Jump to content

W2K Lsass.exe Problem ?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

Hab nen großes Problem !!

Alles fing damit an das ich das nicht richtig funzende Notebook meines Freindes mit zu mir genommen habe und es dort an Netz angeschlossen habe um ins Internet u gehen und die neusten Updates von Mircrosoft zu Downloaden !!

 

Jetzt habe ich das Problem das mein Server ( Windows 2000 SP4 )

Dauernt mit dem Fehler Lsass.exe nach 30 Sek Heruntergefahren wird !!

 

Erst habe ich gedacht das ich mir den Sasser eingefangen habe obwohl ich den Patchdrauf habe !! Also habe ich meinen Norton Aktualisiert und suchen lasse !! Leider nichts gefubnden !!

 

Dann habe ich mir das Tools FixBlaster von Symantec Heruntergeladen und laufen lassen, aber leider auch nix !!

 

Was kann es den noch für ein Problem sein ???

 

Danke Coolsero

Link zu diesem Kommentar

Hi,

 

Dir fehlt wohl der entsprechende Patch. Am besten Du lädst ihn dir mit nem anderen Rechner runter und installierst ihn dann oder Du nutzt eine PFW.

Der Absturz des LSASS ist nicht mit einer Infektion gleichzusetzen. Findet der Virus den richtigen Einsprungpunkt nicht, stürzt LSASS ab ohne das Du infiziert wirst. Dann findet natürlich auch kein AV-Programm was.

Das Herunterfahren kannst Du mit shutdown - a in der Kommandozeile abbrechen.

 

Tschau,

 

Sigma

Link zu diesem Kommentar

Hi,

 

macht er denn auf die selbe weise zu wie bei sasser?

 

wenn ja brich das ab unter ausführen dann cmd dann shutdown-a

Bist dann wahrscheinlich aber ohne admin- rechte

 

Dann hast du aber die möglichkeit, nen wormcatcher und antivir drüberlaufen zu lassen.

deaktiviere aber vorher die systemwiederherstellung, sonst findet der nicht alles.

 

Cat

Link zu diesem Kommentar
  • 4 Wochen später...

@Coolsero

 

Hi, würde mich sehr interessieren was aus Deinem Problem geworden ist. Ich habe bei einem Kunden exakt die gleichen Auswirkungen erleben dürfen - incl. Terminalservices. Hier im Board sind einige Anfragen, die scheinbar auch von dem gleichen Virus - Wurm - was auch immer befallen sind, aber keiner schrieb am Ende dieses oder jenes war es.

 

Gruss

 

Karlie

Link zu diesem Kommentar

@velius

 

Hi Velius,

 

danke für die Begrüssung.

Mein Wurm (oder so) - Problem geht ja etwas weiter:

 

auf der Maschine (W2K-Server) laufen zeitweise 2 Oracle817 Instancen und zusätzlich Terminalservices zum administrativen Gebrauch.

Nach der lsass-Attacke kann ich mich nicht mehr an den Terminaldiensten anmelden und beide Oracleinstancen waren breit.

Die Oracle reparieren war kein Problem aber der Terminalzugriff.

Im Ereignisprotokoll steht, dass der Server sich nicht mit DCOM registrieren kann.

Natürlich haben diverse Scanversuche nichts gefunden (siehe Sigmas Beitrag).

 

Es wäre einfach schön gewesen, wenn Coolsero eine Lösung gefunden hätte, so suchen wir halt gemeinsam weiter.

 

Gruss Karlie

Link zu diesem Kommentar

Hi Karlie

 

Wenn du den Artikel aufmerksam gelesen hättest, dann wüsstest du, wie es zu lösen ist.

 

Ausserdem, wenn der LSASS nicht läuft (heisst im Übrigen Local Security Authority Subsystem Service), dann können sich auch keine Benutzer mehr anmelden. Deswegen das Prob. mit dem Teminalservice, da man sich auch da, ganz normal anmelden (auch "authentifizieren" genannt) muss.

 

 

Bei Fragen, einfach fragen......

 

 

Hier nich die Definition vom Net Logon Service, der ohne LSASS nicht läuft:

 

Net Logon

 

Service Name: Netlogon

 

Executable Name: lsass.exe

 

Log On As: LocalSystem

 

Description: Maintains a secure channel between your computer and the domain controller for authenticating users and services. It passes the user's credentials through a secure channel to a domain controller and returns the domain security identifiers and user rights for the user. This is commonly referred to as pass-through authentication. Net Logon is started automatically when the computer is a member of a domain. In Windows 2000 Server family and Windows Server family, the Net Logon service publishes service resource records in the Domain Name System (DNS and uses DNS to resolve names to the Internet Protocol (IP) addresses of domain controllers.

 

Net Logon also implements the replication protocol based on RPC for synchronizing Microsoft Windows NT version 4.0 backupdomain controllers (BDCs) and the primary domain controller (PDC).

 

If this service is stopped or disabled, the computer may not be able to authenticate users and services, the domain controller cannot register DNS records and any attempt to join a machine to a domain will fail. Specifically, it might deny NTLM authentication requests and, in case of a domain controller, it will not be discoverable by client computers.

 

Available on: Windows XP Home, Windows XP Professional; Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; Windows Server 2003, Datacenter Edition and Windows Server 2003, Web Edition.

 

Installed through: Default operating system installation

 

Startup type: Manual

 

Service status: Stopped (until a domain is joined)

 

This service depends on the following system components:

 

Workstation

 

The following system components depend on this service:

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...