17
Wiedermal lsass.exe
Es kann nicht der Sasser oder Blaster sein...
Hallo!
Ich habe mich jetzt schon durch sehr viele Seiten gewühlt aber keine Lösung für mein Problem gefunden.
Ein Praxisnetzwerk mit 12 PC´s teils Win XP prof. teils W2k mit SP3 und SP4 und einem Server auf dem W2k Server läuft. Im Netz hängt ein DSL Router, es ist aber nur an bestimmten Stationen das Gateway eingerichtet. Es laufen diverse Praxisverwaltungsprogramme, Tobit InfoCenter (an 5 Stationen) und Sophos AntiVirus im Netz. Das Netzwerk wurde von meinem Vorgänger eingerichtet und läuft mit einer Arbeitsgruppe.
Die Behandlungszimmer 1 - 4 (alle W2k) haben seit Montag morgen immer wieder die Meldung NT-Authorität bla bla lsass.exe bla Statuscode 128 bla bla Der Rechner wird in 60 Sekunden heruntergefahren.
Shutdown -a hilft nicht. Removal Tools von Symantec gegen Sasser, Blaster und MyDoom finden nichts. Sophos findet auch nichts. Im Netz sind nur diese 4 Rechner betroffen. Die 2 Anmelderechner, das Labor, das Röntgen und die 2 Bürorechner haben nichts. Es würde für mich aber irgendwie alles auf einen Virus hindeuten.
Microsoft schreibt das dieses Problem nur bei SP1 oder 2 auftreten kann. Ich hab aber mindestens SP3 drauf. Ne aktualisierung auf SP4 hat auch nicht geholfen.
Als ich dann nicht weitergekommen bin und nichts geholfen hat hab ich einen der 4 platt gemacht und XP prof installiert. Installier Treiber, stell die Netzwerkverbindung her, richte die Praxisverwaltungsprogramme ein, installier den neuen Farblaser mit Printserver und was kommt? Genau, lsass.exe bla aber diesmal mit einem längeren Statuscode den ich nicht so schnell aufschreiben konnte.
Was kann das sein und was tu ich dagegen? Ich bin mit meinem Latein bald am Ende...
Vielen Dank für hilfreiche Antworten,
Ben
PS: Bitte keine Antworten wie "installier nochmal neu" oder "richte erst mal ne Domäne ein" (auch wenns besser wär)
Ich habe mich jetzt schon durch sehr viele Seiten gewühlt aber keine Lösung für mein Problem gefunden.
Ein Praxisnetzwerk mit 12 PC´s teils Win XP prof. teils W2k mit SP3 und SP4 und einem Server auf dem W2k Server läuft. Im Netz hängt ein DSL Router, es ist aber nur an bestimmten Stationen das Gateway eingerichtet. Es laufen diverse Praxisverwaltungsprogramme, Tobit InfoCenter (an 5 Stationen) und Sophos AntiVirus im Netz. Das Netzwerk wurde von meinem Vorgänger eingerichtet und läuft mit einer Arbeitsgruppe.
Die Behandlungszimmer 1 - 4 (alle W2k) haben seit Montag morgen immer wieder die Meldung NT-Authorität bla bla lsass.exe bla Statuscode 128 bla bla Der Rechner wird in 60 Sekunden heruntergefahren.
Shutdown -a hilft nicht. Removal Tools von Symantec gegen Sasser, Blaster und MyDoom finden nichts. Sophos findet auch nichts. Im Netz sind nur diese 4 Rechner betroffen. Die 2 Anmelderechner, das Labor, das Röntgen und die 2 Bürorechner haben nichts. Es würde für mich aber irgendwie alles auf einen Virus hindeuten.
Microsoft schreibt das dieses Problem nur bei SP1 oder 2 auftreten kann. Ich hab aber mindestens SP3 drauf. Ne aktualisierung auf SP4 hat auch nicht geholfen.
Als ich dann nicht weitergekommen bin und nichts geholfen hat hab ich einen der 4 platt gemacht und XP prof installiert. Installier Treiber, stell die Netzwerkverbindung her, richte die Praxisverwaltungsprogramme ein, installier den neuen Farblaser mit Printserver und was kommt? Genau, lsass.exe bla aber diesmal mit einem längeren Statuscode den ich nicht so schnell aufschreiben konnte.
