Lsass.exe (Local Security Authority Process) é um arquivo seguro da Microsoft usado em sistemas operacionais Windows. É vital para as operações normais de um computador Windows e, portanto, não deve ser excluído, movido ou editado de forma alguma.
O arquivo está permanentemente localizado na pasta \Windows\System32\ e é usado para impor políticas de segurança, o que significa que está envolvido com coisas como alterações de senha e verificações de login.
Embora o arquivo seja extremamente importante para as operações normais do Windows e não deva ser adulterado, o malware é conhecido por sequestrar o arquivo lsass.exe real ou fingir ser autêntico para enganá-lo e deixá-lo rodar.
Como identificar um arquivo lsass.exe falso
Não é difícil identificar um arquivo lsass.exe falso, mas você precisa observar com muito cuidado algumas coisas para garantir que está lidando com um processo falso e não o real que o Windows precisa.
Verifique a ortografia
O método mais comum usado por malware para induzi-lo a pensar que lsass.exe não é um vírus é renomear o arquivo para algo muito semelhante. Como uma pasta não pode ter dois arquivos com o mesmo nome, ela será alterada levemente.
Aqui está um exemplo:
Isass.exe
Se isso se parece com lsass.exe, você está certo… No entanto, o arquivo real usa um L minúsculo (l) enquanto o malicioso usa um i (I) maiúsculo. Dependendo de como as fontes são exibidas em seu computador, elas podem parecer idênticas, facilitando a confusão entre elas.
Uma maneira de verificar se o nome do arquivo está incorreto é usar um conversor de maiúsculas e minúsculas. Copie o nome do arquivo e cole-o na caixa de texto em Converter maiúsculas e minúsculas e selecione minúsculas para converter tudo em minúsculas. Se o resultado não for genuíno, será escrito assim: isass.exe
Estes são alguns outros erros ortográficos propositais destinados a induzi-lo a deixar o arquivo permanecer no seu computador ou permitir que ele seja executado quando solicitado (olhe atentamente para o primeiro; ele tem um espaço desnecessário):
lsass.exe
lsassa.exe
lsasss.exe
Isassa.exe
Onde fica?
O arquivo lsass.exe real está em apenas uma pasta, portanto, se você encontrá-lo em qualquer outro lugar, provavelmente é perigoso e deve ser excluído imediatamente.
O arquivo real deve ser armazenado na pasta System32:
C:\Windows\System32\
Se estiver em qualquer outro lugar do seu computador, como na área de trabalho, na pasta de downloads, em uma unidade flash etc., trate-o como uma ameaça e remova-o imediatamente (há mais sobre como fazer isso abaixo).
Seu computador pode ter alguns arquivos lsass.exe nas pastas C:\Windows\winsxs\. Eles são usados durante as atualizações do Windows e servem como backups, mas se você sentir a necessidade de removê-los posteriormente ao verificar os arquivos lsass.exe, é seguro excluí-los.
Se você vir lsass.exe no Gerenciador de Tarefas, veja como saber de onde ele está sendo executado:
-
Abra o Gerenciador de Tarefas.
Existem várias maneiras de fazer isso, mas a mais fácil é com o atalho de teclado Ctrl+Shift+Esc. Você também pode acessá-lo no menu do usuário avançado no Windows 11/10/8, clicando com o botão direito do mouse no botão Iniciar.
-
Abra a aba Detalhes.
Se você não vir esta guia, selecione Mais detalhes na parte inferior do Gerenciador de Tarefas.
-
Clique com o botão direito lsass.exe na lista. Escolha o primeiro que você vê.
-
Selecione Abrir local do arquivo, que deve abrir a pasta C:\Windows\System32 e pré-selecionar o arquivo lsass.exe, como você pode ver abaixo.
- Repita os passos acima para cada arquivo lsass.exe que você vê no Gerenciador de Tarefas. Deve haver apenas uma listada, portanto, se você vir instâncias adicionais, todas, exceto uma, são falsas.
-
Você encontrou um arquivo lsass.exe falso? Veja as instruções no botão desta página para saber como excluí-lo e garantir que seu computador esteja limpo de quaisquer worms, spywares, vírus etc. relacionados ao lsass.exe.
Qual é o tamanho do arquivo?
