Перейти к содержанию

Системный процесс Lsass.exe

Dzon

Автор Dzon
в Компьютерная помощь

 Поделиться

Рекомендуемые сообщения

Dzon

Dzon

Опубликовано
Опубликовано

1. Выгрузить системный процесс Lsass.exe можно из памяти? :)

Dzon

Dzon

Опубликовано
  • Автор
Опубликовано
Нет.

 

 

 

 

1. Есть программы,которые могут завершить любой системный процесс включая и этот. :)

C. Tantin

C. Tantin

Опубликовано
Опубликовано
1. Есть программы,которые могут завершить любой системный процесс включая и этот.
... после чего система не сможет корректно работать :)
Dzon

Dzon

Опубликовано
  • Автор
Опубликовано
... после чего система не сможет корректно работать :appl:

 

 

 

1.Но ведь есть вирусы,которые только и занимаються ,что постоянно выгружают lsass.exe.

2.Наверное существуют и программы,которые могут завершить любой процесс. :)

C. Tantin

C. Tantin

Опубликовано
Опубликовано

1. Есть. Но если работать в системе из-под аккаунта без прав админа - система такой вирус пошлёт куда подальше.

2. Существуют. Но.

а) им нужны права админа

б) это нарушает нормальное функционирование системы (это относится ко всем процессам, которые нельзя завершить из ДЗ)

в) у системы есть защита от этого - повторный запуск или вырубание системы

г) такая защита (выключение) обходится

  • Согласен 1
Dzon

Dzon

Опубликовано
  • Автор
Опубликовано
1. Есть. Но если работать в системе из-под аккаунта без прав админа - система такой вирус пошлёт куда подальше.

2. Существуют. Но.

а) им нужны права админа

б) это нарушает нормальное функционирование системы (это относится ко всем процессам, которые нельзя завершить из ДЗ)

в) у системы есть защита от этого - повторный запуск или вырубание системы

г) такая защита (выключение) обходится

 

 

1.После выгрузки процесса lsass.exe файлы реестра можно удалять или копировать или Windows не даст это сделать? :)

2. + 1

C. Tantin

C. Tantin

Опубликовано
Опубликовано
1.После выгрузки процесса lsass.exe файлы реестра можно удалять или копировать или Windows не даст это сделать?
Нет, разделы реестра блокируются ядром, а не службами, вырубание службы "Диспетчер учётных записей безопасности" не поможет. (Кстати, без перезагрузки её запустить потом либо невозможно, либо очень проблематично. Вырубание системы при выгрузке этого процесса "лечится" командой "shutdown -a" с консоли - на это есть минута).
Dzon

Dzon

Опубликовано
  • Автор
Опубликовано
Нет, разделы реестра блокируются ядром, а не службами, вырубание службы "Диспетчер учётных записей безопасности" не поможет. (Кстати, без перезагрузки её запустить потом либо невозможно, либо очень проблематично. Вырубание системы при выгрузке этого процесса "лечится" командой "shutdown -a" с консоли - на это есть минута).

 

 

1. Вывод - значить есть одна минута в течении которой можно удалять или копировать файлы реестра. :)

C. Tantin

C. Tantin

Опубликовано
Опубликовано

Dzon, не, это минута до выключения при остановке сервиса, а

разделы реестра блокируются ядром, а не службами, вырубание службы "Диспетчер учётных записей безопасности" не поможет.
т.е. вырубай-не вырубай lsass, доступа к самим файлам реестра не получить.
Dzon

Dzon

Опубликовано
  • Автор
Опубликовано
Dzon, не, это минута до выключения при остановке сервиса, а т.е. вырубай-не вырубай lsass, доступа к самим файлам реестра не получить.

 

 

 

 

1. Тему можно закрыть. :)

GanK

GanK

Опубликовано
Опубликовано
т.е. вырубай-не вырубай lsass, доступа к самим файлам реестра не получить.