Was kann das sein und was tu ich dagegen? Ich bin mit meinem Latein bald am Ende...
Vielen Dank für hilfreiche Antworten,
Ben
PS: Bitte keine Antworten wie "installier nochmal neu" oder "richte erst mal ne Domäne ein" (auch wenns besser wär)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7235
Url: https://administrator.de/contentid/7235
Printed on: April 19, 2024 at 17:04 o'clock
17 Comments
Latest comment
hatte gleiches problem mit win2ksp4 auf meinem privatrechner.
wollte ohne firewall die windows-updates installieren.
ist für diese rechner am router ein port-forwarding eingerichtet?
sonst dürften die doch für angriffe von aussen nicht offen sein...
nach neuinstallation und direkter installation einer software-firewall (sygate) war das problem behoben.
wollte ohne firewall die windows-updates installieren.
ist für diese rechner am router ein port-forwarding eingerichtet?
sonst dürften die doch für angriffe von aussen nicht offen sein...
nach neuinstallation und direkter installation einer software-firewall (sygate) war das problem behoben.
Port-Forwarding ist für diese Rechner nicht eingerichtet. Diese Rechner dürfen auch nicht ins Internet. Das Problem trat ca. 15min. nach der Neuinstallation auf ohne das der Rechner Zugang zum Internet gehabt hat.
Auch wenn es mit einer Softwarefirewall behoben sein sollte, kenne ich ja noch nicht die Ursache meines Problems...
Auch wenn es mit einer Softwarefirewall behoben sein sollte, kenne ich ja noch nicht die Ursache meines Problems...
wie wahr. kann nur aus meinen erfahrungen sprechen.
bei mir trat dieser fehler nach kompletter neuinstallation auf, aber erst, als ich eine verbindung zum i-net hergestellt hatte (ohne firewall). ohne die i-net verbindung blieb der stundenlang stabil... daher dachte ich an angriffe von aussen.
nichtsdestotrotz empfehle ich als virenscanner grundsätzlich den kaspersky, der hat definitiv die beste erkennungsrate... möglich wäre ja auch, das ein anderer bei euch infizierter rechner diese attacken auslöst... mit einer software-firewall könnte man dieses problem zumindest eingrenzen, da man ja auch den abgehenden traffic überwachen kann. so sollte man den störenfried auch einkreisen können. und natürlich nicht erforderliche dienste abschalten, um die 'angriffsfläche' zu reduzieren...
hope this helps.
bei mir trat dieser fehler nach kompletter neuinstallation auf, aber erst, als ich eine verbindung zum i-net hergestellt hatte (ohne firewall). ohne die i-net verbindung blieb der stundenlang stabil... daher dachte ich an angriffe von aussen.
nichtsdestotrotz empfehle ich als virenscanner grundsätzlich den kaspersky, der hat definitiv die beste erkennungsrate... möglich wäre ja auch, das ein anderer bei euch infizierter rechner diese attacken auslöst... mit einer software-firewall könnte man dieses problem zumindest eingrenzen, da man ja auch den abgehenden traffic überwachen kann. so sollte man den störenfried auch einkreisen können. und natürlich nicht erforderliche dienste abschalten, um die 'angriffsfläche' zu reduzieren...
hope this helps.
... Du installierst Betriebssystem und Anwendungen ausschließlich von Original-CD's und hast keinen Internetzugang? Kannst Du die Praxisverwaltungsprogramm in einzelnen Schritten einrichten? Wenn ja, versuche nach BS und Netz/Drucker ob Dein System sauber arbeitet (Ereignisprotokoll), lass es eine Zeit lang laufen und dann installierst Du eine Anwendung nach der anderen ...
Gruß
Atti.
Gruß
Atti.
