Quá trình “lsass.exe” rất quan trọng đối với hoạt động bình thường của Windows và không được sửa đổi theo bất kỳ cách nào. Tuy nhiên, phần mềm độc hại đã được biết là lây nhiễm và thậm chí phát triển mạnh trong các tệp hợp pháp hoặc giả dạng tệp hợp pháp nhằm đánh lừa người sử dụng cho phép phần mềm này thực thi. Bài viết này thảo luận về chức năng của quy trình “Isass.exe” và chỉ cho bạn cách kiểm tra xem virus đã lây nhiễm nó hay chưa.
lsass.exe là gì và nó làm gì?
“lsass.exe” là một tệp an toàn trong Windows, đóng vai trò quan trọng trong hoạt động hàng ngày của PC của bạn. Nó được sử dụng để thực thi các chính sách bảo mật và liên quan đến thay đổi mật khẩu và xác minh đăng nhập. “Isass.exe” lưu trữ thông tin đăng nhập trong bộ nhớ để cho phép đăng nhập một lần, trong đó người dùng không phải nhập lại thông tin đăng nhập cho các dịch vụ bên trong miền,
Dịch vụ này cũng hoạt động trên các máy tính của bộ điều khiển miền(domain controller). Trên máy chủ, Isass.exe chịu trách nhiệm lưu trữ hàng nhìn mật khẩu và ID cũng như giám sát truy cập tài nguyên. Do đó, bạn sẽ nhận thấy rằng quy trình này sử dụng nhiều tài nguyên CPU,RAM và IO hơn trên domain controller.
Tuy nhiên, nếu quá trình này sử dụng quá nhiều RAM trên máy tính của bạn, thì vẫn rất có thể là quy trình này đã bị nhiễm virus là tương đối cao. Phần mềm độc hại thường đổi tên tệp thành tên nào đó giống như tên cũ để đánh lừa “Isass.exe” không phải là virus. May mắn rằng, có nhiều cách để phân biệt một quy trình Windows có phải là chính thống hay không.
1. Kiểm tra tên của nó
Quy trình “Isass.exe” độc hại có thể sử dụng chữ hoa “I” (I), trong khi quy trình chính hãng sử chữ thường “L” (l). Các tên có thể giống nhau, tùy thuộc vào cách máy tính của bạn hiển thị chúng, khiến bạn dễ nhầm lần giữa tên này với tên khác.
Có các biến thể khác của quy trình “lsass.exe” chính hãng và bạn cũng nên chú ý đến chúng:
- lsass.exe
- lsassa.exe
- lsasss.exe
- lsassa.exe
2. Xem vị trí của nó
Tệp “lsass.exe” thực sự chỉ được tìm thấy ở một nơi: “C:\Windows\System32\”. Nếu bạn thấy nó ở vị trí khác, nó chắc chắn là phần mềm độc hại và cần xóa nó ngay lập tức.
Bạn có thể tìm ra nơi tiến trình đang chạy nếu bạn phát hiện ra nó trong Task Manager:
- Mở Task Manager bằng cách nhấn Ctrl + Alt + Del.
- Trong Processes, hãy cuộn xuống cho đến khi bạn tìm thấy quy trình lsass, nhấp chuột phải vào quy trình đó và chọn Open file location. Thao tác này sẽ mở thưc mục “C:\Windows\System32\”.
3. Kiểm tra kích thước tệp
Vì virus và phần mềm độc hại khác thường sử dụng tệp có kích thước chương trình để phân phối phần mềm độc hại, bạn có thể xác định xem “lsass.exe” có phải là services thực hay không bằng cách xem tệp chiếm bao nhiêu dung lượng.
Với phiên bản Windows 11 của tệp là 82KB, trong khi phiên bản Windows 10 phải là 57KB. Đối với bản Windows 8, tệp chỉ có 46KB. Nếu quy trình bạn đang xem lớn hơn rất nhiều, chẳng hạn vài Gigabyte trở lên, thì đó chắc chắn là phần mềm độc hại.
Làm cách nào để khắc phục sự cố sử dụng RAM cao của lsass.exe?
Nếu tệp “lsass.exe” chính thống đang ngồn tài nguyên RAM, bạn nên thử các cách sau:
- Thực hiện quét virus.
- Sử dụng các lệnh DISM và SFC trong PowerShell.
- Cập nhật Windows.
- Thực hiện khôi phục hệ thống.
- Xóa tệp virus “lsass.exe”.
Bạn không nên vô hiệu hóa quá trình lsass.exe
Khởi chạy lsass.exe thông báo cho các dịch vụ khác rằng Security Accounts Manager (SAM) đã sẵn sàng nhận yêu cầu. Vô hiệu hóa quy trình này có nghĩa là các dịch vụ hệ thống sẽ không nhận được thông báo khi SAM sẵn sàng, điều này có thể khiến chúng không khởi động đúng cách.
Cộng Đồng