Что за процесс Lsass.exe – почему он грузит процессор и можно ли его удалять


Проблемы с файлом Lsass.exe – одна из распространенных неполадок Windows. Она выражается в замедлении работы операционной системы и вылетах отдельных приложений из-за нехватки ресурсов ПК.

Производительность ОС способна падать по разным причинам и может служить признаком как аппаратных, так и программных неисправностей. Простейший способ определить, почему снизилась скорость работы Windows, заключается в изучении списка текущих процессов через диспетчер задач или средства сторонних разработчиков.

Программа Lsass.exe не должна чрезмерно нагружать систему. Такое ее поведение говорит о воздействии вредоносного ПО либо повреждении системных файлов.

Lsass.exe: что это за процесс



Название файла Lsass – аббревиатура от Local Security Authority Subsystem Service. Эта служба Windows выполняет проверку подлинности сервиса безопасности ОС, обеспечивая авторизацию ее пользователей. Загрузка LSASS предшествует запуску процесса Explorer.exe, отвечающему за визуальное отображение системы.

Служба Local Security Authority Subsystem Service задействуется при:
  • вводе данных учетной записи;
  • смене ее пароля;
  • утверждении входа для аккаунта;
  • предоставлении пользовательских прав службам и приложениям;
  • ведении лога безопасности Windows.


Принудительная остановка сервиса LSASS вызовет потерю доступа к системе у любого пользователя до следующей загрузки ПК. Приложение Lsass.exe также обеспечивает авторизацию сеанса гостевой записи.

Lsass.exe – это вирус или нет



Служба проверки подлинности локальной системы безопасности присутствует во всех сериях семейства Windows, начиная с последней редакции Windows 2000. Ее нормальная работа не требует высокой и длительной загрузки ПК, которая также может указывать на системную ошибку.

Помимо воздействия вредоносного ПО сбои в работе Lsass.exe бывают вызваны неверными действиями самого пользователя. Файл этого сервиса расположен в папке System32, находящейся в основном каталоге ОС, и обычно имеет небольшой размер.

Системное приложение Lsass.exe не является вирусом, однако, поскольку это одна из ключевых служб Windows, под нее может маскироваться вирусное и шпионское ПО. В тех случаях, когда «Диспетчер задач» или подобные средства сторонних разработчиков показывают большой расход ресурсов этим процессом, сначала следует проверить его местонахождение. Если оно отличается от приведенного выше – это вредоносное ПО или вирус.

Системные процессы часто бывают причиной сильной нагрузки на ПК, и это не всегда является нормой. Исключением служит System Idle Process или «Бездействие системы», чей высокий расход ресурсов на самом деле показатель их свободного резерва.



Можно ли удалять lsass.exe



Если файловые компоненты процесса lsass exe находятся вне папки system32 системного каталога Windows, их можно и рекомендуется удалить. Чтобы определить местоположение запущенной программы, достаточно вызвать «Диспетчер задач» нажатием CTRL+SHIFT+ESC, перейти на вкладку процессы и выбрать «Открыть место хранения файла» в контекстном меню искомого приложения.



Исключением являются случаи, когда компоненты lsass.exe находятся в подпапках каталога winsxs, также располагающегося в хранилище Windows. Это созданные системой резервные копии основного файла службы.

Обычному удалению сервиса lsass.exe воспрепятствует критическая ошибка. ОС Microsoft предотвращает попытки остановки или изменения файлов критических служб. Подлинный Lsass.exe нельзя удалять даже в случае его заражения, так как это выведет систему из строя. Восстановить удаленный сервис проверки подлинности локальной системы безопасности можно при помощи среды предустановки PE, консоли восстановления и загрузочного диска Windows.

Если lsass.exe был обнаружен в папке одной из программ, после его удаления можно попробовать переустановить и данное приложение. Это позволит определить, не устанавливается ли вместе с ним зараженный вариант системной службы. Если же программа не удаляется или удаляется не полностью, продолжая воссоздавать вредоносный файл, следует воспользоваться средствами сторонних разработчиков.

Среди них такие приложения как:
  • IObit Uninstaller;
  • CCleaner;
  • Reg Organizer;
  • Uninstall Tool.


Как проверить lsass.exe



Кроме открытия местонахождения основного файла сервиса через диспетчер задач в том же контекстном меню можно выбрать пункт «Свойства».



Они включают:
  • путь размещения объекта;



  • цифровую подпись издателя ПО (в случае Lsass.exe им должен быть Microsoft).




Помимо этого существуют и другие критерии, указывающие на шпионскую или зараженную подделку. Первый – название маскирующегося файла может быть похожим, но содержать другие буквы или отличный их порядок. К примеру, вместо строчной буквы L (l) в его начале злоумышленники часто используют прописную i (I). Проверить это можно, скопировав название файла в Microsoft Word или PowerPoint. После этого понадобится выделить его и нажать SHIFT+F3.

Также существуют сторонние конвертеры текстового регистра с более широким набором функций.

Другие примеры неправильных названий службы проверки подлинности локальной системы безопасности:
  • lsass .exe;
  • lsassa.exe;
  • lsasss.exe;
  • Isassa.exe.