Hallo,
also ich würde die 4 Rechner vom Netz nehmen und einen neu installieren, diesen ohne Netzwerkverbindung erst mal eine Zeit laufen lassen, er wird bestimmt ohne Probleme laufen. dann würde ich den Rechner wieder ans Netz hängen und beobachten was passiert. Somit hättest Du dein Problem eingegrenzt wenn er einwandfrei ím Netz läuft. Dann die anderen 3 genaustens auf Viren untersuchen evtl. verschiedene Scanner verwenden. Wenn Du nichts finden solltest, wird eine Neuinstallation wohl das beste sein.
Gruss
Chris
also ich würde die 4 Rechner vom Netz nehmen und einen neu installieren, diesen ohne Netzwerkverbindung erst mal eine Zeit laufen lassen, er wird bestimmt ohne Probleme laufen. dann würde ich den Rechner wieder ans Netz hängen und beobachten was passiert. Somit hättest Du dein Problem eingegrenzt wenn er einwandfrei ím Netz läuft. Dann die anderen 3 genaustens auf Viren untersuchen evtl. verschiedene Scanner verwenden. Wenn Du nichts finden solltest, wird eine Neuinstallation wohl das beste sein.
Gruss
Chris
Wenn Sie Windows Update drüberlaufen lassen, ist Ihr Problem behoben.
Bei 5 oder mehr Workstations rentiert sich eine Verteilung der Patches mittels SUS-Server von Microsoft, da die Patches nur einmalig heruntergeladen werden und zentral verteilt werden.
Bei 5 oder mehr Workstations rentiert sich eine Verteilung der Patches mittels SUS-Server von Microsoft, da die Patches nur einmalig heruntergeladen werden und zentral verteilt werden.
Hallo,
das Problem ist wahrscheinlich ein Wurm, eine Abart des Sasser. Dieses NT-Authoritätsproblem wird durch diesen Wurm verursacht. Ihn zu entfernen
ist sehr einfach. Doch es muss ein Update(für WinXP KB835732) installiert
werden um die Sicherheitslücken zu schließen. Da der Router so einen
Zugriff von aussen nicht zuläßt, kann er nur von jemanden reingeschleppt
worden sein.
Viel Glück!
das Problem ist wahrscheinlich ein Wurm, eine Abart des Sasser. Dieses NT-Authoritätsproblem wird durch diesen Wurm verursacht. Ihn zu entfernen
ist sehr einfach. Doch es muss ein Update(für WinXP KB835732) installiert
werden um die Sicherheitslücken zu schließen. Da der Router so einen
Zugriff von aussen nicht zuläßt, kann er nur von jemanden reingeschleppt
worden sein.
Viel Glück!
Hallo.
Es mal ..... ich habe auch momentan keine Lösung parrat aber ich hatte letztes jahr ein ähnliches Problem bei einem Kunden. Dort war auch eine Zeitlang diese "Runterfahr meldung" im Netz unterwegs. Ich habe damals erstmal versucht die Rechner wenn diese Meldung auftauchte im DATUM zurück zu setzen. Dann bin ich an die Firewall vom Router und habe mir Regeln erstellt für die Ports die Sasser und co benutzen. Dort konnte ich sehen von welchen rechnern die Pakete gesendet wurden. Ich habe damals festgestellt das es ein Unbefugter war der mit einem Hackertool Shutdowmeldungen an die PC`s gesendet hat. Zb kannst du in der Domaine aul Administrator mit dem normalen shutdownbefehl JEDEN Rechner runterfahren.
Dann ist auch wichtig das die User keine Adminrechte auf Ihren PC`s haben, sodas ein Virus falls aktiv keine Rechte hat. Ich werde nochmal richtig über dein Problem nachdenken. Vieleich fällt mir noch was ein. Aber auf jeden Fall solltest du versuchen mit einen Port Analyse tool rauszufinden welcher rechner der schuldig ist.
