Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wiedermal lsass.exe

Frage Sicherheit Viren und Trojaner

Mitglied: Ben83

Ben83 (Level 1) - Jetzt verbinden

22.02.2005, aktualisiert 15.01.2007, 47649 Aufrufe, 17 Kommentare

Es kann nicht der Sasser oder Blaster sein...

Hallo!

Ich habe mich jetzt schon durch sehr viele Seiten gewühlt aber keine Lösung für mein Problem gefunden.

Ein Praxisnetzwerk mit 12 PC´s teils Win XP prof. teils W2k mit SP3 und SP4 und einem Server auf dem W2k Server läuft. Im Netz hängt ein DSL Router, es ist aber nur an bestimmten Stationen das Gateway eingerichtet. Es laufen diverse Praxisverwaltungsprogramme, Tobit InfoCenter (an 5 Stationen) und Sophos AntiVirus im Netz. Das Netzwerk wurde von meinem Vorgänger eingerichtet und läuft mit einer Arbeitsgruppe.

Die Behandlungszimmer 1 - 4 (alle W2k) haben seit Montag morgen immer wieder die Meldung NT-Authorität bla bla lsass.exe bla Statuscode 128 bla bla Der Rechner wird in 60 Sekunden heruntergefahren.

Shutdown -a hilft nicht. Removal Tools von Symantec gegen Sasser, Blaster und MyDoom finden nichts. Sophos findet auch nichts. Im Netz sind nur diese 4 Rechner betroffen. Die 2 Anmelderechner, das Labor, das Röntgen und die 2 Bürorechner haben nichts. Es würde für mich aber irgendwie alles auf einen Virus hindeuten.
Microsoft schreibt das dieses Problem nur bei SP1 oder 2 auftreten kann. Ich hab aber mindestens SP3 drauf. Ne aktualisierung auf SP4 hat auch nicht geholfen.

Als ich dann nicht weitergekommen bin und nichts geholfen hat hab ich einen der 4 platt gemacht und XP prof installiert. Installier Treiber, stell die Netzwerkverbindung her, richte die Praxisverwaltungsprogramme ein, installier den neuen Farblaser mit Printserver und was kommt? Genau, lsass.exe bla aber diesmal mit einem längeren Statuscode den ich nicht so schnell aufschreiben konnte.

Was kann das sein und was tu ich dagegen? Ich bin mit meinem Latein bald am Ende...

Vielen Dank für hilfreiche Antworten,

Ben

PS: Bitte keine Antworten wie "installier nochmal neu" oder "richte erst mal ne Domäne ein" (auch wenns besser wär)
Mitglied: the-punk
23.02.2005 um 10:09 Uhr
hatte gleiches problem mit win2ksp4 auf meinem privatrechner.
wollte ohne firewall die windows-updates installieren.
ist für diese rechner am router ein port-forwarding eingerichtet?
sonst dürften die doch für angriffe von aussen nicht offen sein...
nach neuinstallation und direkter installation einer software-firewall (sygate) war das problem behoben.
Bitte warten ..
Mitglied: Ben83
23.02.2005 um 10:31 Uhr
Port-Forwarding ist für diese Rechner nicht eingerichtet. Diese Rechner dürfen auch nicht ins Internet. Das Problem trat ca. 15min. nach der Neuinstallation auf ohne das der Rechner Zugang zum Internet gehabt hat.
Auch wenn es mit einer Softwarefirewall behoben sein sollte, kenne ich ja noch nicht die Ursache meines Problems...
Bitte warten ..
Mitglied: the-punk
23.02.2005 um 11:00 Uhr
wie wahr. kann nur aus meinen erfahrungen sprechen.
bei mir trat dieser fehler nach kompletter neuinstallation auf, aber erst, als ich eine verbindung zum i-net hergestellt hatte (ohne firewall). ohne die i-net verbindung blieb der stundenlang stabil... daher dachte ich an angriffe von aussen.
nichtsdestotrotz empfehle ich als virenscanner grundsätzlich den kaspersky, der hat definitiv die beste erkennungsrate... möglich wäre ja auch, das ein anderer bei euch infizierter rechner diese attacken auslöst... mit einer software-firewall könnte man dieses problem zumindest eingrenzen, da man ja auch den abgehenden traffic überwachen kann. so sollte man den störenfried auch einkreisen können. und natürlich nicht erforderliche dienste abschalten, um die 'angriffsfläche' zu reduzieren...
hope this helps.
Bitte warten ..
Mitglied: Atti58
23.02.2005 um 13:01 Uhr
... Du installierst Betriebssystem und Anwendungen ausschließlich von Original-CD's und hast keinen Internetzugang? Kannst Du die Praxisverwaltungsprogramm in einzelnen Schritten einrichten? Wenn ja, versuche nach BS und Netz/Drucker ob Dein System sauber arbeitet (Ereignisprotokoll), lass es eine Zeit lang laufen und dann installierst Du eine Anwendung nach der anderen ...

