Lsass.exe (فرایند مقامات امنیتی محلی) یک فایل امن از مایکروسافت است که در سیستم عامل های ویندوز استفاده می شود. برای عملکرد عادی یک رایانه ویندوزی حیاتی است و بنابراین نباید به هیچ وجه حذف، جابجا یا ویرایش شود.
فایل به طور دائم در پوشه \Windows\System32\ قرار دارد و برای اعمال سیاستهای امنیتی استفاده میشود، به این معنی که با مواردی مانند تغییر رمز عبور و تأیید ورود به سیستم درگیر است.
در حالی که فایل برای عملکردهای معمولی ویندوز بسیار مهم است و نباید دستکاری شود، بدافزار شناخته شده است که یا فایل lsass.exe واقعی را ربوده یا وانمود می کند که معتبر است تا شما را فریب دهد تا اجازه دهید اجرا شود.
چگونه یک فایل جعلی lsass.exe را شناسایی کنیم
تشخیص یک فایل جعلی lsass.exe کار سختی نیست، اما باید به چند چیز با دقت نگاه کنید تا مطمئن شوید که با یک فرآیند جعلی و نه واقعی مورد نیاز ویندوز سروکار دارید.
املا را بررسی کنید
متداول ترین روشی که توسط بدافزارها برای فریب شما استفاده می شود تا فکر کنید lsass.exe ویروس نیست، تغییر نام فایل به چیزی بسیار مشابه است. از آنجایی که یک پوشه نمی تواند دو فایل با نام یکسان داشته باشد، کمی تغییر می کند.
این یک مثال است:
Isass.exe
اگر دقیقاً شبیه lsass.exe است، حق با شماست… اینطور است. با این حال، فایل واقعی از یک L (l) کوچک استفاده می کند در حالی که فایل مخرب از یک i (I) بزرگ استفاده می کند. بسته به نحوه نمایش فونت ها در رایانه شما، آنها می توانند یکسان به نظر برسند و به راحتی می توان آنها را با یکدیگر اشتباه گرفت.
یکی از راههای تأیید نادرست بودن نام فایل، استفاده از مبدل حروف است.نام فایل را کپی کرده و آن را در کادر متنی در Convert Case قرار دهید و سپس کوچک را انتخاب کنید تا همه آن را به حروف کوچک تبدیل کنید. اگر نتیجه واقعی نباشد، املای آن به این صورت است: isass.exe
اینها برخی دیگر از اشتباهات املایی هدفمند هستند که قصد دارند شما را فریب دهند تا اجازه دهید فایل در رایانه شما بماند یا در صورت درخواست اجرا شود (به اولین مورد دقت کنید، فضای غیر ضروری دارد):
lsass.exe
lsassa.exe
lsasss.exe
Isassa exe
کجا واقع شده است؟
فایل واقعی lsass.exe فقط در یک پوشه است، بنابراین اگر آن را در جای دیگری پیدا کنید، به احتمال زیاد خطرناک است و باید فورا حذف شود.
فایل واقعی قرار است در پوشه System32 ذخیره شود:
C:\Windows\System32\
اگر در هر جای دیگری از رایانه شما است، مانند روی دسکتاپ، در پوشه دانلودها، در درایو فلش و غیره، آن را به عنوان یک تهدید در نظر بگیرید و فوراً آن را حذف کنید (در مورد نحوه انجام این کار در زیر بیشتر آمده است).
ممکن است رایانه شما چند فایل lsass.exe در پوشه های C:\Windows\winsxs\ داشته باشد. آنها در طول بهروزرسانیهای ویندوز استفاده میشوند و بهعنوان پشتیبانگیری عمل میکنند، اما اگر بعداً هنگام اسکن فایلهای lsass.exe احساس نیاز به حذف آنها کردید، میتوانید آنها را پاک کنید.
اگر lsass.exe را در Task Manager می بینید، در اینجا نحوه اجرای واقعی آن از کجاست:
-
باز کردن Task Manager.
راه های مختلفی برای انجام این کار وجود دارد، اما ساده ترین راه با میانبر صفحه کلید Ctrl+Shift+Esc است. همچنین میتوانید از منوی Power User در ویندوز 11/10/8 با کلیک راست روی دکمه Start به آن دسترسی داشته باشید.
-
برگه جزئیات را باز کنید.
اگر این برگه را نمی بینید، جزئیات بیشتر را از پایین Task Manager انتخاب کنید.
-
lsass.exe را از لیست کلیک راست کنید. اولین موردی را که می بینید انتخاب کنید.
-
باز کردن مکان فایل را انتخاب کنید، که باید پوشه C:\Windows\System32 را باز کرده و فایل lsass.exe را از قبل انتخاب کنید، همانطور که در زیر می بینید.
- مراحل بالا را برای هر فایل lsass.exe که در Task Manager می بینید تکرار کنید. فقط یک مورد باید لیست شده باشد، بنابراین اگر موارد دیگری را مشاهده کردید، همه به جز یک مورد جعلی هستند.
- آیا یک فایل جعلی lsass.exe پیدا کردید؟ دستورالعملهای موجود در دکمه این صفحه را برای نحوه حذف آن ببینید و اطمینان حاصل کنید که رایانه شما از هرگونه کرم، نرمافزار جاسوسی، ویروس و غیره مربوط به lsass.exe پاک است.
اندازه فایل آن چقدر است؟
برای ویروس ها و سایر نرم افزارهای مخرب معمول است که از فایلی به اندازه برنامه برای ارائه هر آنچه که بدافزار حمل می کند استفاده می کنند، بنابراین راه دیگر برای بررسی واقعی یا جعلی بودن lsass.exe این است که ببینیم چقدر فضای موجود در آن وجود دارد. فایل روی هارد دیسک اشغال می شود.
