Что такое lsass.exe в диспетчере задач?

Привет друзья, в этой заметке рассмотрим процесс lsass.exe, который один из наиболее популярных среди тех, под кого любят маскироваться вирусы. Так как не сразу поймешь — вирус это или нет из-за названия, а оно такое, ну немного запутанное как по мне

Так вот, процесс lsass.exe сам по себе очень важный, так как принимает участие в авторизации пользователя в сети при входе в систему, он запускается еще до оболочки Windows (за которую отвечает explorer.exe), другими словами в безопасности он играет важную роль. Также процесс отвечает за авторизацию приложений, это нужно для получения прав.

Процесс lsass.exe всегда запущен от имени Система, его завершать ни в коем случае нельзя, иначе система сама выключится через минуту. Что будет, если завершить процесс lsass.exe? В общем вот какая у вас будет ошибка, и ее никак не убрать:

При этом можно только закрыть ошибку, но потом, я попробовал запустить диспетчер и увидел еще одну ошибку:

Ну что, вроде бы более-менее с процессом lsass.exe разобрались, теперь перейдем к тому, как понять вирус это или нет. Открываем диспетчер задач, переходим на вкладу Подробности и сразу нажимаем на колонку Имя, чтобы отсортировать процессы, так будет легче заметить два lsass.exe, если они конечно будут (должен быть только один):

Теперь посмотрим где этот процесс живет, для этого нажимаем правой кнопкой по процессу и выберем расположение:

Откроется папка C:\Windows\System32, этот файл может быть только в этой системной папке, если его несколько и один из них хотя бы не в этой папке расположен, то скорее всего у вас вирус. Вот эта папка, которая должна открыться (посмотрите на характеристики, это файл lsass.exe в Windows 10, билд правда 1511):

Ну что, вроде бы все показал что нужно было. Ничего не забыл. То что его нельзя завершать, это я надеюсь вы уже поняли, теперь мне осталось только написать, что делать если lsass.exe оказался вирусом ну или вам так кажется.

Значит смотрите, если вам кажется, что у вас вместо оригинального файла — вирус, например lsass.exe запущен от вашего имени, а не от Система, то нужно бегом проверять комп на вирусы! Как это сделать? Очень просто, вот вам две утилиты, которые максимально прочесывают все файлы в компе на наличие вируса, это Kaspersky Virus Removal Tool и Dr.Web CureIt!. Эти утилиты направлены именно на всевозможные вирусы, трояны, черви, если у вас есть время и возможность, то проверяйте комп в режиме полной проверки.

Вторые две утилиты, которые я рекомендую, это уже специалисты по рекламным вирусам, их тоже советую скачать и проверить комп, они помогут если вы заметили что появилось много рекламы в браузерах, вот эти утилиты — AdwCleaner и HitmanPro.

На этом все, осталось только пожелать вам удачи!

filecheck .ru

Подлинный файл является одним из компонентов программного обеспечения Microsoft Windows, разработанного Microsoft Corporation .

Lsass.exe — это исполняемый файл (программа) для Windows. Расширение имени файла .exe — это аббревиатура от англ. слова executable — исполнимый. Необходимо запускать исполняемые файлы от проверенных производителей программ, потому что исполняемые файлы могут потенциально изменить настройки компьютера или нанести вред вашему компьютеру. Бесплатный форум с информацией о файлах может помочь вам разобраться является ли lsass.exe вирусом, трояном, программой-шпионом, рекламой, которую вы можете удалить, или файл принадлежит системе Windows или приложению, которому можно доверять.

Вот так, вы сможете исправить ошибки, связанные с lsass.exe

1. Используйте программу Настройщик Windows, чтобы найти причину проблем, в том числе и медленной работы компьютера.
2. Обновите программу Local Security Authority Process. Обновление можно найти на сайте производителя (ссылка приведена ниже).
3. В следующих пунктах предоставлено описание работы lsass.exe.

Информация о файле lsass.exe

Описание: lsass.exe является процессом сервера Microsoft Local Security Authentication, ответственного за аутентификацию идентификации пользователя и применение политики безопасности. Он проверяет пользователей, которые авторизуются на компьютере с операционной системой Windows, отвечает за ручное изменение пароля и создает маркеры доступа, которые содержат в сжатом виде важную информацию по безопасности. Он также используется админинстраторами для обновления паролей и профилей пользователей.

Подробный анализ: lsass.exe часто вызывает проблемы и необходим для Windows. Файл lsass.exe находится в папке C:\Windows\System32. Известны следующие размеры файла для Windows 10/8/7/XP 13,312 байт (74% всех случаев), 22,528 байт и еще 12 варианта .
Приложение не видно пользователям. Это файл, подписанный Microsoft. Процесс использует порт, чтобы присоединится к сети или интернету. Поэтому технический рейтинг надежности 14% опасности.

