Lsass.exe là gì và nó ảnh hưởng đến máy tính của bạn như thế nào?

Lsass.exe (Local Security Authority Process) là một file an toàn của Microsoft được sử dụng trong các hệ điều hành Windows. Nó đóng vai trò rất quan trọng trong các hoạt động bình thường của máy tính Windows và do đó không nên bị xóa, di chuyển hoặc chỉnh sửa theo bất kỳ cách nào.

File lsass.exe được đặt vĩnh viễn trong thư mục \Windows\System32\ và được sử dụng để thực thi các chính sách bảo mật, có nghĩa là nó có liên quan đến những thứ như thay đổi mật khẩu và xác minh đăng nhập.

Mặc dù file lsass.exe cực kỳ quan trọng đối với các hoạt động bình thường của Windows và không nên bị giả mạo, phần mềm độc hại "đóng giả" lsass.exe đã được biết là chiếm quyền điều khiển của file thực hoặc giả vờ là công cụ được xác thực để lừa bạn chạy.

Lsass.exe có phải là virus không?

Lsass.exe có phải là virus không?

Không khó để phát hiện ra file lsass.exe giả, nhưng bạn phải xem xét rất kỹ một vài yếu tố, để đảm bảo rằng bạn đang xử lý một quy trình giả chứ không phải file thật mà Windows cần.

Kiểm tra chính tả

Phương pháp phổ biến nhất được sử dụng bởi phần mềm độc hại để lừa bạn nghĩ rằng lsass.exe không phải virus là đổi tên file thành một cái gì đó tương tự. Vì một thư mục không thể có hai file giống nhau, nên phần tên sẽ được thay đổi một chút.

Dưới đây là một ví dụ:

Isass.exe

Có vẻ rất giống với lsass.exe thực, đúng không? Tuy nhiên, file thực sử dụng chữ thường L (l) trong khi file độc hại sử dụng chữ hoa i (I). Tùy thuộc vào cách hiển thị phông chữ trên máy tính của bạn, chúng có thể trông giống hệt nhau, khiến bạn dễ nhầm lẫn.

Một cách để xác minh xem tên file có sai hay không là sử dụng trình chuyển đổi chữ hoa chữ thường. Sao chép tên file và dán nó vào hộp văn bản tại https://convertcase.net/, sau đó chọn “lower case” để chuyển tất cả thành chữ thường.

Đây sẽ là kết quả nếu file không chuẩn:

isass.exe

Đây là một số lỗi chính tả có mục đích khác, nhằm lừa bạn giữ lại file giả mạo trên máy tính hoặc cho phép nó chạy khi được hỏi:

lsass .exe
lsassa.exe
lsasss.exe
Isassa.exe

lsass.exe nằm ở đâu?

File lsass.exe thật chỉ nằm trong một thư mục, vì vậy nếu bạn tìm thấy nó ở bất kỳ nơi nào khác, file đó rất có thể nguy hiểm và cần bị xóa ngay lập tức.

Đây là nơi lsass.exe được lưu trữ:

C:\Windows\System32\

Nếu nó nằm ở bất cứ nơi nào khác trên máy tính, như trên desktop, trong thư mục Downloads, trên ổ flash, v.v..., hãy coi nó như một mối đe dọa và nhanh chóng loại bỏ (xem thêm cách để làm điều đó bên dưới).

Máy tính của bạn có thể có một số file lsass.exe trong các thư mục C:\Windows\winsxs\. Chúng được sử dụng trong các bản cập nhật Windows và phục vụ như bản sao lưu, nhưng nếu bạn cảm thấy cần phải xóa những file này sau khi quét các file lsass.exe, việc xóa chúng cũng rất an toàn.

Nếu bạn thấy lsass.exe trong Task Manager, thì đây là cách để biết nó thực sự chạy từ đâu:

1. Mở Task Manager.

Có một số cách để làm điều này, nhưng cách dễ nhất là sử dụng phím tắt Ctrl+Shift+Esc. Bạn cũng có thể truy cập nó từ Menu Power User trong Windows 10 hoặc Windows 8, bằng cách nhấn chuột phải vào nút Start.

2. Mở tab Details.

Mẹo: Nếu bạn không thấy tab này, hãy chọn More details ở cuối Task Manager.

3. Nhấp chuột phải vào lsass.exe từ danh sách.

Nhấp chuột phải vào lsass.exe từ danh sách

4. Chọn Open file location, sẽ mở thư mục C:\Windows\System32 và chọn trước file lsass.exe, như bạn có thể thấy bên dưới.

Chọn Open file location, sẽ mở thư mục C:\Windows\System32 và chọn trước file lsass.exe

5. Lặp lại các bước trên cho mỗi file lsass.exe mà bạn thấy trong Task Manager. Chỉ nên có một file được liệt kê, vì vậy nếu bạn thấy có nhiều file bổ sung, tất cả (trừ một file duy nhất) đều là giả mạo.

6. Nếu bạn đã tìm thấy một file lsass.exe giả, hãy xem hướng dẫn của Quantrimang.com để biết cách loại bỏ nó và đảm bảo rằng máy tính của bạn không có bất kỳ worm, spyware (phần mềm gián điệp), virus, v.v… nào qua bài viết: Phải làm gì nếu máy tính của bạn nhiễm virus?

Dung lượng file ra sao?

Thông thường, virus và các malware khác sử dụng file có dung lượng như một chương trình để phân phối bất cứ thứ gì mà phần mềm độc hại đang mang, vì vậy một cách khác để kiểm tra xem lsass.exe là thật hay giả là xem file đó chiếm bao nhiêu dung lượng ổ cứng.

