Проблемы с файлами Lsass.exe и sys.exe

[Артур Ахметшин]

Доброго времени суток.

Столкнулся с одной проблемой, связанной с исполнительными файлами Lsass.exe и  sys.exe

 

Где-то с пару недель назад, начал сталкиваться с тем, что мои фаерволл Comodo, начал придираться к файлу Lsass.exe. 

Почитал в интернете, что для этого файла свойственно возбуждать интерес к антивирусам, ввиду его специфики работы,  с транзитом данных из интернета.

 

Но вот с неделю назад, столкнулся со случаем "Критическая ошибка системы, перезагрузка через минуту".

После пары-тройки случаев, решил найти источник проблемы.

Это оказалась блокировка Фаерволлом парочки файлов, указанных выше.

 

Я не новичок в вопросах борьбы с вирусами и рекламным ПО. Много лет, сталкиваясь с таким, бывало, что вычищал вручную, не надеясь на 100% работу антивирусов и прочих защитных утилит.

Поэтому, я зашел в папку "System32" и  посмотрел даты создания файлов, точную информацию к ним.

У файла Lsass  не было проблем с подлинностью. Стояла дата изменения в 2015 году, подпись Майкрософта.

 

А вот у sys.exe -  почему-то была свежая дата, буквально с пару дней "изменения". И в разделе "Корпорация", стояли китайские иероглифы.

Я скопировал файл в отдельную папку, открыл его программой, для просмотра EXE файлов. Увидел кучу иконок.

Это основная иконка файла Sys.exe

Внутри же, увидел кучу элементов интерфейса, которые очень были похожи на те, что используются в Аудио и Видеоплеерах. Стрелочки, квадратики, знаки паузы.

Поискал информацию по "поиску картинок"  - набрел на китайский сайт, который рекламировал "Программное обеспечение к ПК", и уверенность в том, что это был медийный софт, только возросла.

 

Отключил стандартный антивирус Виндоус, поставил Касперского Free.   Ну он начал "лечить" этот sys.exe, удалениями.

Но когда работает интернет, происходит следующее, если верить Фаерволлу Комодо:

1) LSASS.EXE откуда-то воссоздает процесс  sys.exe (вес 1.5 мб с копейками). Возрождает файл, на прежнем месте. С теми же китайскими иероглифами, и сомнительной репутацией,что и у копии, до удаления.

2) Затем, получается, что уже sys.exe пытается начать "активность", и натыкается на защиту ФВ и АВ. Удаляется.

3)Периодически, происходит  крах системы. Через сообщение о "Критической ошибке" или реже, через BSOD.

 

Учитывая, что файл Lsass.exe постоянно активен, я так понял, что очень важен для функционирования ОС. И заменить его, скачанным из интернета, во время работы ОС, как бы не представляется возможным.

Копий этого файла в папке System32  - нет, написанных через "И" и тд.

 

Есть ли возможность проследить и нейтрализовать источник, отвечающий за восстановление этого "sys.exe", с сомнительной репутацией "Китайского ПО"?

 

(Windows 7 Домашняя 32бита SP1)

 

[Sandor]

Здравствуйте!

 

Если нужна помощь в удалении, выполните Порядок оформления запроса о помощи.

Если же просто "поговорить", перенесем тему в подходящий раздел.