Gruß

Atti.
Bitte warten ..
Mitglied: chris1561
08.03.2005 um 14:23 Uhr
Hallo,

also ich würde die 4 Rechner vom Netz nehmen und einen neu installieren, diesen ohne Netzwerkverbindung erst mal eine Zeit laufen lassen, er wird bestimmt ohne Probleme laufen. dann würde ich den Rechner wieder ans Netz hängen und beobachten was passiert. Somit hättest Du dein Problem eingegrenzt wenn er einwandfrei ím Netz läuft. Dann die anderen 3 genaustens auf Viren untersuchen evtl. verschiedene Scanner verwenden. Wenn Du nichts finden solltest, wird eine Neuinstallation wohl das beste sein.

Gruss

Chris
Bitte warten ..
Mitglied: BrainLess
09.03.2005 um 08:05 Uhr
Wenn Sie Windows Update drüberlaufen lassen, ist Ihr Problem behoben.

Bei 5 oder mehr Workstations rentiert sich eine Verteilung der Patches mittels SUS-Server von Microsoft, da die Patches nur einmalig heruntergeladen werden und zentral verteilt werden.
Bitte warten ..
Mitglied: Tomahawk88
09.03.2005 um 17:11 Uhr
Hallo,

das Problem ist wahrscheinlich ein Wurm, eine Abart des Sasser. Dieses NT-Authoritätsproblem wird durch diesen Wurm verursacht. Ihn zu entfernen
ist sehr einfach. Doch es muss ein Update(für WinXP KB835732) installiert
werden um die Sicherheitslücken zu schließen. Da der Router so einen
Zugriff von aussen nicht zuläßt, kann er nur von jemanden reingeschleppt
worden sein.

Viel Glück!
Bitte warten ..
Mitglied: ch.schmucker
22.03.2005 um 22:37 Uhr
Hallo.

Es mal ..... ich habe auch momentan keine Lösung parrat aber ich hatte letztes jahr ein ähnliches Problem bei einem Kunden. Dort war auch eine Zeitlang diese "Runterfahr meldung" im Netz unterwegs. Ich habe damals erstmal versucht die Rechner wenn diese Meldung auftauchte im DATUM zurück zu setzen. Dann bin ich an die Firewall vom Router und habe mir Regeln erstellt für die Ports die Sasser und co benutzen. Dort konnte ich sehen von welchen rechnern die Pakete gesendet wurden. Ich habe damals festgestellt das es ein Unbefugter war der mit einem Hackertool Shutdowmeldungen an die PC`s gesendet hat. Zb kannst du in der Domaine aul Administrator mit dem normalen shutdownbefehl JEDEN Rechner runterfahren.
Dann ist auch wichtig das die User keine Adminrechte auf Ihren PC`s haben, sodas ein Virus falls aktiv keine Rechte hat. Ich werde nochmal richtig über dein Problem nachdenken. Vieleich fällt mir noch was ein. Aber auf jeden Fall solltest du versuchen mit einen Port Analyse tool rauszufinden welcher rechner der schuldig ist.

CU

Christian
Bitte warten ..
Mitglied: BrainLess
23.03.2005 um 11:04 Uhr
Ist ein einfaches Patchproblem......
Haltet euere Systeme up to Date, dann passiert so etwas nicht.....

Dieses Problem mit LSass.EXE ist genauso alt wie Sasser und co..
Bitte warten ..
Mitglied: schilderdoc
28.08.2005 um 23:58 Uhr
Vor dem nächsten Neuinstall solltest du dir erstmal die Seite
<a href="http://www.heise.de/ct/ftp/result.xhtml?url=/ct/ftp/projekte/offlineupd ..." target="_blanc" title ="Zum Offline-Update von heise.de">Offline-Update von heise.de</a>
ansehen.

Lade dir die .zip runter und entpacke sie in ein beliebiges Verzeichnis.
Dann startest du mit aktivem Internetzugang die getupdates.cmd

Nach einiger Zeit hast du dann alle Updates für W2k und XP in deinem Verzeichnis.
Der Internet Explorer tut dann so, als wollte er installieren, wird aber nur konfiguriert und ebenfalls in dem Verzeichnis abgelegt.

Jetzt brennst du das ganze Verzeichnis auf eine CD und legst diese unmittelbar nach dem - ohne Internetzugang ausgeführten - Neuinstall ein.

Beim Start der updates.cmd werden ServicePack und IE-Version geprüft und ggf. aktualisiert. Als letzten Schritt werden die kritischen Updates bis zum Stichtag des Offline-Updates eingespielt.

Jetzt solltest du auf jedem Fall noch den vorher gezogenen Patch zu <a href="http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms05-039. ..." target="_blanc" title="Zum Download">MS05-039</a> einspielen, dann kannst du alles weitere relativ sicher einrichten...
Bitte warten ..
Mitglied: Tomahawk88
29.08.2005 um 07:36 Uhr
Hallo,

du hast recht. Das kann eventuell an einem Zusatz-Pack liegen. Schau Dir mal diesen Link
an.

http://support.microsoft.com/default.aspx?scid=kb;de;301684

Wie viele schon gepostet haben...wird das Problem nach einen Windows-Update auf allen Stationen sicherlich behoben sein. Alles andere mit Neuinstallieren oder Step-by-Step Einrichten ist wirtschaftlich gar nicht tragbar. Zumal die Praxis ja auch weiterarbeiten muss.
Sollte das auch nicht helfen...würde ich über die Nacht immer ein Rechner nach dem anderen (vier auf einmal geht natürlich auch) mitnehmen und ihn in der Werkstatt neu einrichten. Am nächsten Morgen kannst Du die wieder aufstellen und die Praxis kann wie vorher weiterarbeiten.