Размер настоящего файла сервиса в различных дистрибутивах Windows не превышает нескольких десятков килобайт. Если же он составляет несколько и более мегабайт, скорее всего это поддельный или зараженный файл.

Чтобы удалить зловредное ПО наверняка, можно воспользоваться следующими рекомендациями:
  1. Хорошим началом будет полная очистка хранилища временных файлов Temp. Открыть его можно через окно «Выполнить» (клавиши Win+R), введя туда запрос %TEMP%. Накопившиеся при работе с приложениями данные могут содержать зловредное ПО либо быть источником заражения lsass.exe.
    Каталог хранилища скрыт по умолчанию. Для быстрой очистки Temp используют приложение CCleaner, которое пригодится и на следующих этапах возврата Windows к нормальной работе. Помимо удаления временных файлов не лишним будет сбросить настройки и кеш во всех используемых интернет-браузерах. Способы сделать это зависят от вида и версии ПО.
  2. Проверить ПК на вирусы, использовав обычный антивирус или такие специальные утилиты как UnHackMe, Malwarebytes или AdwCleaner. К примеру, бесплатное приложение Dr. Web Cureit, помимо проверки и удаления, содержит функцию лечения вирусов. Алгоритм действия приведенных программ заключается в выборочной или полной очистке системы от зловредного ПО после сканирования.



  3. Системный реестр может содержать лишние данные и внесенные зараженным ПО изменения. Одним из самых простых и удобных способов его очистки служит программа CCleaner.




Действия на вкладке «Реестр» осуществляют по идентичному алгоритму поиска и очистки/исправления.

Удалить зловредное ПО и вернуть зараженную службу проверки подлинности локальной системы безопасности к нормальной работе можно посредством качественного антивируса. Он же способен выполнить сканирование Windows. Рекомендуется выбирать средства, которые действуют не только в среде ОС, но и на этапе ее загрузки. Это позволит очистить ПК от заблокированных вредоносных файлов и предотвратить их создание в будущем.

Проверка целостности системных файлов



Основной файл службы, как и прочие компоненты системы, можно вернуть в исходное состояние с помощью ресурсов Windows. Проверка целостности системных файлов избавит от возможных ошибок после очистки ПК от вредоносного ПО.

Следующие рекомендации подойдут и в тех случаях, когда ОС перестала загружаться из-за удаленного или испорченного системного обеспечения. Тогда для их выполнения понадобится загрузиться с установочного образа или в среде предустановки. Диск дистрибутива может быть необходим и при работе в Windows, если система запросит недостающие файлы в процессе оценки их целостности.

Чтобы проверить сохранность всех служебных файлов, следует открыть командную строку от имени администратора.



Для этого ввести cmd в поиске «Пуск», выбрать соответствующий пункт в контекстном меню элемента и ввести в открывшемся окне команду – sfc /scannow.



При вводе любых подобных запросов необходимо строго соблюдать их синтаксис. Чтобы проверить исключительно файл lsass.exe к команде добавляют адрес файла – sfc /scanfile=C:\Windows\System32\lsass.exe.



Еще одним способом проверить состояние служебных файлов и вернуть их в исходное состояние служит инструмент DISM. Его использование тоже потребует запуска cmd с правами администратора. Команда запуска DISM имеет вид dism /Online /Cleanup-Image /RestoreHealth.



Lsass.exe грузит процессор, память или диск


В некоторых ситуациях большой расход системных ресурсов служебными сервисами Windows является закономерностью, однако он также бывает следствием программных неисправностей, использования вредоносного ПО или вмешательства извне. Зловредные программы незаметно проникают на ПК, меняя настройки браузеров и других интернет-приложений, задавая неверные параметры Windows и нарушая ее работу.

Наиболее распространенные виды ущерба от вредоносного ПО:
  • включение скриптов jаvascript и баннеров при открытии сайтов;
  • подмена результатов поисковых систем;
  • интеграция дополнений браузеров и подмена ярлыков последних;
  • несанкционированное изменение домашней страницы;
  • прекращение обновления браузеров;
  • инсталлирование платных программ;
  • назначение «своего» браузера основным для просмотра страниц и серфинга в интернете;
  • установка условно-бесплатных компьютерных игр;
  • перехват и изменение трафика с помощью зловредных программных средств.


Используя вредоносное ПО, злоумышленники получают доступ к интернету пользователя и могут выполнять там различные действия от его имени. Причиной повышенной нагрузки от lsass.exe часто бывает удаленное использование системных ресурсов, например, для майнинга криптовалюты.

Расход системных ресурсов сервисом lsass.exe является нормой при одновременной работе локального и удаленных пользователей, операциях с зашифрованными данными на дисках формата NTFS и выделении прав отдельным приложениям. Помимо нарушений в работе Windows, заражение этого сервиса может привести к утечке персональных данных. Приведенные рекомендации помогут быстро выявить причину перерасхода системных ресурсов и предотвратить ущерб зловредных программ на ранних этапах.

Svchost.exe грузит процессор. Сбор информации с вашего компьютера: видео.




А как часто вы проверяет свой компьютер на наличие вредоносного ПО? Напишите в комментариях. Сохраните статью в закладках, поделитесь ею в социальных сетях.


Комментарии (0)

Имя:*
E-Mail:
Введите два слова, показанных на изображении: *