Wiedermal lsass.exe

ben83
Goto Top

Es kann nicht der Sasser oder Blaster sein...

Hallo!

Ich habe mich jetzt schon durch sehr viele Seiten gewühlt aber keine Lösung für mein Problem gefunden.

Ein Praxisnetzwerk mit 12 PC´s teils Win XP prof. teils W2k mit SP3 und SP4 und einem Server auf dem W2k Server läuft. Im Netz hängt ein DSL Router, es ist aber nur an bestimmten Stationen das Gateway eingerichtet. Es laufen diverse Praxisverwaltungsprogramme, Tobit InfoCenter (an 5 Stationen) und Sophos AntiVirus im Netz. Das Netzwerk wurde von meinem Vorgänger eingerichtet und läuft mit einer Arbeitsgruppe.

Die Behandlungszimmer 1 - 4 (alle W2k) haben seit Montag morgen immer wieder die Meldung NT-Authorität bla bla lsass.exe bla Statuscode 128 bla bla Der Rechner wird in 60 Sekunden heruntergefahren.

Shutdown -a hilft nicht. Removal Tools von Symantec gegen Sasser, Blaster und MyDoom finden nichts. Sophos findet auch nichts. Im Netz sind nur diese 4 Rechner betroffen. Die 2 Anmelderechner, das Labor, das Röntgen und die 2 Bürorechner haben nichts. Es würde für mich aber irgendwie alles auf einen Virus hindeuten.
Microsoft schreibt das dieses Problem nur bei SP1 oder 2 auftreten kann. Ich hab aber mindestens SP3 drauf. Ne aktualisierung auf SP4 hat auch nicht geholfen.

Als ich dann nicht weitergekommen bin und nichts geholfen hat hab ich einen der 4 platt gemacht und XP prof installiert. Installier Treiber, stell die Netzwerkverbindung her, richte die Praxisverwaltungsprogramme ein, installier den neuen Farblaser mit Printserver und was kommt? Genau, lsass.exe bla aber diesmal mit einem längeren Statuscode den ich nicht so schnell aufschreiben konnte.

Was kann das sein und was tu ich dagegen? Ich bin mit meinem Latein bald am Ende...

Vielen Dank für hilfreiche Antworten,

Ben

PS: Bitte keine Antworten wie "installier nochmal neu" oder "richte erst mal ne Domäne ein" (auch wenns besser wär)

Content-Key: 7235

Url: https://administrator.de/contentid/7235

Ausgedruckt am: 20.05.2022 um 12:05 Uhr

Mitglied: the-punk
the-punk 23.02.2005 um 10:09:50 Uhr
Goto Top
hatte gleiches problem mit win2ksp4 auf meinem privatrechner.
wollte ohne firewall die windows-updates installieren.
ist für diese rechner am router ein port-forwarding eingerichtet?
sonst dürften die doch für angriffe von aussen nicht offen sein...
nach neuinstallation und direkter installation einer software-firewall (sygate) war das problem behoben.
Mitglied: Ben83
Ben83 23.02.2005 um 10:31:58 Uhr
Goto Top
Port-Forwarding ist für diese Rechner nicht eingerichtet. Diese Rechner dürfen auch nicht ins Internet. Das Problem trat ca. 15min. nach der Neuinstallation auf ohne das der Rechner Zugang zum Internet gehabt hat.
Auch wenn es mit einer Softwarefirewall behoben sein sollte, kenne ich ja noch nicht die Ursache meines Problems...
Mitglied: the-punk
the-punk 23.02.2005 um 11:00:25 Uhr
Goto Top
wie wahr. kann nur aus meinen erfahrungen sprechen.
bei mir trat dieser fehler nach kompletter neuinstallation auf, aber erst, als ich eine verbindung zum i-net hergestellt hatte (ohne firewall). ohne die i-net verbindung blieb der stundenlang stabil... daher dachte ich an angriffe von aussen.
nichtsdestotrotz empfehle ich als virenscanner grundsätzlich den kaspersky, der hat definitiv die beste erkennungsrate... möglich wäre ja auch, das ein anderer bei euch infizierter rechner diese attacken auslöst... mit einer software-firewall könnte man dieses problem zumindest eingrenzen, da man ja auch den abgehenden traffic überwachen kann. so sollte man den störenfried auch einkreisen können. und natürlich nicht erforderliche dienste abschalten, um die 'angriffsfläche' zu reduzieren...
hope this helps.
Mitglied: Atti58
Atti58 23.02.2005 um 13:01:18 Uhr
Goto Top
... Du installierst Betriebssystem und Anwendungen ausschließlich von Original-CD's und hast keinen Internetzugang? Kannst Du die Praxisverwaltungsprogramm in einzelnen Schritten einrichten? Wenn ja, versuche nach BS und Netz/Drucker ob Dein System sauber arbeitet (Ereignisprotokoll), lass es eine Zeit lang laufen und dann installierst Du eine Anwendung nach der anderen ...

