auron2k
Goto Top

Domaincontroller und LSASS.EXE

Ich habe 2 Domaincontroller einmal DC-01 und einmal DC-02.
DC-02 hat aus unerklärlichen gründen seid gestern eine Systemauslastung von 100% die LSASS.EXE hat nen anteil von 70%, dies war früher nicht der fall, das seltsame ist DC-01 scheint wärenddessen nichts zu machen (siehe mrtg statistik bilder)

ich weiß nicht woran es liegt!!

mfg
Auron2k

Content-ID: 23789

Url: https://administrator.de/forum/domaincontroller-und-lsass-exe-23789.html

Ausgedruckt am: 29.12.2024 um 04:12 Uhr

cykes
cykes 17.01.2006 um 16:02:57 Uhr
Goto Top
Hi,

hast Du auf dem/den Server(n) eine Antivirenlösung laufen?
LSASS.EXE könnte ein Zeichen dafür sein, dass Du Dir einen
Sasser Virus eingefangen hast.
Würde ich mal mit eScan und McAffee Stinger durchscannen,
wenn die was finden solltest Du sofort den Server vom LAN trennen
und ihn eventuell mit einer Windows PE (BartPE) CD booten und reinigen.

Gruss

cykes
Auron2k
Auron2k 17.01.2006 um 17:41:50 Uhr
Goto Top
den scannt hat ich am laufen als ich hier geposted habe, leider hat er nichts gefunden. Scheint an was anderen zu liegen.
cykes
cykes 17.01.2006 um 17:49:16 Uhr
Goto Top
Hast Du mal in die Ereignisanzeige geschaut? Irgendwelche Fehler/Warnungen?
Auron2k
Auron2k 17.01.2006 um 17:55:24 Uhr
Goto Top
ja, aber glaube auch nicht, das es daran liegt.

fehler: ID 770 AlertManager
ID 257 AlertManager Event Interface

Warnungen: ID 1010 Winlogon
ID 770 AlertManager
ID 257 AlertManager Event Interface


Treten unregelmäßig auf.
cykes
cykes 17.01.2006 um 18:01:16 Uhr
Goto Top
Was steht denn in der Fehlermeldung als Meldungstext (ID 770) drin?

Und in der ID 1010 Winlogon Meldung?
Auron2k
Auron2k 17.01.2006 um 18:03:43 Uhr
Goto Top
ID 770

Warnungs-Manager konnte Warnmeldung nicht senden.
Gerätetyp: "Network Message"
Gewünschter Empfänger: "\\LocalSystem"
Nachricht: "Der Scanvorgang wurde abgebrochen um 2006 1 17 16:35:18.(von MUE-ILP-DC-02 IP 192.168.10.247 Benutzer administrator Software VirusScan Enter 8.0 Scan Laufwerk C)"


ID 1010

Automatische Registrierung bei der Zertifizierungsstelle ilpcert für ein Zertifikat des Typs DomainController ist fehlgeschlagen. (0x800706ba) Der RPC-Server ist nicht verfügbar.
. Der Vorgang wird bei einer anderen Zertifizierungsstelle versucht.
cykes
cykes 17.01.2006 um 18:09:20 Uhr
Goto Top
Wenn Du die C'T 23/2005 irgendwo zur Hand hast, erstell' Dir mal auf einem garantiert
sauberen System mit Windows XP oder 2k3 mit dem auf der Heft CD befindlichen PEBuilde.
Starte von der erstellten BootCD mal den Server (ohne Netzwerkverbindung)
und scanne mal nach Viren.
Sieht fast so aus, als würde da irgendwas den Scnvorgang des vorhandenen Virenscanners
abbrechen.
Würde immer noch auf den Sasser oder eine Variante tippen.
Auron2k
Auron2k 18.01.2006 um 09:32:37 Uhr
Goto Top
Also ich weiß 100% das es kein Virus, Wurm bzw. Trojaner ist. Den heute morgen seid hat das problem der DC-01. Die Wechseln sich irgendwie ab. Und wieder ist die LSASS.EXE mit über 70% dabei.

