Domaincontroller und LSASS.EXE
Ich habe 2 Domaincontroller einmal DC-01 und einmal DC-02.
DC-02 hat aus unerklärlichen gründen seid gestern eine Systemauslastung von 100% die LSASS.EXE hat nen anteil von 70%, dies war früher nicht der fall, das seltsame ist DC-01 scheint wärenddessen nichts zu machen (siehe mrtg statistik bilder)
ich weiß nicht woran es liegt!!
mfg
Auron2k
DC-02 hat aus unerklärlichen gründen seid gestern eine Systemauslastung von 100% die LSASS.EXE hat nen anteil von 70%, dies war früher nicht der fall, das seltsame ist DC-01 scheint wärenddessen nichts zu machen (siehe mrtg statistik bilder)
ich weiß nicht woran es liegt!!
mfg
Auron2k
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 23789
Url: https://administrator.de/forum/domaincontroller-und-lsass-exe-23789.html
Ausgedruckt am: 29.12.2024 um 04:12 Uhr
16 Kommentare
Neuester Kommentar
Hi,
hast Du auf dem/den Server(n) eine Antivirenlösung laufen?
LSASS.EXE könnte ein Zeichen dafür sein, dass Du Dir einen
Sasser Virus eingefangen hast.
Würde ich mal mit eScan und McAffee Stinger durchscannen,
wenn die was finden solltest Du sofort den Server vom LAN trennen
und ihn eventuell mit einer Windows PE (BartPE) CD booten und reinigen.
Gruss
cykes
hast Du auf dem/den Server(n) eine Antivirenlösung laufen?
LSASS.EXE könnte ein Zeichen dafür sein, dass Du Dir einen
Sasser Virus eingefangen hast.
Würde ich mal mit eScan und McAffee Stinger durchscannen,
wenn die was finden solltest Du sofort den Server vom LAN trennen
und ihn eventuell mit einer Windows PE (BartPE) CD booten und reinigen.
Gruss
cykes
Wenn Du die C'T 23/2005 irgendwo zur Hand hast, erstell' Dir mal auf einem garantiert
sauberen System mit Windows XP oder 2k3 mit dem auf der Heft CD befindlichen PEBuilde.
Starte von der erstellten BootCD mal den Server (ohne Netzwerkverbindung)
und scanne mal nach Viren.
Sieht fast so aus, als würde da irgendwas den Scnvorgang des vorhandenen Virenscanners
abbrechen.
Würde immer noch auf den Sasser oder eine Variante tippen.
sauberen System mit Windows XP oder 2k3 mit dem auf der Heft CD befindlichen PEBuilde.
Starte von der erstellten BootCD mal den Server (ohne Netzwerkverbindung)
und scanne mal nach Viren.
Sieht fast so aus, als würde da irgendwas den Scnvorgang des vorhandenen Virenscanners
abbrechen.
Würde immer noch auf den Sasser oder eine Variante tippen.
Hi,
was mich noch ein bischen stutzig macht, ist die Winlogon Warnung mit ID 1010.
Lies Dir vielleicht mal diesen Thread auf einem anderen Board durch.
Es könnte sein, dass (und daran ist auch der LSASS Prozess beteiligt) die beiden
Domain Controller irgendwie ihre Vertrauensstellung nicht mehr haben bzw.
die Vetrauensstellung auf einem (inzwischen) ungültigen Zertifikat beruht.
-->http://www.experts-exchange.com/Operating_Systems/Win2000/Q_21617027.html
Gruss
cykes
was mich noch ein bischen stutzig macht, ist die Winlogon Warnung mit ID 1010.
Lies Dir vielleicht mal diesen Thread auf einem anderen Board durch.
Es könnte sein, dass (und daran ist auch der LSASS Prozess beteiligt) die beiden
Domain Controller irgendwie ihre Vertrauensstellung nicht mehr haben bzw.
die Vetrauensstellung auf einem (inzwischen) ungültigen Zertifikat beruht.
-->http://www.experts-exchange.com/Operating_Systems/Win2000/Q_21617027.html
Gruss
cykes
Das beschriebene Phänomen stelle ich seit etwa fünf Tagen auch auf einem meiner Rechner fest. Es ist ein nicht vernetzter PC, XP Prof, Zone Alarm etc. pp., der nur zum Surfen und Testen genutzt wird. Nach dem Booten läuft alles normal, auch während einer Internetsitzung ist alles problemlos, die Prozessor-Auslastung entspricht den Erwartungen. Erst direkt nach Beendigung der jeweiligen Internet-Sitzung geht die Prozessorauslastung auf 100 Prozent, wobei die Lsass.exe daran je nach dem zwischen 80 und 90 Prozent Anteil hat. Nach einem Neustart ist alles wieder völlig normal.
Die üblichen Massnahmen (Viren und Trojanercheck mit aktuellsten Signaturen, Suche nach Malware jeglicher Art) hat kein Ergebnis gebracht.
Ich vermute mittlerweile dass möglicherweise die auf diesem Rechner installierte Software
T-online 6.0 daran nicht ganz unbeteiligt sein könnte. Es sieht so aus als dort wieder mal eine "Programm-Aktualisierung" vorgenommen wurde, die in diesem Fall automatisch im Hintergrund abläuft. Ein zweiter, baugleicher Rechner mit gleicher Software, abr T-online 5.0 ist davon nicht betroffen, hier läuft alles wie gewohnt.
Ist auf Ihrem System zufällig auch T-Online 6.0 am Werk?
Die üblichen Massnahmen (Viren und Trojanercheck mit aktuellsten Signaturen, Suche nach Malware jeglicher Art) hat kein Ergebnis gebracht.
Ich vermute mittlerweile dass möglicherweise die auf diesem Rechner installierte Software
T-online 6.0 daran nicht ganz unbeteiligt sein könnte. Es sieht so aus als dort wieder mal eine "Programm-Aktualisierung" vorgenommen wurde, die in diesem Fall automatisch im Hintergrund abläuft. Ein zweiter, baugleicher Rechner mit gleicher Software, abr T-online 5.0 ist davon nicht betroffen, hier läuft alles wie gewohnt.
Ist auf Ihrem System zufällig auch T-Online 6.0 am Werk?