Gruß

Atti.
Mitglied: chris1561
chris1561 08.03.2005 um 14:23:08 Uhr
Goto Top
Hallo,

also ich würde die 4 Rechner vom Netz nehmen und einen neu installieren, diesen ohne Netzwerkverbindung erst mal eine Zeit laufen lassen, er wird bestimmt ohne Probleme laufen. dann würde ich den Rechner wieder ans Netz hängen und beobachten was passiert. Somit hättest Du dein Problem eingegrenzt wenn er einwandfrei ím Netz läuft. Dann die anderen 3 genaustens auf Viren untersuchen evtl. verschiedene Scanner verwenden. Wenn Du nichts finden solltest, wird eine Neuinstallation wohl das beste sein.

Gruss

Chris
Mitglied: BrainLess
BrainLess 09.03.2005 um 08:05:25 Uhr
Goto Top
Wenn Sie Windows Update drüberlaufen lassen, ist Ihr Problem behoben.

Bei 5 oder mehr Workstations rentiert sich eine Verteilung der Patches mittels SUS-Server von Microsoft, da die Patches nur einmalig heruntergeladen werden und zentral verteilt werden.
Mitglied: Tomahawk88
Tomahawk88 09.03.2005 um 17:11:13 Uhr
Goto Top
Hallo,

das Problem ist wahrscheinlich ein Wurm, eine Abart des Sasser. Dieses NT-Authoritätsproblem wird durch diesen Wurm verursacht. Ihn zu entfernen
ist sehr einfach. Doch es muss ein Update(für WinXP KB835732) installiert
werden um die Sicherheitslücken zu schließen. Da der Router so einen
Zugriff von aussen nicht zuläßt, kann er nur von jemanden reingeschleppt
worden sein.

Viel Glück!
Mitglied: ch.schmucker
ch.schmucker 22.03.2005 um 22:37:43 Uhr
Goto Top
Hallo.

Es mal ..... ich habe auch momentan keine Lösung parrat aber ich hatte letztes jahr ein ähnliches Problem bei einem Kunden. Dort war auch eine Zeitlang diese "Runterfahr meldung" im Netz unterwegs. Ich habe damals erstmal versucht die Rechner wenn diese Meldung auftauchte im DATUM zurück zu setzen. Dann bin ich an die Firewall vom Router und habe mir Regeln erstellt für die Ports die Sasser und co benutzen. Dort konnte ich sehen von welchen rechnern die Pakete gesendet wurden. Ich habe damals festgestellt das es ein Unbefugter war der mit einem Hackertool Shutdowmeldungen an die PC`s gesendet hat. Zb kannst du in der Domaine aul Administrator mit dem normalen shutdownbefehl JEDEN Rechner runterfahren.
Dann ist auch wichtig das die User keine Adminrechte auf Ihren PC`s haben, sodas ein Virus falls aktiv keine Rechte hat. Ich werde nochmal richtig über dein Problem nachdenken. Vieleich fällt mir noch was ein. Aber auf jeden Fall solltest du versuchen mit einen Port Analyse tool rauszufinden welcher rechner der schuldig ist.

CU

Christian
Mitglied: BrainLess
BrainLess 23.03.2005 um 11:04:27 Uhr
Goto Top
Ist ein einfaches Patchproblem......
Haltet euere Systeme up to Date, dann passiert so etwas nicht.....

Dieses Problem mit LSass.EXE ist genauso alt wie Sasser und co..
Mitglied: schilderdoc
schilderdoc 28.08.2005 um 23:58:36 Uhr
Goto Top
Vor dem nächsten Neuinstall solltest du dir erstmal die Seite
<a href="http://www.heise.de/ct/ftp/result.xhtml?url=/ct/ftp/projekte/offlineupd ..." target="_blanc" title ="Zum Offline-Update von heise.de">Offline-Update von heise.de</a>
ansehen.