روی آن کلیک راست کرده و Properties را باز کنید تا اندازه آن را بررسی کنید.
برای مثال، نسخه ویندوز 11 فایل در دستگاه آزمایشی ما 82 کیلوبایت است، فایل lsass.exe ویندوز 10 57 کیلوبایت و نسخه ویندوز 8 46 کیلوبایت است. اگر فایلی که میبینید بسیار بزرگتر است، مثلاً چند مگابایت یا بیشتر، به احتمال زیاد فایل واقعی ارائهشده توسط مایکروسافت نیست.
چرا lsass.exe از حافظه زیادی استفاده می کند؟
آیا Task Manager lsass.exe مصرف بالای CPU یا حافظه را گزارش می دهد؟
برخی از فرآیندهای ویندوز هرگز نباید از حافظه یا قدرت پردازنده زیادی استفاده کنند، و زمانی که این کار را انجام می دهند، معمولاً نشانه آن است که چیزی کاملاً درست نیست و ممکن است چیزی بدافزار باشد.
Lsass.exe یک استثناست که در آن در شرایط عادی خاص، از RAM و CPU بیشتری نسبت به سایر مواقع استفاده می کند و تشخیص اینکه lsass.exe واقعی است یا تقلبی دشوار است.
مصرف حافظه برای lsass.exe در هر زمان معین باید کمتر از 10 مگابایت باقی بماند، اما طبیعی است که وقتی بیش از یک کاربر وارد سیستم شدهاند، هنگام نوشتن فایلهای رمزگذاریشده روی حجمهای NTFS، و احتمالاً مواقع دیگری مانند زمانی که کاربر در حال تغییر رمز عبور خود است یا در حین باز کردن یک برنامه زمانی که با اعتبار یک مدیر اجرا می شود.
زمان حذف lsass.exe
اگر lsass.exe از مقدار واضحی از حافظه یا پردازنده استفاده می کند، و به خصوص اگر فایل EXE در پوشه Windows\System32\ قرار ندارد، باید از شر آن خلاص شوید. فقط یک فایل lsass.exe آلوده یا شبیه به همه منابع سیستم را درگیر می کند.
یک مثال از این موارد این است که فایل lsass.exe وانمود می کند که واقعی است تا بتواند ارزهای دیجیتال را استخراج کند. نرمافزاری که استخراج رمزارز را انجام میدهد به منابع بسیار زیادی از سیستم نیاز دارد، بنابراین اگر رایانه شما بهطور غیرمعمول کند است، بهطور تصادفی از کار میافتد، خطاهای عجیبی را نمایش میدهد، یا بهطور غیرقابل توضیحی افزونههای مرورگر یا سایر برنامههایی را که هرگز با آنها موافقت نکردهاید نصب کرده است، میتوانید با خیال راحت فرض کنید که نیاز به تمیز کردن بدافزار خوب است.
چگونه ویروس lsass.exe را حذف کنیم
قبل از یادگیری نحوه حذف عفونت lsass.exe، به یاد داشته باشید که نمی توانید فایل واقعی lsass.exe را حذف کنید، همچنین نمی توانید آن را غیرفعال یا به هر دلیلی خاموش کنید. مراحل زیر برای حذف یک فایل جعلی lsass.exe است. یکی که ویندوز واقعا از آن استفاده نمی کند.
-
فرآیند جعلی lsass.exe را خاموش کنید و سپس فایل را حذف کنید.
می توانید این کار را به چند روش انجام دهید، اما ساده ترین آن این است که روی کار در تب Processes در Task Manager کلیک راست کرده و End task را انتخاب کنید. اگر کار را در آنجا نمیبینید، آن را در زیر تب Details جستجو کنید، روی آن کلیک راست کرده و End process tree را انتخاب کنید.
اگر سعی کنید فرآیند واقعی را پایان دهید، یا با خطایی مواجه می شوید که نمی توانید آن را انجام دهید یا اگر فرآیند خاموش شود، پیامی خواهید دید که ویندوز به زودی به طور خودکار راه اندازی مجدد می شود.
-
وقتی فرآیند را خاموش کردید، پوشه ای را که فایل در آن قرار دارد باز کنید (اگر مطمئن نیستید چگونه مراحل "Where Is It Located؟" را در بالا ببینید) و آن را حذف کنید.
اگر مشکوک هستید که برنامه خاصی مسئول نصب ویروس lsass EXE است، با خیال راحت برنامه را حذف کنید تا ببینید آیا این فرآیند نیز پاک می شود. IObit Uninstaller یک نمونه از یک برنامه حذف نصب قدرتمند است که می تواند این کار را انجام دهد.
- رایانه خود را برای بدافزار lsass.exe با استفاده از برنامهای مانند Malwarebytes یا سایر اسکنرهای ویروس درخواستی اسکن کنید.
-
یک برنامه آنتی ویروس همیشه روشن را نصب کنید. این نه تنها به ارائه یک نگاه دوم علاوه بر Malwarebytes، بلکه همچنین یک روش دائمی برای اطمینان از محافظت از رایانه شما در برابر تهدیدات بعدی مانند این کمک می کند.
اگر مطمئن نیستید به کجا نگاه کنید، لیست ما از بهترین نرم افزارهای آنتی ویروس ویندوز را ببینید.
- از یک ابزار آنتی ویروس قابل بوت برای حذف ویروس lsass.exe استفاده کنید. اگر سایر برنامههای بالا کار نمیکردند، این یک روش عالی است، زیرا وقتی یک برنامه آنتیویروس را قبل از شروع ویندوز اجرا میکنید، میتوانید از فرآیند حذف کامل بدون وارد شدن به مجوز یا مشکلات فایل قفل شده اطمینان حاصل کنید.