Was ist lsass.exe? Sollte man es entfernen?

lsass.exe — eine Systemdatei, die als Tarnung für Schadsoftware dienen könnte

lsass.exe ist ein legitimer Windows-Prozess, der als Local Security Authority Process beschrieben wird. Ursprünglich befindet sich die Datei lsass.exe im Verzeichnis „C:\WINDOWS\SYSTEM32\“ und kann nicht über den Task-Manager beendet werden. Wenn man den Task beendet, kann dies verschiedene computerbezogene Probleme als Folge haben. Es ist daher davon abzuraten. Allerdings kann die Datei auch dazu verwendet werden, Schadsoftware zu tarnen. Es ist bekannt, dass ein Prozess mit dem gleichen Dateinamen dazu diente, Kryptowährungen zu minen. Der Miner führt hierbei den Prozess lsass.exe im Hintergrund des Systems aus und gibt vor eine legitime Programmdatei zu sein. In der Zwischenzeit missbraucht er die Systemressourcen, um Kryptowährungen zu minen. Um sicherzustellen, dass lsass.exe nicht bösartig ist, wird dringend eine Überprüfung empfohlen.

Die legitime Version der Datei ist eine kritische Systemkomponente, die nicht entfernt werden sollte, da sie für die Verwaltung wichtiger Aufgaben verantwortlich ist, wie z.B.:

• Durchsetzung von Sicherheitsrichtlinien,
• Verifizierung der Benutzeranmeldung auf dem Windows-Computer oder -Server,
• Abwicklung von Passwortänderungen,
• Erstellen von Zugriffstoken.

Wenn Sie die Datei jedoch in einem anderen Verzeichnis als C:\Windows\System32 finden oder wenn Sie feststellen, dass der Prozess die CPU sehr auslastet, könnte es ein dafür Zeichen sein, dass der Computer mit Schadsoftware infiziert ist. Leider verwenden Cyberkriminelle oft die Namen legitimer Dateien, um ihre Schadsoftware auf dem Computer zu installieren und auszuführen. Es ist daher wichtig, dass man den Ursprung der Datei kennt und im Falle des Falles, lsass.exe vom Computer entfernt.

Es gab einige Fälle, in denen sich lsass.exe als Miner entpuppt hat. Solche Bedrohungen verbreiten sich über verschiedene Methoden und der Hauptzweck der Schadsoftware ist es, ihren Prozess im Hintergrund auszuführen und eine legitime Datei zu imitieren. Der legitime Prozess ist in diesem Fall der lokale Windows-Sicherheitsauthentifizierungsprozess (Local Security Authority Process), die Imitation dieses Prozesses macht jedoch nichts dergleichen. 

Der Virus lsass.exe zielt darauf ab, digitale Währungen auf dem infizierten PC zu minen. Während dieses Prozesses wird die CPU und GPU erheblich überlastet. Aus diesem Grund reagiert der Computer nicht mehr und stürzt von Zeit zu Zeit ab. Aufgrund dieser bösartigen Aktivitäten kann es sogar vorkommen, dass das Gerät Fehlermeldungen oder Bluescreens anzeigt. 

Es wurde festgestellt, dass Kriminelle den Namen lsass.exe imitierten, indem sie den Kleinbuchstaben „l“ durch ein großes „I“ ersetzten. Auf diese Weise können unaufmerksame Computernutzer ziemlich leicht überlistet werden. Eine Infizierung ist wahrscheinlich, wenn Sie folgende Symptome bemerkt haben:

• Der Computer ist allgemein träge,
• Programme stürzen ab oder reagieren nicht,
• erhöhte Anzahl von Anzeigen,
• Browser leitet zu fragwürdigen Seiten weiter,
• Fehlermeldungen auf dem Bildschirm,
• Installation von unbekannten Programmen oder Browsererweiterungen.

Möglicherweise haben Sie sich also einen Virus eingefangen, der stillschweigend im Hintergrund arbeitet und schädliche Aktionen ausführt. Obwohl der echte Prozess absolut sicher ist, können die oben genannten Probleme durch eine korrupte Version der Datei verursacht werden. Vielleicht müssen Sie aber auch einfach nur Ihre Software oder Ihre Treiber aktualisieren, und die Probleme sind behoben. Sicherheitshalber sollten Sie jedoch eine vollständige Systemprüfung mit einer seriösen Anti-Malware durchführen. Wir empfehlen die Verwendung von FortectIntego und Malwarebytes. Nach der Überprüfung können Sie ggf. mit der Entfernung von lsass.exe fortfahren.

Bereits ein einziger Klick auf einen infizierten E-Mail-Anhang kann zu einer Infizierung führen

Die echte Datei lsass.exe wird zusammen mit dem Betriebssystem Windows installiert. Die bösartige Datei kann auf verschiedene Weisen in den Computer gelangen, wie z.B.:

• Wenn man einen bösartigen E-Mail-Anhang öffnet;
• wenn eine virenverseuchte Anzeige zur Installation gefälschter Software oder Updates überlistet;
• wenn man illegale oder gecrackte Inhalte herunterlädt;
• wenn man auf unsichere Webseiten surft.

Laden Sie also keine suspekten E-Mail-Anhänge aus dem Spamordner herunter bzw. öffnen Sie sie nicht. Der Ordner ist voll von unnützen Mails und oftmals sind sie infiziert. Werbung oder Weiterleitungen sind zwar nicht ganz so gefährlich, aber trotzdem können Miner dahinterstecken; und diese sind nicht für das System gut.

Es wird daher geraten, beim Internetsurfen und insbesondere beim Herunterladen von Inhalten aus unbekannten Quellen vorsichtig zu sein. Laden Sie Software und Updates immer nur von den vertrauenswürdigen Herstellerseiten herunter. Überstürzen Sie außerdem nicht die Installationsprozesse und achten Sie auf unerwünschte Zusätze.

Entfernen Sie lsass.exe, wenn es als bösartig erkannt wird

Bevor Sie mit dem Entfernen von lsass.exe fortfahren, müssen Sie sicherstellen, dass die Datei tatsächlich bösartig ist. Dies lässt sich bewerkstelligen, indem Sie das System mit einer Anti-Malware wie FortectIntego oder Malwarebytes scannen. Wenn Sie versehentlich eine legitime Systemdatei löschen, wird die Funktionstüchtigkeit des Computers gestört. Infolgedessen müssen Sie sich mit diversen computerbezogenen Problemen auseinandersetzen.

Die Sicherheitssoftware überprüft das System und entfernt bei Bedarf lsass.exe zusammen mit anderen verdächtigen Komponenten. Auf diese Weise können Sie die Infizierung diagnostizieren und ggf. entfernen. Halten Sie Ihr Antivirenprogramm und Ihre Anti-Malware immer auf den neuesten Stand, damit Sie in Zukunft eine wiederholte Infizierung vermeiden können.