Dung lượng file lsass.exe không nên quá lớn

Ví dụ, file lsass.exe của Windows 10 là 57KB và file Windows 8 là 46KB. Nếu file mà bạn thấy lớn hơn rất nhiều, chẳng hạn như một vài megabyte trở lên, thì rất có thể nó không phải là file thực do Microsoft cung cấp.

Tại sao lsass.exe lại sử dụng nhiều bộ nhớ?

Tại sao lsass.exe lại sử dụng nhiều bộ nhớ?

Task Manager có báo cáo lsass.exe sử dụng CPU hoặc bộ nhớ nhiều không?

Một số tiến trình của Windows không bao giờ sử dụng nhiều bộ nhớ hoặc sức mạnh của bộ xử lý và nếu điều đó xảy ra, nó thường là một dấu hiệu cho thấy có điều gì đó không đúng và có khả năng tiến trình đó là phần mềm độc hại.

Lsass.exe là một ngoại lệ trong những trường hợp thông thường nhất định. Nó sẽ sử dụng nhiều RAM và CPU hơn so với những thời điểm khác, khiến cho việc nhận biết lsass.exe là thật hay giả rất khó khăn.

Việc sử dụng bộ nhớ của lsass.exe nên duy trì dưới 10MB tại bất kỳ thời điểm nào, nhưng nó sẽ tăng đột biến khi có nhiều hơn một người dùng đăng nhập, trong khi file được mã hóa ghi trên volume NTFS và có thể vào những lúc khác, như khi người dùng thay đổi mật khẩu hoặc trong khi mở chương trình mà nó được chạy với quyền admin.

Tuy nhiên, nếu lsass.exe đang sử dụng quá nhiều bộ nhớ hoặc bộ xử lý, và đặc biệt là nếu file EXE không nằm trong thư mục Windows\System32\, bạn cần phải loại bỏ nó. Chỉ một file lsass.exe bị nhiễm hoặc một file trông tương tự cũng có thể “ngốn” tất cả tài nguyên hệ thống.

Một ví dụ về điều này là file lsass.exe giả mạo có thể ẩn nấp để đào tiền ảo. Phần mềm thực hiện hành vi này đòi hỏi một lượng lớn tài nguyên hệ thống, vì vậy nếu máy tính của bạn chậm một cách bất thường, gặp sự cố, hiển thị các lỗi lạ hoặc đã tự cài đặt các add-on trình duyệt hoặc những chương trình khác mà bạn chưa bao giờ đồng ý, thì bạn nên quét hệ thống để loại bỏ hoàn toàn phần mềm độc hại.

Cách loại bỏ virus lsass.exe

Trước khi tìm hiểu cách xóa file lsass.exe giả mạo, hãy nhớ rằng bạn không thể xóa file lsass.exe thật, cũng như không thể vô hiệu hóa hoặc tắt nó vì bất kỳ lý do nào. Những hướng dẫn dưới đây là để xóa file lsass.exe giả mạo mà Windows không thực sự sử dụng.

1. Tắt tiến trình lsass.exe giả mạo và sau đó xóa file.

Bạn có thể lựa chọn một số cách, nhưng cách dễ nhất là nhấp chuột phải vào tác vụ trong tab Processes của Task Manager và chọn End task. Nếu bạn không thấy tác vụ ở đó, hãy tìm nó trong tab Details, nhấp chuột phải vào nó và chọn End process tree.

Tắt tiến trình lsass.exe giả mạo và sau đó xóa file

Chú ý: Nếu bạn cố gắng kết thúc tiến trình lsass.exe thực (mà Windows dựa vào), bạn sẽ gặp phải một lỗi không thể khắc phục hoặc, nếu quá trình này bị tắt, bạn sẽ thấy một thông báo rằng Windows sẽ sớm tự khởi động lại.

Khi bạn đã tắt tiến trình, hãy mở thư mục chứa file (như đã hướng dẫn ở phần trên) và xóa nó.

Khi bạn đã tắt tiến trình, hãy mở thư mục chứa file và xóa nó

Mẹo: Nếu bạn nghi ngờ rằng một chương trình nhất định đã cài đặt virus lsass.exe, vui lòng xóa chương trình để xem liệu điều đó có giúp loại bỏ tiến trình đó không. IObit Uninstaller là một ví dụ về trình gỡ cài đặt chương trình mạnh mẽ có thể thực hiện điều này.

2. Quét máy tính của bạn để tìm phần mềm độc hại lsass.exe bằng chương trình như Malwarebytes hoặc một số trình quét virus theo yêu cầu khác.

3. Cài đặt chương trình diệt virus đáng tin cậy. Điều này sẽ giúp cung cấp không chỉ tùy chọn thứ hai ngoài Malwarebytes, mà còn là phương pháp vĩnh viễn để đảm bảo rằng máy tính của bạn được bảo vệ khỏi các mối đe dọa như thế này trong tương lai.

Xem danh sách các phần mềm diệt virus Windows tốt nhấtQuantrimang.com đã gợi ý, nếu bạn không chắc chắn nên lựa chọn giải pháp nào.

4. Sử dụng công cụ diệt virus có khả năng boot để xóa virus lsass.exe. Đây là một phương pháp hoàn hảo nếu các chương trình khác ở trên không hoạt động, vì khi bạn chạy chương trình diệt virus trước khi Windows khởi động, bạn có thể đảm bảo tiến trình bị xóa triệt để mà không gặp phải sự cố về quyền hoặc file bị khóa nào.

Chúc bạn thực hiện thành công!

Thứ Ba, 30/07/2019 20:50
52 👨 8.666
0 Bình luận
Sắp xếp theo
    ❖ Kiến thức cơ bản