Вирусы с тем же именем файла

Является ли lsass.exe вирусом? Нет, это не вирус. Настоящий файл lsass.exe — это безопасный системный процесс Microsoft Windows, который называется «Local Security Authority Process». Тем не менее, авторы зловредных программ, таких как вирусы, черви, и трояны намеренно называют процессы таким же именем, чтобы избежать обнаружения. Вирусы с тем же именем файлов: в частности, VirTool:Win32/VBInject.gen!FA или Trojan:Win32/Dursg (определяется антивирусом Microsoft), и TROJ_GEN.R01C2JF или TROJ_SWISYN.FP (определяется антивирусом TrendMicro).
Чтобы убедиться, что работающий lsass.exe на вашем компьютере — это не вредоносный процесс, нажмите здесь, чтобы запустить Проверку на вирусы.

Как распознать подозрительные процессы?

• Если lsass.exe находится в подпапках «C:\Users\USERNAME», тогда рейтинг надежности 65% опасности. Размер файла 212,992 байт (6% всех случаев), 42,687 байт и еще 26 варианта . Это не файл Windows. Приложение не видно пользователям. Нет информации по файлу. Процесс загружается во время процесса загрузки Windows (Смотрите ключ реестра: MACHINE\Run , Run , Userinit , Winlogon\Shell , User Shell Folders ). Lsass.exe способен мониторить приложения.
• Если lsass.exe находится в подпапках C:\Windows, тогда рейтинг надежности 85% опасности. Размер файла 6,790,656 байт (16% всех случаев), 338,735 байт и еще 15 варианта . Это не системный процесс Windows. У процесса нет видимого окна. Это неизвестный файл в папке Windows. Нет описания файла. Процесс слушает или шлет данные на открытые порты в сети или по интернету. Lsass.exe способен мониторить приложения, манипулировать другими программами и записывать ввод данных.
• Если lsass.exe находится в подпапках «C:\Program Files», тогда рейтинг надежности 77% опасности. Размер файла 4,606,976 байт (40% всех случаев), 4,672,512 байт и еще 8 варианта .
• Если lsass.exe находится в подпапках диска C:\, тогда рейтинг надежности 60% опасности. Размер файла 551,669 байт (15% всех случаев), 44,544 байт и еще 9 варианта .
• Если lsass.exe находится в подпапках «C:\Program Files\Common Files», тогда рейтинг надежности 68% опасности. Размер файла 176,640 байт (50% всех случаев) или 218,112 байт.
• Если lsass.exe находится в папке C:\Windows, тогда рейтинг надежности 86% опасности. Размер файла 185,344 байт (50% всех случаев) или 528,398 байт.
• Если lsass.exe находится в папке Windows для хранения временных файлов , тогда рейтинг надежности 86% опасности. Размер файла 6,790,656 байт (50% всех случаев) или 24,064 байт.

Важно: Некоторые вредоносные программы маскируют себя как lsass.exe, особенно, если они расположены не в каталоге C:\Windows\System32. Таким образом, вы должны проверить файл lsass.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.

Комментарий пользователя

У меня на контроллере домена W2k3 lsass.exe, как показывает Comodo Internt Security, использует следующие порты, 88 1025 1026, хотелось бы ограничить его до необходимого минимума, всмысле использования портов, только вот не знаю какие важны для этого процесса и нормального функционирования домена. Макс

NOD 32 матерится что это вирус! Олег

Если lsass в папке C:\WINDOWS\system32\config\TxR\ypb\ это фигня которая все время открывает в браузере страничку. Александр

Черви используют баг в lsass.exe из-за чего и падает сам lsass.exe. lsass.exe — это не червь сам по себе. Если бы он был червем, то не показывал бы сообщение со своим именем. Alexander

он блокирует систему. Алек

для WinXP (к примеру) «Диспетчер учетных записей безопасности, Защищенное хранилище, Службы IPSEC, Поставщик поддержки безопасности NT LM, Сетевой вход в систему» — список полезных служб ваших поспешных выводов для Lsass.exe =). . \WINDOWS\system32\lsass.exe r4nd0miZe

У меня после удаления рекламного моуля винда не запускается — пишет lsass задан неверный параметр (изменёный чтоли!?).. Павел

lsass.exe постоянно хочет подключится к службе паролей, такое сообщение выдает касперский 11 версии, но слава Богу он же его и блокирует. И пока все работат стабильно. Дмитрий

у меня аваст блокирует

Народ. непонятно. процесс занимает 50% от проца. ни кто не знает почему? такое только сегодня началось%) Андрей

