Lsass.exe (Local Security Authority Process) là một tệp an toàn của Microsoft được sử dụng trong hệ điều hành Windows. Nó rất quan trọng đối với các hoạt động bình thường của máy tính Windows và do đó không được xóa, di chuyển hoặc chỉnh sửa theo bất kỳ cách nào.
Tệp được đặt vĩnh viễn trong thư mục / Windows / System32 / và được sử dụng để thực thi các chính sách bảo mật, nghĩa là nó liên quan đến những thứ như thay đổi mật khẩu và xác minh đăng nhập.
Mặc dù tệp cực kỳ quan trọng đối với các hoạt động bình thường của Windows và không nên bị giả mạo, nhưng phần mềm độc hại đã được biết là chiếm đoạt tệp lsass.exe thực hoặc giả vờ là xác thực để đánh lừa bạn để nó chạy.
Cách phát hiện tệp lsass.exe giả
Không khó để phát hiện ra tệp lsass.exe giả mạo, nhưng bạn phải xem xét rất kỹ một số điều để đảm bảo rằng bạn đang xử lý quy trình giả mạo chứ không phải quy trình thực mà Windows cần.
Kiểm tra Chính tả
Phương pháp phổ biến nhất được phần mềm độc hại sử dụng để đánh lừa bạn nghĩ rằng lsass.exe không phải là vi-rút là đổi tên tệp thành một cái gì đó rất giống. Vì một thư mục không thể có hai tệp trùng tên nên nó sẽ bị thay đổi đôi chút.
Đây là một ví dụ:
Isass.exe
Nếu nó trông giống như lsass.exe, bạn đã đúng… nó đúng. Tuy nhiên, tệp thực sử dụng chữ thường L (l) trong khi tệp độc hại sử dụng chữ hoa i (I). Tùy thuộc vào cách các phông chữ được hiển thị trên máy tính của bạn, chúng có thể trông giống hệt nhau, khiến bạn dễ nhầm lẫn chúng với nhau.
Một cách để xác minh xem tên tệp có sai hay không là sử dụng trình chuyển đổi chữ hoa chữ thường. Sao chép tên tệp và dán vào hộp văn bản tại Convert Case, sau đó chọn chữ thường để chuyển tất cả thành chữ thường. Nếu kết quả không phải là chính hãng, nó sẽ được đánh vần như sau: isass.exe
Đây là một số lỗi chính tả có mục đích khác nhằm đánh lừa bạn để tệp ở trên máy tính của bạn hoặc cho phép nó chạy khi được yêu cầu (hãy nhìn kỹ cái đầu tiên đó; nó có một khoảng trống không cần thiết):
lsass.exe
lsassa.exe
lsasss.exe
Isassa.exe
Nó nằm ở đâu?
Tệp lsass.exe thực chỉ nằm trong một thư mục, vì vậy nếu bạn tìm thấy nó ở bất kỳ nơi nào khác, rất có thể nó sẽ nguy hiểm và cần được xóa ngay lập tức.
Tập tin thực được cho là sẽ được lưu trữ trong thư mục System32:
C: / Windows / System32 \
Nếu nó ở bất kỳ nơi nào khác trên máy tính của bạn, chẳng hạn như trên máy tính để bàn, trong thư mục tải xuống của bạn, trên ổ đĩa flash, v.v., hãy coi nó như một mối đe dọa và nhanh chóng loại bỏ nó (có thêm thông tin về cách thực hiện điều đó bên dưới).
Máy tính của bạn có thể có một số tệp lsass.exe trong thư mục C: / Windows / winxs \. Chúng được sử dụng trong quá trình cập nhật Windows và dùng làm bản sao lưu, nhưng nếu bạn cảm thấy cần phải xóa chúng sau này khi quét tìm tệp lsass.exe, hãy xóa chúng một cách an toàn.
Nếu bạn thấy lsass.exe trong Trình quản lý tác vụ, đây là cách để biết nó thực sự đang chạy từ đâu:
-
Mở Trình quản lý Tác vụ.
Có một số cách để thực hiện việc này, nhưng cách dễ nhất là sử dụng phím tắt Ctrl + Shift + Esc. Bạn cũng có thể truy cập nó từ Trình đơn Người dùng Nguồn trong Windows 11/10/8, bằng cách nhấp chuột phải vào nút Bắt đầu.
-
Mở tab Chi tiết.
Nếu bạn không thấy tab này, hãy chọn Thêm chi tiếttừ cuối Trình quản lý tác vụ.
-
Nhấp chuột phải vào lsass.exetừ danh sách. Chọn cái đầu tiên bạn thấy.
-
Chọn Mở vị trí tệp, vị trí này sẽ mở thư mục C: / Windows / System32 và chọn trước tệp lsass.exe, như bạn có thể thấy bên dưới.
- Lặp lại các bước trên cho từng tệp lsass.exe bạn thấy trong Trình quản lý tác vụ. Chỉ nên có một trong danh sách, vì vậy nếu bạn thấy các trường hợp bổ sung, tất cả trừ một trường hợp đều là giả.
- Bạn có tìm thấy tệp lsass.exe giả mạo không? Xem hướng dẫn tại nút của trang này để biết cách xóa nó và đảm bảo rằng máy tính của bạn sạch sẽ khỏi mọi sâu, phần mềm gián điệp, vi rút liên quan đến lsass.exe, v.v.
Kích thước tệp của nó là bao nhiêu?
Thông thường đối với vi-rút và các phần mềm độc hại khác là sử dụng tệp có kích thước chương trình để phân phối bất kỳ tệp nào mà phần mềm độc hại đang mang, vì vậy một cách khác để kiểm tra xem lsass.exe là thật hay giả là xem có bao nhiêu dung lượng. tệp đang chiếm trên ổ cứng.