Lade dir die .zip runter und entpacke sie in ein beliebiges Verzeichnis.
Dann startest du mit aktivem Internetzugang die getupdates.cmd

Nach einiger Zeit hast du dann alle Updates für W2k und XP in deinem Verzeichnis.
Der Internet Explorer tut dann so, als wollte er installieren, wird aber nur konfiguriert und ebenfalls in dem Verzeichnis abgelegt.

Jetzt brennst du das ganze Verzeichnis auf eine CD und legst diese unmittelbar nach dem - ohne Internetzugang ausgeführten - Neuinstall ein.

Beim Start der updates.cmd werden ServicePack und IE-Version geprüft und ggf. aktualisiert. Als letzten Schritt werden die kritischen Updates bis zum Stichtag des Offline-Updates eingespielt.

Jetzt solltest du auf jedem Fall noch den vorher gezogenen Patch zu <a href="http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms05-039. ..." target="_blanc" title="Zum Download">MS05-039</a> einspielen, dann kannst du alles weitere relativ sicher einrichten...
Mitglied: Tomahawk88
Tomahawk88 29.08.2005 um 07:36:43 Uhr
Goto Top
Hallo,

du hast recht. Das kann eventuell an einem Zusatz-Pack liegen. Schau Dir mal diesen Link
an.

http://support.microsoft.com/default.aspx?scid=kb;de;301684

Wie viele schon gepostet haben...wird das Problem nach einen Windows-Update auf allen Stationen sicherlich behoben sein. Alles andere mit Neuinstallieren oder Step-by-Step Einrichten ist wirtschaftlich gar nicht tragbar. Zumal die Praxis ja auch weiterarbeiten muss.
Sollte das auch nicht helfen...würde ich über die Nacht immer ein Rechner nach dem anderen (vier auf einmal geht natürlich auch) mitnehmen und ihn in der Werkstatt neu einrichten. Am nächsten Morgen kannst Du die wieder aufstellen und die Praxis kann wie vorher weiterarbeiten.

Viel Glück noch beim Troubleshooting.

-Stephan-
Mitglied: RuntimeError
RuntimeError 25.04.2006 um 01:32:41 Uhr
Goto Top
moin was macht ihr die sache so schwer? es gibt einen einfache batch befehl um die ablaufenden 60 sec abzubrechen.

wenn das fenster kommt schnell reagierenund folgendes machen:

windows taste+r kommt ihr ins ausführen,
dann tippt ihr rein: shutdown -a

Und das problem ist erstmal gelöst!!
Mitglied: 2095
2095 09.08.2006 um 10:30:49 Uhr
Goto Top
Hi

erhlichgesagt ich hatte auch an ein paar kisten diese nummern,

und da half mir deine idee nicht (shutdown -a) .,...

mfg rooks....
Mitglied: 2095
2095 09.08.2006 um 10:30:52 Uhr
Goto Top
Hi

erhlichgesagt ich hatte auch an ein paar kisten diese nummern,

und da half mir deine idee nicht (shutdown -a) .,...

mfg rooks....
Mitglied: User56
User56 13.01.2007 um 21:54:33 Uhr
Goto Top
Hi Runtime Error,

Dein Tipp in Ausführen "shutdown -a" einzugeben hilft gegen das ungewollte Herunterfahren, nur das Problem ist damit nicht gelöst.

Es werden mit diesem Befehl auch andere Programme beeinflusst. Nach dem Schließen kann ein erneutes Öffnen nur nach dem Neustart von Windows erfolgen. Und hier kommt die nächste Überraschung. Windows fährt auch nicht mehr herunter. Über "Start" und "Ausschalten" kommt nur noch das Fenster "Abmelden" und nach Bestätigung werden die Einstellungen zwar gespeichert, aber der Rechner fährt nicht mehr herunter.

Bei meinem Rechner hatte ich nach einer Wartezeit von 2-3 Minuten einfach abgeschaltet. Ein anschließender Neustart ist problemlos verlaufen und zusätzliche Fehler sind dadurch auch nicht aufgetreten.

Vielleicht kannst Du mir da auch mal einen Tipp geben und ich brauche mir dann die Sache auch nicht mehr so schwer machen.