Используется виндой, но вирь может замаскироватся под него или внедрится Иван

у меня семерка максимальная, у кого ещё он где хранится? lsass.exe Local Security Authority Process C:\Windows\winsxs\amd64_microsoft-windows- lsa_31bf3856ad364e35_6.1.7600.16385_none_023f7c69767c3edd размер: 30,5 КБ (31 232 байт) на диске: 32,0 КБ (32 768 байт) Антоха

У меня на компе эта проблема вызывается установкой кодеков, хотя антивирус Symantek это не вирус а проблема с процессором наверника, прочёл более 100 форумов, машика 2500 Athlon выдает ошибку Lsass.exe 7 РАЗ МЕНЯЮ ВИНДУ на разные версии пока так если будет другая проблема скажу Андрей Васильевич

пусть этот процесс и файл изначально являются безопасными, работает нормально, не мешает ни коем образом — и ладно. но вот когда вдруг необоснованно начинают излишнюю активность, такую как перегрузка процессора, попытка принять внешнее соединение и др.- это уже плохо. либо попытка атаки, либо уже проник вирус, троян и т.д. у меня стоит FireWall, я заблокировал попытку соединения LSASS по 500 порту, все работает норм. в любом случае, как поступать в вашей ситуации решать Вам. Макс

Это системный процес.Но у меня их 2.один находится в C:\WINDOWS.0\system32 а второй C:\WINDOWS.0\system32\DETER177 там 3 скытых lsass smss svсhоst творение компании dfsdf ни разу о такой не слышал. Илюха

lsass.exe необходимый для системы файл. Но существует вирус Sasser, который использует баг переполнения буфера в службе local security authority subsystem service (LSAS), таким образом он размножается. Отсюда и название червя. Sasser открывает 128 параллельных потоков, и, используя специальный алгоритм по генерации IP адресов, пытается найти системы с назащищённым 445 портом и уязвимым сервисом. Сплойт сработал на «ура», но вот приводил он к ошибке SYSTEM SHUTDOWN. This system is shutting down. (Статья из журнала ][акер) Леонид

у меня эта штука появилась здесь C:\Program Files, после случайного захода на порносайт он постоянно мониторит и закрыть его нельзя, но вместе с этим и блокирует некоторые программы (точнее в некоторых программах защита срабатывает и не позволяет их запустить правильно) похоже эта хрень маскируется под программный файл. С помощью программы мониторинга процессов (например, procexp.exe)останавливаем его активность и после этого удаляем его из директории вручную (в которую он не пускал и закрывал автоматически). ReyDios

У меня тоже тратит 50% ресурсов проца, после перезагрузки всё прошло, не пойму что это было. apollo13

вирусописатели просто грамотно маскируют свое творение (isass.exe) под системный процесс LSASS.exe, просто весь прикол в первой букве: если i(I) — это вирус, если l(L) — это система. 123