Nhấp chuột phải vào nó và mở Thuộc tínhđể kiểm tra kích thước của nó.
Ví dụ: phiên bản Windows 11 của tệp là 82 KB trên máy thử nghiệm của chúng tôi, tệp lsass.exe của Windows 10 là 57 KB và phiên bản Windows 8 là 46 KB. Nếu tệp bạn đang thấy lớn hơn rất nhiều, chẳng hạn như vài megabyte trở lên, thì rất có thể đó không phải là tệp thực do Microsoft cung cấp.
Tại sao lsass.exe lại sử dụng nhiều bộ nhớ?
Trình quản lý Tác vụ có báo cáo lsass.exe sử dụng CPU hoặc bộ nhớ cao không?
Một số quy trình của Windows không bao giờ được sử dụng nhiều bộ nhớ hoặc sức mạnh của bộ xử lý và khi chúng xảy ra, đó thường là dấu hiệu cho thấy có điều gì đó không ổn và thứ gì đó có thể là phần mềm độc hại.
Lsass.exe là một ngoại lệ khi trong một số trường hợp bình thường, nó sẽ sử dụng nhiều RAM và CPU hơn những lúc khác, khiến cho rất khó để biết liệu lsass.exe là thật hay giả.
Việc sử dụng bộ nhớ cho lsass.exe nên duy trì dưới 10 MB tại bất kỳ thời điểm nào, nhưng điều bình thường là nó sẽ tăng đột biến khi có nhiều người dùng đăng nhập, trong quá trình ghi tệp được mã hóa trên các ổ đĩa NTFS và có thể những lúc khác như trong khi người dùng đang thay đổi mật khẩu của họ hoặc trong khi mở chương trình khi chương trình đang được chạy bằng thông tin đăng nhập của quản trị viên.
Khi nào thì loại bỏ lsass.exe
Nếu lsass.exe đang sử dụng quá nhiều bộ nhớ hoặc bộ xử lý, và đặc biệt nếu tệp EXE không nằm trong thư mục Windows / System32 \, bạn cần phải loại bỏ nó. Chỉ một tệp lsass.exe bị nhiễm hoặc một lookalike sẽ chứa tất cả tài nguyên hệ thống.
Một ví dụ về điều này là nếu tệp lsass.exe giả vờ là thật để nó có thể khai thác tiền điện tử. Phần mềm thực hiện khai thác tiền điện tử yêu cầu một lượng lớn tài nguyên hệ thống, vì vậy nếu máy tính của bạn chậm bất thường, bị treo ngẫu nhiên, hiển thị lỗi lạ hoặc có các tiện ích bổ sung của trình duyệt được cài đặt không thể giải thích hoặc các chương trình khác mà bạn chưa bao giờ đồng ý, thì bạn có thể yên tâm cho rằng mình cần dọn dẹp phần mềm độc hại tốt.
Cách loại bỏ Virus lsass.exe
Trước khi tìm hiểu cách xóa nhiễm trùng lsass.exe, hãy nhớ rằng bạn không thể xóa tệp lsass.exe thực, cũng như không thể tắt hoặc tắt tệp vì bất kỳ lý do gì. Các bước dưới đây là để xóa tệp lsass.exe giả mạo; một thứ mà Windows không thực sự sử dụng.
-
Tắt quá trình lsass.exe giả và sau đó xóa tệp.
Bạn có thể thực hiện việc này theo một số cách, nhưng cách dễ nhất là nhấp chuột phải vào tác vụ trong tab Processescủa Task Manager và chọn End taskNếu bạn không thấy nhiệm vụ ở đó, hãy tìm nó trong tab Chi tiết, nhấp chuột phải vào nó và chọn Cây kết thúc quy trình
Nếu bạn cố gắng kết thúc quá trình chính hãng, bạn sẽ gặp lỗi mà bạn không thể hoặc, nếu quá trình bị tắt, bạn sẽ thấy thông báo rằng Windows sẽ sớm tự động khởi động lại.
-
Khi bạn đã tắt quá trình, hãy mở thư mục chứa tệp (xem các bước "Nó nằm ở đâu?" Ở trên nếu bạn không chắc chắn về cách thực hiện) và xóa nó.
Nếu bạn nghi ngờ rằng một chương trình nào đó chịu trách nhiệm cài đặt vi-rút lsass EXE, hãy gỡ bỏ chương trình đó để xem điều đó có xóa quá trình này hay không. IObit Uninstaller là một ví dụ về trình gỡ cài đặt chương trình mạnh mẽ có thể thực hiện việc này.
- Quét máy tính của bạn để tìm phần mềm độc hại lsass.exe bằng một chương trình như Malwarebytes hoặc một số trình quét vi rút theo yêu cầu khác.
-
Cài đặt chương trình chống vi-rút luôn bật. Điều này sẽ giúp cung cấp không chỉ cái nhìn thứ hai ngoài Malwarebytes mà còn là một phương pháp lâu dài để đảm bảo rằng máy tính của bạn được bảo vệ khỏi các mối đe dọa trong tương lai như thế này.
Xem danh sách phần mềm chống vi-rút Windows tốt nhất của chúng tôi nếu bạn không biết phải tìm ở đâu.
- Sử dụng công cụ chống vi-rút có khả năng khởi động để xóa vi-rút lsass.exe. Đây là một phương pháp hoàn hảo nếu các chương trình khác ở trên không hoạt động vì khi bạn chạy chương trình chống vi-rút trước khi Windows khởi động, bạn có thể đảm bảo quá trình xóa triệt để mà không gặp sự cố về quyền hoặc tệp bị khóa.