Bis dann
User56
Mitglied: User56
User56 13.01.2007 um 21:55:32 Uhr
Goto Top
Mitglied: RuntimeError
RuntimeError 15.01.2007 um 23:00:01 Uhr
Goto Top
So, das macht die lsass.exe in registry rein.

nun es ist zwar unübersichtlich aber es greift anscheinend auf den speicher zu.
da beim blaster o.Ä diese reg deaktiviert werden hat der windows weniger funktionen z.B datein hin und herschieben nicht herunterfahren usw. ich wette ducht eine selbst erstelle reg datei die das wieder behebt kann man diesen lsass wieder reparieren.


Process: lsass.exe Pid: 1056

Type Name
Desktop \Default
Directory \Windows
Directory \BaseNamedObjects
Directory \KnownDlls
Event \BaseNamedObjects\DINPUTWINMM
Event \BaseNamedObjects\crypt32LogoffEvent
Event \BaseNamedObjects\userenv: User Profile setup event
Event \BaseNamedObjects\LSA_RPC_SERVER_ACTIVE
Event \SAM_SERVICE_STARTED
Event \BaseNamedObjects\IPSEC_POLICY_CHANGE_EVENT
Event \BaseNamedObjects\IPSEC_POLICY_CHANGE_NOTIFY
Event \BaseNamedObjects\PS_SERVICE_STARTED
Event \BaseNamedObjects\userenv: Machine Group Policy has been applied
Event \BaseNamedObjects\userenv: User Group Policy has been applied
Event \SeLsaInitEvent
File \Device\WMIDataDevice
File \Device\WMIDataDevice
File C:\WINDOWS5\Debug\PASSWD.LOG
File C:\WINDOWS5\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a
File C:\WINDOWS5\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a
File \Device\Tcp
File \Device\Tcp
File \Device\Ip
File \Device\Ip
File \Device\Ip
File \Device\KsecDD
File \Device\NamedPipe\lsass
File \Device\KsecDD
File \Device\NamedPipe\protected_storage
File \Device\NamedPipe\protected_storage
File \Device\NamedPipe\lsass
File C:\WINDOWS5\Debug\oakley.log
File \Device\NamedPipe\svcctl
File \Device\Afd\Endpoint
File \Device\IPSEC
File \Device\IPSEC
File \Device\Afd\Endpoint
File \Device\Udp
File \Device\Afd\Endpoint
File \Device\RawIp\255
File \Device\NamedPipe\ipsec
File \Device\NamedPipe\ipsec
File \Device\NamedPipe\lsass
File \Device\NamedPipe\net\NtControlPipe0
File C:\WINDOWS5\system32
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\Kerberos
Key HKLM\SECURITY\Policy
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\Kerberos\SidCache
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\Kerberos\Domains
Key HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9
Key HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5
Key HKLM\SECURITY\Policy
Key HKLM\SYSTEM\ControlSet001\Control\Lsa
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\MSV1_0
Key HKLM
Key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
Key HKU\.DEFAULT
Key HKLM\SYSTEM\ControlSet001\Services\Tcpip\Linkage
Key HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters
Key HKLM\SYSTEM\ControlSet001\Services\NetBT\Parameters\Interfaces
Key HKLM\SYSTEM\ControlSet001\Services\NetBT\Parameters
Key HKLM\SYSTEM\ControlSet001\Control\SecurityProviders\WDigest
Key HKLM\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
Key HKLM\SAM\SAM
Key HKLM\SAM\SAM\RXACT
Key HKLM\SAM\SAM\Domains\Builtin
Key HKLM\SAM\SAM\Domains\Account
Key HKU
Key HKLM\SYSTEM\ControlSet001\Control\NetworkProvider\HwOrder
Key HKLM\SYSTEM\ControlSet001\Control\SecurityProviders\SCHANNEL
Key HKLM\SYSTEM\ControlSet001\Control\Lsa
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\SspiCache\msapsspc.dll
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\SspiCache\digest.dll
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\SspiCache\msnsspc.dll
Key HKLM\SYSTEM\ControlSet001\Control\Lsa
Key HKLM\SECURITY
Key HKLM\SECURITY\RXACT
Key HKLM\SECURITY\Policy
KeyedEvent \KernelObjects\CritSecOutOfMemoryEvent