Jump to content
Sign in to follow this  
Coolsero

W2K Lsass.exe Problem ?

Recommended Posts

Hallo Leute,

 

Hab nen großes Problem !!

Alles fing damit an das ich das nicht richtig funzende Notebook meines Freindes mit zu mir genommen habe und es dort an Netz angeschlossen habe um ins Internet u gehen und die neusten Updates von Mircrosoft zu Downloaden !!

 

Jetzt habe ich das Problem das mein Server ( Windows 2000 SP4 )

Dauernt mit dem Fehler Lsass.exe nach 30 Sek Heruntergefahren wird !!

 

Erst habe ich gedacht das ich mir den Sasser eingefangen habe obwohl ich den Patchdrauf habe !! Also habe ich meinen Norton Aktualisiert und suchen lasse !! Leider nichts gefubnden !!

 

Dann habe ich mir das Tools FixBlaster von Symantec Heruntergeladen und laufen lassen, aber leider auch nix !!

 

Was kann es den noch für ein Problem sein ???

 

Danke Coolsero

Share this post


Link to post

Hallo noch mal,

 

Komisch ist noch was ich gerade festgestellt habe, nach dem der Server neu gestartet ist kann ich nicht mehr via Terminal Sesion auf ihn zugreifen !!!

 

Gruß Coolsero

Share this post


Link to post

Hi,

 

Dir fehlt wohl der entsprechende Patch. Am besten Du lädst ihn dir mit nem anderen Rechner runter und installierst ihn dann oder Du nutzt eine PFW.

Der Absturz des LSASS ist nicht mit einer Infektion gleichzusetzen. Findet der Virus den richtigen Einsprungpunkt nicht, stürzt LSASS ab ohne das Du infiziert wirst. Dann findet natürlich auch kein AV-Programm was.

Das Herunterfahren kannst Du mit shutdown - a in der Kommandozeile abbrechen.

 

Tschau,

 

Sigma

Share this post


Link to post

Hi,

 

macht er denn auf die selbe weise zu wie bei sasser?

 

wenn ja brich das ab unter ausführen dann cmd dann shutdown-a

Bist dann wahrscheinlich aber ohne admin- rechte

 

Dann hast du aber die möglichkeit, nen wormcatcher und antivir drüberlaufen zu lassen.

deaktiviere aber vorher die systemwiederherstellung, sonst findet der nicht alles.

 

Cat

Share this post


Link to post

Hi ,

ich hatte das gleiche Problem, alle Patches und securies drauf und trotzdem dieses ****e runterfahren. Ich habe das ganze mit der stinger.exe von nai weg bekommen, war doch ein wurm (irgendwas mit@w32 keine Ahnung). Danach war ruhe. SYSTEM wiederherstellen, vorher deaktivieren, sonst findet auch der stinger nichts.

Viel Glück!!!!

Share this post


Link to post

@Coolsero

 

Hi, würde mich sehr interessieren was aus Deinem Problem geworden ist. Ich habe bei einem Kunden exakt die gleichen Auswirkungen erleben dürfen - incl. Terminalservices. Hier im Board sind einige Anfragen, die scheinbar auch von dem gleichen Virus - Wurm - was auch immer befallen sind, aber keiner schrieb am Ende dieses oder jenes war es.

 

Gruss

 

Karlie

Share this post


Link to post

@velius

 

Hi Velius,

 

danke für die Begrüssung.

Mein Wurm (oder so) - Problem geht ja etwas weiter:

 

auf der Maschine (W2K-Server) laufen zeitweise 2 Oracle817 Instancen und zusätzlich Terminalservices zum administrativen Gebrauch.

Nach der lsass-Attacke kann ich mich nicht mehr an den Terminaldiensten anmelden und beide Oracleinstancen waren breit.

Die Oracle reparieren war kein Problem aber der Terminalzugriff.

Im Ereignisprotokoll steht, dass der Server sich nicht mit DCOM registrieren kann.

Natürlich haben diverse Scanversuche nichts gefunden (siehe Sigmas Beitrag).

 

Es wäre einfach schön gewesen, wenn Coolsero eine Lösung gefunden hätte, so suchen wir halt gemeinsam weiter.

 

Gruss Karlie

Share this post


Link to post

Hi Karlie

 

Wenn du den Artikel aufmerksam gelesen hättest, dann wüsstest du, wie es zu lösen ist.

 

Ausserdem, wenn der LSASS nicht läuft (heisst im Übrigen Local Security Authority Subsystem Service), dann können sich auch keine Benutzer mehr anmelden. Deswegen das Prob. mit dem Teminalservice, da man sich auch da, ganz normal anmelden (auch "authentifizieren" genannt) muss.

 

 

Bei Fragen, einfach fragen......

 

 

Hier nich die Definition vom Net Logon Service, der ohne LSASS nicht läuft:

 

Net Logon

 

Service Name: Netlogon

 

Executable Name: lsass.exe

 

Log On As: LocalSystem

 

Description: Maintains a secure channel between your computer and the domain controller for authenticating users and services. It passes the user's credentials through a secure channel to a domain controller and returns the domain security identifiers and user rights for the user. This is commonly referred to as pass-through authentication. Net Logon is started automatically when the computer is a member of a domain. In Windows 2000 Server family and Windows Server family, the Net Logon service publishes service resource records in the Domain Name System (DNS and uses DNS to resolve names to the Internet Protocol (IP) addresses of domain controllers.

 

Net Logon also implements the replication protocol based on RPC for synchronizing Microsoft Windows NT version 4.0 backupdomain controllers (BDCs) and the primary domain controller (PDC).

 

If this service is stopped or disabled, the computer may not be able to authenticate users and services, the domain controller cannot register DNS records and any attempt to join a machine to a domain will fail. Specifically, it might deny NTLM authentication requests and, in case of a domain controller, it will not be discoverable by client computers.

 

Available on: Windows XP Home, Windows XP Professional; Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; Windows Server 2003, Datacenter Edition and Windows Server 2003, Web Edition.

 

Installed through: Default operating system installation

 

Startup type: Manual

 

Service status: Stopped (until a domain is joined)

 

This service depends on the following system components:

 

Workstation

 

The following system components depend on this service:

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...