CU
Christian
Es mal ..... ich habe auch momentan keine Lösung parrat aber ich hatte letztes jahr ein ähnliches Problem bei einem Kunden. Dort war auch eine Zeitlang diese "Runterfahr meldung" im Netz unterwegs. Ich habe damals erstmal versucht die Rechner wenn diese Meldung auftauchte im DATUM zurück zu setzen. Dann bin ich an die Firewall vom Router und habe mir Regeln erstellt für die Ports die Sasser und co benutzen. Dort konnte ich sehen von welchen rechnern die Pakete gesendet wurden. Ich habe damals festgestellt das es ein Unbefugter war der mit einem Hackertool Shutdowmeldungen an die PC`s gesendet hat. Zb kannst du in der Domaine aul Administrator mit dem normalen shutdownbefehl JEDEN Rechner runterfahren.
Dann ist auch wichtig das die User keine Adminrechte auf Ihren PC`s haben, sodas ein Virus falls aktiv keine Rechte hat. Ich werde nochmal richtig über dein Problem nachdenken. Vieleich fällt mir noch was ein. Aber auf jeden Fall solltest du versuchen mit einen Port Analyse tool rauszufinden welcher rechner der schuldig ist.
CU
Christian
Ist ein einfaches Patchproblem......
Haltet euere Systeme up to Date, dann passiert so etwas nicht.....
Dieses Problem mit LSass.EXE ist genauso alt wie Sasser und co..
Haltet euere Systeme up to Date, dann passiert so etwas nicht.....
Dieses Problem mit LSass.EXE ist genauso alt wie Sasser und co..
Vor dem nächsten Neuinstall solltest du dir erstmal die Seite
Offline-Update von heise.de
ansehen.
Lade dir die .zip runter und entpacke sie in ein beliebiges Verzeichnis.
Dann startest du mit aktivem Internetzugang die getupdates.cmd
Nach einiger Zeit hast du dann alle Updates für W2k und XP in deinem Verzeichnis.
Der Internet Explorer tut dann so, als wollte er installieren, wird aber nur konfiguriert und ebenfalls in dem Verzeichnis abgelegt.
Jetzt brennst du das ganze Verzeichnis auf eine CD und legst diese unmittelbar nach dem - ohne Internetzugang ausgeführten - Neuinstall ein.
Beim Start der updates.cmd werden ServicePack und IE-Version geprüft und ggf. aktualisiert. Als letzten Schritt werden die kritischen Updates bis zum Stichtag des Offline-Updates eingespielt.
Jetzt solltest du auf jedem Fall noch den vorher gezogenen Patch zu MS05-039 einspielen, dann kannst du alles weitere relativ sicher einrichten...
Offline-Update von heise.de
ansehen.
Lade dir die .zip runter und entpacke sie in ein beliebiges Verzeichnis.
Dann startest du mit aktivem Internetzugang die getupdates.cmd
Nach einiger Zeit hast du dann alle Updates für W2k und XP in deinem Verzeichnis.
Der Internet Explorer tut dann so, als wollte er installieren, wird aber nur konfiguriert und ebenfalls in dem Verzeichnis abgelegt.
Jetzt brennst du das ganze Verzeichnis auf eine CD und legst diese unmittelbar nach dem - ohne Internetzugang ausgeführten - Neuinstall ein.
Beim Start der updates.cmd werden ServicePack und IE-Version geprüft und ggf. aktualisiert. Als letzten Schritt werden die kritischen Updates bis zum Stichtag des Offline-Updates eingespielt.
Jetzt solltest du auf jedem Fall noch den vorher gezogenen Patch zu MS05-039 einspielen, dann kannst du alles weitere relativ sicher einrichten...
Hallo,
du hast recht. Das kann eventuell an einem Zusatz-Pack liegen. Schau Dir mal diesen Link
an.
http://support.microsoft.com/default.aspx?scid=kb;de;301684
Wie viele schon gepostet haben...wird das Problem nach einen Windows-Update auf allen Stationen sicherlich behoben sein. Alles andere mit Neuinstallieren oder Step-by-Step Einrichten ist wirtschaftlich gar nicht tragbar. Zumal die Praxis ja auch weiterarbeiten muss.
Sollte das auch nicht helfen...würde ich über die Nacht immer ein Rechner nach dem anderen (vier auf einmal geht natürlich auch) mitnehmen und ihn in der Werkstatt neu einrichten. Am nächsten Morgen kannst Du die wieder aufstellen und die Praxis kann wie vorher weiterarbeiten.