у меня изза него валидация вк. запрос смс стоимость 300. slim

этот процесс у меня обычно занимает в среднем

2-4мб памяти, процессор не нагружает(

0%), винда с диска sp2 обновленная до sp3 и другие обновления с центра обновлений. но я видел вирусы иногда с таким именем, я загружался с загр. диска и пихал в архив этот файл(у меня был он в C:\documents and settings\»username»\lsass.exe) потомучто антивирус не мог его удалить сам. потом с диска если системе нужен этот файл можно восстановить. но мне не нужно было его восстанавливать.
Chimbal файл безопасный
Евгений У меня вообще выдает ошибку: Система завершает работу.Сохраните данные и выйдите из системы.Все несохраненные изменения будут утеряны Время до отключения:00.01.00 Отключение системы вызвано:NT AUTHORITY\system Сообщение Неожиданно завершен системный процесс: C\WINDOWS\system32\isass/exe/с кодом состояния . Будет произведена перезагрузка системы
Александр Миронов C:\Documents and Settings\Admin\Application Data а если он находиться здесь то что это значит?
Александр Win7Home Extended Core2Duo2GB DDR5 без него не оч как то у меня он отрубился потом было 2 перезагрузки случайные за 25 минут. Потом нашел службу и включил.У меня его описание Local Security Authority Process.
Глеб Всем — привет!Не братил бы на него внимания,если бы в папке USERS (Windows7x32) не появилась новая неудаляемая папка UpdatusUser.Через unlocker узнал хозяина бунта это C:\Windows\System32\lsass.exe . А так, вроде, ничё не глючит\не тормозит. (-: Так что Хай собi живе. Всем — привет!
Arduan Сам по себе файл не опасен, а вот вирусы связанные с этим файлом могут принести много разных ошибок при загрузке Windows. О проблемах с этим файлом много инфы в нете!
ak.Admin У маего друга lsass.exe: блокирует вход в систему
Владимир У маего друга lsass.exe: блокирует вход в систему
Владимир находится в C:\Documents and Settings\Admin\Application Data процес есть пока не мишает — деспетчер задач не может отключить как удалить его
Саша Сервер проверки подлинности локальной системы безопасности (англ. Local Security Authority Subsystem Service, LSASS) — часть операционной системы Windows, отвечающей за авторизацию локальных пользователей отдельного компьютера. Сервис является критическим, так как без него вход в систему для локальных пользователей (не зарегистрированных в домене) невозможен в принципе. (дополнительная информация)
Романов Николай II АЛександрович Етот фаил Isass.exe чтото на подобии швецара чтото открывает, чтото закрывает, какойто проге помогает -практически безвереден и наименьш защищон, но так как связан с потоком инфы в комп и по нему то к нему впервую очередь присасываеца и маскируеца под него всякая нечисть. Виход- полная очистка винта под ноль с другого компа с харошым антивирусом.
Павел Это системный файл. Но нужно уметь распознавать, так как вирусы под него маскируют и блокируют систему, либо приводят к другим ошибкам. Так же нужно учитывать месторасположение файла.
Аsakurа Anna Был у меня в папке по пути C:\Windows\cidd_p\Isass.exe а там его быть не должно. AVZ ругался (кроме того были ошибки чтения файлов), Хайджек, CCE тоже. Что он делал долго выяснять не стал, снёс и всех делов. При повторном исследовании системы все проблемы ушли, система чистая. Файл сам-по-себе важен, но если он «чистый» и лежит в C:\Windows\System32\ (дополнительная информация)
Владимир К. 800кб-1мб занимает но как тока появился так клава не работала перезапустил комп,отчистел реестр програмой Cclener(возможно ошыбся)и все прошло
Миша Мне прислали файл переименованный, но арегинальное ему название Lsass.exe . Ну вот, это файл после запуска не запустился( ну не какого окна не появилось) но в диспечере задач он в процессах был. Оказывается что он просмотрел все мои пароли и с моего эе айпишника отослал вещи из моих игр.
Игорь Это очень важный файл, но поэтому вирусы любят его. Поэтому, если фаервол блокирует какие-то непонятные соединения с этим файлом, то не пущайте их!
Юрий у меня одновременно запущено было 2 процесса lsass.exe, один из систем32, а второй лежал в папке виндовс\Cidd_p\, вот он то и был трояном, вылечил наполовину, — просто открыл его текстовым редактором и тупо изменил там всё, но при загрузке винды, постоянно пишет — не удалось открыть процесс lsass.exe, хотя настоящий лсасс запущен, осьалось найти где прописан путь к запуску трояна. Кто знает подскажите, буду признателен.
Sam Сегодня 30.04.2017 причислил этот процесс к зловредам, точнее не сам процесс, а попытку доступа к адресу http://. /test.dat через этот процесс. Сам файл ESET File Security 4.5 зловредом не считает. Очень сранно. Причем в свойствах файла почему то дата создания и дата открытия изменилась на предыдущий день 29.04.2017 4:00:44. Сама машина была самостоятельно перезапущена именно 29.04.2017 примерно в это же время и файл lsass.exe появился также в папке C:\Windows и переключатель в Центре обновления Windows с «Не устанавливать» был переключен в «Устанавливать автоматически»
Андрей Грузит ЦП 50-80% при запуске хрома. Минут 10 все виснет потом нормально. 0%
Александр система Windows 7. у меня 2 пользователя — бесправный и админ. при установке пароля на бесправный и впоследствии входа на него запускается lsass.exe и надолго грузит систему. после удаления пароля этого не происходит. как это можно победить? на админе пароль есть и там проблем нет
александр lsass.exe 5.1.2600.5512 Microsoft® Windows® Operating System C:\WINDOWS\system32\ 13,0 КБ (13 312 байт)

Лучшие практики для исправления проблем с lsass

Аккуратный и опрятный компьютер — это главное требование для избежания проблем с lsass. Для этого требуется регулярная проверка компьютера на вирусы, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые больше не нужны, проверка программ, которые запускаются при старте Windows (используя msconfig) и активация Автоматическое обновление Windows. Всегда помните о создании периодических бэкапов, или в крайнем случае о создании точек восстановления.

Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.

Следующие программы могут вам помочь для анализа процесса lsass.exe на вашем компьютере: Security Task Manager отображает все запущенные задания Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записей автозагрузки. Уникальная оценка рисков безопасности указывает на вероятность процесса быть потенциально опасным — шпионской программой, вирусом или трояном. Malwarebytes Anti-Malware определяет и удаляет бездействующие программы-шпионы, рекламное ПО, трояны, кейлоггеры, вредоносные программы и трекеры с вашего жесткого диска.

lsass сканер

Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.

Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.

Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.