Das sieht also nicht nach virus an.

Nochmal MRTG Bilder von heute morgen (zwischen 22uhr und 3uhr haben die beiden nen abgleich gemacht wie es aussieht)

DC-01


DC-02
cykes
cykes 18.01.2006 um 09:45:30 Uhr
Goto Top
Hi,

was mich noch ein bischen stutzig macht, ist die Winlogon Warnung mit ID 1010.
Lies Dir vielleicht mal diesen Thread auf einem anderen Board durch.
Es könnte sein, dass (und daran ist auch der LSASS Prozess beteiligt) die beiden
Domain Controller irgendwie ihre Vertrauensstellung nicht mehr haben bzw.
die Vetrauensstellung auf einem (inzwischen) ungültigen Zertifikat beruht.

-->http://www.experts-exchange.com/Operating_Systems/Win2000/Q_21617027.html

Gruss

cykes
Auron2k
Auron2k 18.01.2006 um 12:39:08 Uhr
Goto Top
Kann es sonst noch was außer der Zertifikate sein?


EDIT: Das mit den Zertifikaten passt auch alles!! Muss also was anderes sein.
Sarastro
Sarastro 20.01.2006 um 08:24:11 Uhr
Goto Top
Das beschriebene Phänomen stelle ich seit etwa fünf Tagen auch auf einem meiner Rechner fest. Es ist ein nicht vernetzter PC, XP Prof, Zone Alarm etc. pp., der nur zum Surfen und Testen genutzt wird. Nach dem Booten läuft alles normal, auch während einer Internetsitzung ist alles problemlos, die Prozessor-Auslastung entspricht den Erwartungen. Erst direkt nach Beendigung der jeweiligen Internet-Sitzung geht die Prozessorauslastung auf 100 Prozent, wobei die Lsass.exe daran je nach dem zwischen 80 und 90 Prozent Anteil hat. Nach einem Neustart ist alles wieder völlig normal.
Die üblichen Massnahmen (Viren und Trojanercheck mit aktuellsten Signaturen, Suche nach Malware jeglicher Art) hat kein Ergebnis gebracht.
Ich vermute mittlerweile dass möglicherweise die auf diesem Rechner installierte Software
T-online 6.0 daran nicht ganz unbeteiligt sein könnte. Es sieht so aus als dort wieder mal eine "Programm-Aktualisierung" vorgenommen wurde, die in diesem Fall automatisch im Hintergrund abläuft. Ein zweiter, baugleicher Rechner mit gleicher Software, abr T-online 5.0 ist davon nicht betroffen, hier läuft alles wie gewohnt.
Ist auf Ihrem System zufällig auch T-Online 6.0 am Werk?
cykes
cykes 20.01.2006 um 08:39:01 Uhr
Goto Top
Kann es sonst noch was außer der
Zertifikate sein?


EDIT: Das mit den Zertifikaten passt auch
alles!! Muss also was anderes sein.

Laut der Fehlermeldung oben (ID 1010) erreicht er aber Euren lokalen Zertifikatserver nicht,
ich vermute mal, dass ilpcert der lokale Zert-Server ist...
Auron2k
Auron2k 20.01.2006 um 12:44:21 Uhr
Goto Top
ich meine, der fehler wurde beseitigt ;)

jetzt schmeißt er keinen event 1010


@Sarastro

nein diese software ist nicht am werk
Sarastro
Sarastro 20.01.2006 um 14:13:40 Uhr
Goto Top
Freut mich zu hören dass bei Euch das Problem gelöst ist. Darf ich fragen was Ihr als Ursache/Abhilfe unternommen habt? Vielen Dank für die Mühe!
Auron2k
Auron2k 20.01.2006 um 23:51:21 Uhr
Goto Top
das problem ist nicht gelöst, ich hab nur gesagt, dass es nichts mit den zertifikaen zu tun hat
fury
fury 22.10.2006 um 11:36:03 Uhr
Goto Top
hast du eine lösung gefunden?
haben bei uns jetzt das gleiche problem.