Viel Glück noch beim Troubleshooting.
-Stephan-
du hast recht. Das kann eventuell an einem Zusatz-Pack liegen. Schau Dir mal diesen Link
an.
http://support.microsoft.com/default.aspx?scid=kb;de;301684
Wie viele schon gepostet haben...wird das Problem nach einen Windows-Update auf allen Stationen sicherlich behoben sein. Alles andere mit Neuinstallieren oder Step-by-Step Einrichten ist wirtschaftlich gar nicht tragbar. Zumal die Praxis ja auch weiterarbeiten muss.
Sollte das auch nicht helfen...würde ich über die Nacht immer ein Rechner nach dem anderen (vier auf einmal geht natürlich auch) mitnehmen und ihn in der Werkstatt neu einrichten. Am nächsten Morgen kannst Du die wieder aufstellen und die Praxis kann wie vorher weiterarbeiten.
Viel Glück noch beim Troubleshooting.
-Stephan-
moin was macht ihr die sache so schwer? es gibt einen einfache batch befehl um die ablaufenden 60 sec abzubrechen.
wenn das fenster kommt schnell reagierenund folgendes machen:
windows taste+r kommt ihr ins ausführen,
dann tippt ihr rein: shutdown -a
Und das problem ist erstmal gelöst!!
wenn das fenster kommt schnell reagierenund folgendes machen:
windows taste+r kommt ihr ins ausführen,
dann tippt ihr rein: shutdown -a
Und das problem ist erstmal gelöst!!
Hi
erhlichgesagt ich hatte auch an ein paar kisten diese nummern,
und da half mir deine idee nicht (shutdown -a) .,...
mfg rooks....
erhlichgesagt ich hatte auch an ein paar kisten diese nummern,
und da half mir deine idee nicht (shutdown -a) .,...
mfg rooks....
Hi
erhlichgesagt ich hatte auch an ein paar kisten diese nummern,
und da half mir deine idee nicht (shutdown -a) .,...
mfg rooks....
erhlichgesagt ich hatte auch an ein paar kisten diese nummern,
und da half mir deine idee nicht (shutdown -a) .,...
mfg rooks....
Hi Runtime Error,
Dein Tipp in Ausführen "shutdown -a" einzugeben hilft gegen das ungewollte Herunterfahren, nur das Problem ist damit nicht gelöst.
Es werden mit diesem Befehl auch andere Programme beeinflusst. Nach dem Schließen kann ein erneutes Öffnen nur nach dem Neustart von Windows erfolgen. Und hier kommt die nächste Überraschung. Windows fährt auch nicht mehr herunter. Über "Start" und "Ausschalten" kommt nur noch das Fenster "Abmelden" und nach Bestätigung werden die Einstellungen zwar gespeichert, aber der Rechner fährt nicht mehr herunter.
Bei meinem Rechner hatte ich nach einer Wartezeit von 2-3 Minuten einfach abgeschaltet. Ein anschließender Neustart ist problemlos verlaufen und zusätzliche Fehler sind dadurch auch nicht aufgetreten.
Vielleicht kannst Du mir da auch mal einen Tipp geben und ich brauche mir dann die Sache auch nicht mehr so schwer machen.
Bis dann
User56
Dein Tipp in Ausführen "shutdown -a" einzugeben hilft gegen das ungewollte Herunterfahren, nur das Problem ist damit nicht gelöst.
Es werden mit diesem Befehl auch andere Programme beeinflusst. Nach dem Schließen kann ein erneutes Öffnen nur nach dem Neustart von Windows erfolgen. Und hier kommt die nächste Überraschung. Windows fährt auch nicht mehr herunter. Über "Start" und "Ausschalten" kommt nur noch das Fenster "Abmelden" und nach Bestätigung werden die Einstellungen zwar gespeichert, aber der Rechner fährt nicht mehr herunter.
Bei meinem Rechner hatte ich nach einer Wartezeit von 2-3 Minuten einfach abgeschaltet. Ein anschließender Neustart ist problemlos verlaufen und zusätzliche Fehler sind dadurch auch nicht aufgetreten.