É comum que vírus e outros softwares maliciosos usem um arquivo do tamanho de um programa para entregar o que o malware está carregando, então outra maneira de verificar se lsass.exe é real ou falso é ver quanto espaço o malware arquivo está ocupando o disco rígido.
Clique com o botão direito e abra Propriedades para verificar seu tamanho.
Por exemplo, a versão do arquivo do Windows 11 tem 82 KB em nossa máquina de teste, o arquivo lsass.exe do Windows 10 tem 57 KB e o do Windows 8 tem 46 KB. Se o arquivo que você está vendo for muito maior, como alguns megabytes ou mais, provavelmente não é o arquivo real fornecido pela Microsoft.
Por que o lsass.exe está usando tanta memória?
O Gerenciador de Tarefas está relatando lsass.exe alto uso de CPU ou memória?
Alguns processos do Windows nunca devem usar muita memória ou poder do processador e, quando o fazem, geralmente é um sinal de que algo não está certo e que algo pode ser malware.
Lsass.exe é uma exceção onde sob certas circunstâncias normais, ele usará mais RAM e CPU do que em outras ocasiões, tornando difícil saber se lsass.exe é real ou falso.
O uso de memória para lsass.exe deve permanecer abaixo de 10 MB a qualquer momento, mas é normal que ele aumente quando mais de um usuário estiver conectado, durante gravações de arquivos criptografados em volumes NTFS e possivelmente outras vezes como enquanto um usuário está alterando sua senha ou durante a abertura de um programa quando ele está sendo executado com credenciais de administrador.
Quando remover lsass.exe
Se lsass.exe estiver usando uma quantidade obviamente excessiva de memória ou processador, e especialmente se o arquivo EXE não estiver localizado na pasta Windows\System32\, você precisa se livrar dele. Apenas um arquivo lsass.exe infectado ou um sósia monopolizará todos os recursos do sistema.
Um exemplo disso é se o arquivo lsass.exe está fingindo ser real para que possa minerar criptomoedas. O software que executa mineração de criptografia requer grandes quantidades de recursos do sistema, portanto, se o seu computador for excepcionalmente lento, travar aleatoriamente, exibir erros estranhos ou instalou inexplicavelmente complementos de navegador ou outros programas com os quais você nunca concordou, você pode assumir com segurança que você precisa de uma boa limpeza de malware.
Como remover um vírus lsass.exe
Antes de aprender como excluir uma infecção lsass.exe, lembre-se de que você não pode excluir o arquivo lsass.exe real, nem pode desativá-lo ou desligá-lo por qualquer motivo. As etapas abaixo são para remover um arquivo lsass.exe falso; um que o Windows não está realmente usando.
-
Feche o processo lsass.exe falso e exclua o arquivo.
Você pode fazer isso de várias maneiras, mas a mais fácil é clicar com o botão direito do mouse na tarefa na guia Processes do Gerenciador de Tarefas e selecionar Finalizar tarefa Se você não vir a tarefa lá, procure-a na guia Details, clique com o botão direito do mouse e escolha End process tree
Se você tentar encerrar o processo original, você receberá um erro que não pode ou, se o processo for encerrado, você verá uma mensagem informando que o Windows será reiniciado automaticamente em breve.
-
Depois de encerrar o processo, abra a pasta onde o arquivo está localizado (consulte as etapas "Onde está localizado?" acima se não tiver certeza de como) e exclua-o.
Se você suspeitar que um determinado programa é responsável pela instalação do vírus lsass EXE, sinta-se à vontade para remover o programa para ver se isso também elimina o processo. O IObit Uninstaller é um exemplo de um poderoso desinstalador de programa que pode fazer isso.
- Procure malware lsass.exe em seu computador usando um programa como Malwarebytes ou algum outro scanner de vírus sob demanda.
-
Instale um programa antivírus sempre ativo. Isso ajudará a fornecer não apenas uma segunda olhada além do Malwarebytes, mas também um método permanente para garantir que seu computador esteja protegido contra ameaças futuras como esta.
Veja nossa lista dos melhores softwares antivírus para Windows se não souber onde procurar.
- Use uma ferramenta antivírus inicializável para excluir o vírus lsass.exe. Este é um método perfeito se os outros programas acima não funcionarem, porque quando você executa um programa antivírus antes do Windows iniciar, você pode garantir um processo de remoção completo sem problemas de permissão ou arquivos bloqueados.