und diese in einem anderen Ordner als system32 erscheint, können Sie sicher sein, dass es sich um einen Virus handelt. Eine solche Datei kann ohne Angst vor Konsequenzen sicher gelöscht werden.
Sie können es auch direkt im "Task-Manager" überprüfen - wählen Sie es einfach aus, klicken Sie mit der rechten Maustaste (in Windows 10 - gehen Sie auf die Registerkarte "Details") und wählen Sie "Eigenschaften". Ein neues Fenster zeigt den vollständigen Namen der Datei und den Ordner an, in dem sie gespeichert ist.
Es schadet nicht, die Authentizität der Datei zu überprüfen, für die Sie auf die Registerkarte "Digitale Signaturen" gehen und sicherstellen müssen, dass die Datei vom Entwickler - Microsoft - signiert ist.
Und da Sie diesbezüglich einen Verdacht haben, ist es ratsam, lsass.exe mit einem Antivirenprogramm zu überprüfen: Wenn sich herausstellt, dass es infiziert ist, wird diese Tatsache mit hoher Wahrscheinlichkeit aufgedeckt und das Problem gelöst. Und da das Opfer eine Systemdatei war, wäre es schön, den Rest dieser Dateien mit den integrierten Windows-Tools, den Dienstprogrammen sfc und dism, auf ihre Integrität zu überprüfen.
Führen Sie dazu die Befehlszeile aus (immer mit Administratorrechten) und geben Sie den Befehl ein:
sfc /scannow
Wenn Sie nur lsass überprüfen möchten, müssen Sie dies in den Befehlsparametern angeben:
sfc /scanfile=c:\windows\system32\lsass.exe
Das Dienstprogramm dism überprüft auch das Repository der Betriebssystemkomponenten auf Schäden, die es reparieren kann. Befehlssyntax:
dism /online /cleanup-image /restorehealth
Wir weisen noch einmal darauf hin, dass Sie die ursprüngliche lsass.exe-Datei nicht löschen können, selbst wenn sie infiziert ist, aber Sie können sie aus dem Speicher entladen, dies führt nicht zu einem Systemabsturz.
Deaktivieren und Entfernen des lsass.exe-Prozesses
Sie haben also herausgefunden, dass der CPU-ladende Prozess lsass.exe nicht original ist. Um die Bedrohung zu beseitigen, müssen Sie eine Reihe von Maßnahmen ergreifen:
- Laden Sie die Programme AdwCleaner und CCleaner herunter und installieren Sie sie.
- alle Dateien im Verzeichnis c:\users\Administrator\AppData\Local\Temp löschen;
- Führen Sie das Tool "Programme und Funktionen" aus, studieren Sie sorgfältig die Liste der auf Ihrem Computer installierten Programme, insbesondere der Programme, die vor relativ kurzer Zeit installiert wurden und die Sie nicht kennen. Falls vorhanden, löschen Sie sie;
- Führen Sie das Dienstprogramm AdwCleaner aus, führen Sie einen vollständigen Systemscan durch. Wenn eine Liste verdächtiger Komponenten angezeigt wird, drücken Sie die Schaltfläche "Reinigen".
- Wir führen ähnliche Aktionen mit dem Dienstprogramm CCleaner durch, mit dem Sie den Müll in der Systemregistrierung entfernen können.
- Starten Sie den Standardbrowser und setzen Sie seine Einstellungen auf die ursprünglichen zurück.
Diese Schritte reichen wahrscheinlich aus, um Ihre CPU-Auslastung und die Verlangsamung des PCs zu beheben. Wir überprüfen dies, indem wir den Computer neu starten. Wenn der Prozess das System immer noch lädt, können Sie versuchen, es zu deaktivieren.
So deaktivieren Sie lsass.exe
Manchmal beginnt ein nicht infizierter Systemprozess, Computerressourcen zu verwenden, was seine Arbeit stark verlangsamt. Nach einem Neustart ist normalerweise alles normal, aber wenn Sie den PC in der aktuellen Sitzung des Betriebssystems entladen möchten, versuchen Sie einfach, den Vorgang zu deaktivieren:
- klicken Sie auf Win + R, geben Sie "Run" services.msc in die Konsole ein, bestätigen Sie mit OK;
- in dem Fenster, das zum Verwalten von Windows-Diensten angezeigt wird, suchen wir nach der Zeile "Credential Manager" (der Einfachheit halber können Sie die Liste nach Namen sortieren);
- Klicken Sie auf die RMB-Zeile, wählen Sie den Menüpunkt "Eigenschaften" aus;
- Klicken Sie auf der Registerkarte "Allgemein" auf die Schaltfläche "Stopp" und wählen Sie gegenüber dem Parameter "Starttyp" die Option "Deaktiviert", um den Start des Prozesses beim Systemstart auszuschließen.
- starte deinen Computer neu.
Dies wird ausreichen, um die CPU- und Speicherlast loszuwerden.
Um die Datei lsass.exe zu löschen, gehen Sie einfach in den Systemordner system32, wählen Sie die Datei aus, klicken Sie mit der rechten Maustaste und wählen Sie den Menüpunkt "Löschen". Es ist wichtig, sich daran zu erinnern, dass dies ein wesentlicher Systemprozess ist, der auf Computern mit mehreren Benutzern von entscheidender Bedeutung ist, und das Löschen kann es unmöglich machen, sich anzumelden und die Windows-Wiederherstellungstools zu verwenden.