Vielleicht kannst Du mir da auch mal einen Tipp geben und ich brauche mir dann die Sache auch nicht mehr so schwer machen.
Bis dann
User56
So, das macht die lsass.exe in registry rein.
nun es ist zwar unübersichtlich aber es greift anscheinend auf den speicher zu.
da beim blaster o.Ä diese reg deaktiviert werden hat der windows weniger funktionen z.B datein hin und herschieben nicht herunterfahren usw. ich wette ducht eine selbst erstelle reg datei die das wieder behebt kann man diesen lsass wieder reparieren.
Process: lsass.exe Pid: 1056
Type Name
Desktop \Default
Directory \Windows
Directory \BaseNamedObjects
Directory \KnownDlls
Event \BaseNamedObjects\DINPUTWINMM
Event \BaseNamedObjects\crypt32LogoffEvent
Event \BaseNamedObjects\userenv: User Profile setup event
Event \BaseNamedObjects\LSA_RPC_SERVER_ACTIVE
Event \SAM_SERVICE_STARTED
Event \BaseNamedObjects\IPSEC_POLICY_CHANGE_EVENT
Event \BaseNamedObjects\IPSEC_POLICY_CHANGE_NOTIFY
Event \BaseNamedObjects\PS_SERVICE_STARTED
Event \BaseNamedObjects\userenv: Machine Group Policy has been applied
Event \BaseNamedObjects\userenv: User Group Policy has been applied
Event \SeLsaInitEvent
File \Device\WMIDataDevice
File \Device\WMIDataDevice
File C:\WINDOWS5\Debug\PASSWD.LOG
File C:\WINDOWS5\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a
File C:\WINDOWS5\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a
File \Device\Tcp
File \Device\Tcp
File \Device\Ip
File \Device\Ip
File \Device\Ip
File \Device\KsecDD
File \Device\NamedPipe\lsass
File \Device\KsecDD
File \Device\NamedPipe\protected_storage
File \Device\NamedPipe\protected_storage
File \Device\NamedPipe\lsass
File C:\WINDOWS5\Debug\oakley.log
File \Device\NamedPipe\svcctl
File \Device\Afd\Endpoint
File \Device\IPSEC
File \Device\IPSEC
File \Device\Afd\Endpoint
File \Device\Udp
File \Device\Afd\Endpoint
File \Device\RawIp\255
File \Device\NamedPipe\ipsec
File \Device\NamedPipe\ipsec
File \Device\NamedPipe\lsass
File \Device\NamedPipe\net\NtControlPipe0
File C:\WINDOWS5\system32
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\Kerberos
Key HKLM\SECURITY\Policy
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\Kerberos\SidCache
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\Kerberos\Domains
Key HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9
Key HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5
Key HKLM\SECURITY\Policy
Key HKLM\SYSTEM\ControlSet001\Control\Lsa
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\MSV1_0
Key HKLM
Key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
Key HKU\.DEFAULT
Key HKLM\SYSTEM\ControlSet001\Services\Tcpip\Linkage
Key HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters
Key HKLM\SYSTEM\ControlSet001\Services\NetBT\Parameters\Interfaces
Key HKLM\SYSTEM\ControlSet001\Services\NetBT\Parameters
Key HKLM\SYSTEM\ControlSet001\Control\SecurityProviders\WDigest
Key HKLM\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
Key HKLM\SAM\SAM
Key HKLM\SAM\SAM\RXACT
Key HKLM\SAM\SAM\Domains\Builtin
Key HKLM\SAM\SAM\Domains\Account
Key HKU
Key HKLM\SYSTEM\ControlSet001\Control\NetworkProvider\HwOrder
Key HKLM\SYSTEM\ControlSet001\Control\SecurityProviders\SCHANNEL
Key HKLM\SYSTEM\ControlSet001\Control\Lsa
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\SspiCache\msapsspc.dll
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\SspiCache\digest.dll
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\SspiCache\msnsspc.dll
Key HKLM\SYSTEM\ControlSet001\Control\Lsa
Key HKLM\SECURITY
Key HKLM\SECURITY\RXACT
Key HKLM\SECURITY\Policy
KeyedEvent \KernelObjects\CritSecOutOfMemoryEvent
nun es ist zwar unübersichtlich aber es greift anscheinend auf den speicher zu.
da beim blaster o.Ä diese reg deaktiviert werden hat der windows weniger funktionen z.B datein hin und herschieben nicht herunterfahren usw. ich wette ducht eine selbst erstelle reg datei die das wieder behebt kann man diesen lsass wieder reparieren.