получится в последние 5 секунд

C. Tantin

C. Tantin

Опубликовано
Опубликовано
получится в последние 5 секунд
в смысле? как это? скрины в студию! :)
Dzon

Dzon

Опубликовано
  • Автор
Опубликовано (изменено)
получится в последние 5 секунд

 

 

 

 

1. Наверное Вы имели в виду в течении 1 минуты, 5 секунд слишком мало. :appl:

2. Была просьба тему закрыть. :)

Изменено пользователем Dzon
C. Tantin

C. Tantin

Опубликовано
Опубликовано

Тема себя исчерпала, но ждём, что GanK имел ввиду. Ибо я не понял, и на ноуте воспроизвести не удалось. Ни в последние 5 секунд, ни в последние 3 секунды файлы не копировались. (копировал %systemroot%\system32\config\sam, раз про него шла речь).

 

Не будет ответа или продолжения обсуждения - всенепременно закрою.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • scaramuccia
      Системное администрирование
      Автор scaramuccia
      Добрый день. Нашему подразделению предоставляется лицензионный ключ Касперского. Я установил KSC, сделал его подчиненным указанному нам серверу, с которого распространяется ключ и политика, и к которому напрямую у меня нет доступа. Все работает и управляется прекрасно. Но многие полезные функции KSC мне недоступны из-за отсутствия лицензии на системное администрирование. Позволяет ли мне данная лицензия использовать системное администрирование? Или ее надо приобретать отдельно для своего сервера?

    • Ekaterinaa
      Повреждены/переименованы системные службы
      Автор Ekaterinaa
      Добрый день!
      Некоторое время назад появилась проблема - стали долго запускаться значки на панели задач при запуске компьютера, через пару минут появлялись. Также стал долго грузиться профиль.
      Вчера в какой-то момент стали все программы тормозить. Отключила из автозагрузки все ненужные программы, оставила только Razer Synapse 3 (для работы макросов на мышке) и 7+ Taskbar Tweaker для разделения иконок на панели задач.
      После проверки Kaspersky Free нашел какой-то вирус, вылечил с перезагрузкой компьютера, но проблема не исчезла. 
      Полезла в журнал событий, там показывались ошибки с UsoSvc, BITS, wuauserv_bkp. Центр обновления не работал
      Скачала службы BITS, UsoSvc, wuauserv, dosvc. Заработал цент обновления (по крайней мере он теперь загружается и хоть что-то показывает), значки на панели задач запускаются сразу при включении пк, в журнале событий ошибок нет. Но профиль также грузится небыстро. И в службах остались висеть с названием _bkp.

      Kaspersky Free ничего не нашел, Kaspersky Virus Removal Tool также только указывает на запрет (используется для работы дискорда и ютуба, проблем ранее не возникало с ним). 

       
      Также есть службы, которые после перезапуска пк меняют приписку в названии в конце, пример ниже (не все службы, их с припиской больше), что кажется странным.

       
      Прикрепляю логи с FRST и с AutoLogger.
      Addition.txt
      FRST.txt
      CollectionLog-2025.07.26-11.58.zip
       
      Помогите, пожалуйста, удалить поврежденные службы и все следы после вируса.
       
    • niktnt
      Зашифрованы BitLocker не системные диски
      Автор niktnt
      Добрый день.
      Шифровальщик загрузился на сервер из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\.
      На предположительном компьютере-источнике зашифрован и диск C:\
      Файлы о выкупе продолжают создаваться при старте системы.
      Addition.txt FRST.txt virus_bitlocker.zip
    • sencity72
      [РЕШЕНО] вирус который маскируется под системный процесс Телефон Microsoft Windows
      Автор sencity72
      Добрый день, поймал вирус - силно загружает энергопотребление - ноутбук работает на максимальном охлождении постоянно - ранее небыло видно этого процесса в диспетчере задач, а теперь он на самом верху -  Телефон Microsoft Windows, при попытке отключить процесс - система уходит в синий экран
      CollectionLog-2025.04.25-19.02.zip
    • Garguha
      [РЕШЕНО] Два dwm.exe процесса один из которых скрытый майнер
      Автор Garguha
      Заметил что в простое происходит сильный нагрев и съедается около 20% процессора. После поисков проблем обнаружил 2 dwm.exe процесса один из которых и берёт на себя нагрузку. После прочтения нескольких статей форума не смог лично разобраться в решении проблемы.
      CollectionLog-2025.07.18-20.40.zip
×
×
  • Создать...