Process: lsass.exe Pid: 1056
Type Name
Desktop \Default
Directory \Windows
Directory \BaseNamedObjects
Directory \KnownDlls
Event \BaseNamedObjects\DINPUTWINMM
Event \BaseNamedObjects\crypt32LogoffEvent
Event \BaseNamedObjects\userenv: User Profile setup event
Event \BaseNamedObjects\LSA_RPC_SERVER_ACTIVE
Event \SAM_SERVICE_STARTED
Event \BaseNamedObjects\IPSEC_POLICY_CHANGE_EVENT
Event \BaseNamedObjects\IPSEC_POLICY_CHANGE_NOTIFY
Event \BaseNamedObjects\PS_SERVICE_STARTED
Event \BaseNamedObjects\userenv: Machine Group Policy has been applied
Event \BaseNamedObjects\userenv: User Group Policy has been applied
Event \SeLsaInitEvent
File \Device\WMIDataDevice
File \Device\WMIDataDevice
File C:\WINDOWS5\Debug\PASSWD.LOG
File C:\WINDOWS5\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a
File C:\WINDOWS5\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a
File \Device\Tcp
File \Device\Tcp
File \Device\Ip
File \Device\Ip
File \Device\Ip
File \Device\KsecDD
File \Device\NamedPipe\lsass
File \Device\KsecDD
File \Device\NamedPipe\protected_storage
File \Device\NamedPipe\protected_storage
File \Device\NamedPipe\lsass
File C:\WINDOWS5\Debug\oakley.log
File \Device\NamedPipe\svcctl
File \Device\Afd\Endpoint
File \Device\IPSEC
File \Device\IPSEC
File \Device\Afd\Endpoint
File \Device\Udp
File \Device\Afd\Endpoint
File \Device\RawIp\255
File \Device\NamedPipe\ipsec
File \Device\NamedPipe\ipsec
File \Device\NamedPipe\lsass
File \Device\NamedPipe\net\NtControlPipe0
File C:\WINDOWS5\system32
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\Kerberos
Key HKLM\SECURITY\Policy
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\Kerberos\SidCache
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\Kerberos\Domains
Key HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9
Key HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5
Key HKLM\SECURITY\Policy
Key HKLM\SYSTEM\ControlSet001\Control\Lsa
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\MSV1_0
Key HKLM
Key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
Key HKU\.DEFAULT
Key HKLM\SYSTEM\ControlSet001\Services\Tcpip\Linkage
Key HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters
Key HKLM\SYSTEM\ControlSet001\Services\NetBT\Parameters\Interfaces
Key HKLM\SYSTEM\ControlSet001\Services\NetBT\Parameters
Key HKLM\SYSTEM\ControlSet001\Control\SecurityProviders\WDigest
Key HKLM\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
Key HKLM\SAM\SAM
Key HKLM\SAM\SAM\RXACT
Key HKLM\SAM\SAM\Domains\Builtin
Key HKLM\SAM\SAM\Domains\Account
Key HKU
Key HKLM\SYSTEM\ControlSet001\Control\NetworkProvider\HwOrder
Key HKLM\SYSTEM\ControlSet001\Control\SecurityProviders\SCHANNEL
Key HKLM\SYSTEM\ControlSet001\Control\Lsa
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\SspiCache\msapsspc.dll
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\SspiCache\digest.dll
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\SspiCache\msnsspc.dll
Key HKLM\SYSTEM\ControlSet001\Control\Lsa
Key HKLM\SECURITY
Key HKLM\SECURITY\RXACT
Key HKLM\SECURITY\Policy
KeyedEvent \KernelObjects\CritSecOutOfMemoryEvent