Viel Glück noch beim Troubleshooting.

-Stephan-
Bitte warten ..
Mitglied: RuntimeError
25.04.2006 um 01:32 Uhr
moin was macht ihr die sache so schwer? es gibt einen einfache batch befehl um die ablaufenden 60 sec abzubrechen.

wenn das fenster kommt schnell reagierenund folgendes machen:

windows taste+r kommt ihr ins ausführen,
dann tippt ihr rein: shutdown -a

Und das problem ist erstmal gelöst!!
Bitte warten ..
Mitglied: 2095
09.08.2006 um 10:30 Uhr
Hi

erhlichgesagt ich hatte auch an ein paar kisten diese nummern,

und da half mir deine idee nicht (shutdown -a) .,...

Mit freundlichen Grüßen rooks....
Bitte warten ..
Mitglied: 2095
09.08.2006 um 10:30 Uhr
Hi

erhlichgesagt ich hatte auch an ein paar kisten diese nummern,

und da half mir deine idee nicht (shutdown -a) .,...

Mit freundlichen Grüßen rooks....
Bitte warten ..
Mitglied: User56
13.01.2007 um 21:54 Uhr
Hi Runtime Error,

Dein Tipp in Ausführen "shutdown -a" einzugeben hilft gegen das ungewollte Herunterfahren, nur das Problem ist damit nicht gelöst.

Es werden mit diesem Befehl auch andere Programme beeinflusst. Nach dem Schließen kann ein erneutes Öffnen nur nach dem Neustart von Windows erfolgen. Und hier kommt die nächste Überraschung. Windows fährt auch nicht mehr herunter. Über "Start" und "Ausschalten" kommt nur noch das Fenster "Abmelden" und nach Bestätigung werden die Einstellungen zwar gespeichert, aber der Rechner fährt nicht mehr herunter.

Bei meinem Rechner hatte ich nach einer Wartezeit von 2-3 Minuten einfach abgeschaltet. Ein anschließender Neustart ist problemlos verlaufen und zusätzliche Fehler sind dadurch auch nicht aufgetreten.

Vielleicht kannst Du mir da auch mal einen Tipp geben und ich brauche mir dann die Sache auch nicht mehr so schwer machen.

Bis dann
User56
Bitte warten ..
Mitglied: User56
13.01.2007 um 21:55 Uhr
Bitte warten ..
Mitglied: RuntimeError
15.01.2007 um 23:00 Uhr
So, das macht die lsass.exe in registry rein.

nun es ist zwar unübersichtlich aber es greift anscheinend auf den speicher zu.
da beim blaster o.Ä diese reg deaktiviert werden hat der windows weniger funktionen z.B datein hin und herschieben nicht herunterfahren usw. ich wette ducht eine selbst erstelle reg datei die das wieder behebt kann man diesen lsass wieder reparieren.


Process: lsass.exe Pid: 1056

Type Name
Desktop \Default
Directory \Windows
Directory \BaseNamedObjects
Directory \KnownDlls
Event \BaseNamedObjects\DINPUTWINMM
Event \BaseNamedObjects\crypt32LogoffEvent
Event \BaseNamedObjects\userenv: User Profile setup event
Event \BaseNamedObjects\LSA_RPC_SERVER_ACTIVE
Event \SAM_SERVICE_STARTED
Event \BaseNamedObjects\IPSEC_POLICY_CHANGE_EVENT
Event \BaseNamedObjects\IPSEC_POLICY_CHANGE_NOTIFY
Event \BaseNamedObjects\PS_SERVICE_STARTED
Event \BaseNamedObjects\userenv: Machine Group Policy has been applied
Event \BaseNamedObjects\userenv: User Group Policy has been applied
Event \SeLsaInitEvent
File \Device\WMIDataDevice
File \Device\WMIDataDevice
File C:\WINDOWS5\Debug\PASSWD.LOG
File C:\WINDOWS5\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a
File C:\WINDOWS5\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a
File \Device\Tcp
File \Device\Tcp
File \Device\Ip
File \Device\Ip
File \Device\Ip
File \Device\KsecDD
File \Device\NamedPipe\lsass
File \Device\KsecDD
File \Device\NamedPipe\protected_storage
File \Device\NamedPipe\protected_storage
File \Device\NamedPipe\lsass
File C:\WINDOWS5\Debug\oakley.log
File \Device\NamedPipe\svcctl
File \Device\Afd\Endpoint
File \Device\IPSEC
File \Device\IPSEC
File \Device\Afd\Endpoint
File \Device\Udp
File \Device\Afd\Endpoint
File \Device\RawIp\255
File \Device\NamedPipe\ipsec
File \Device\NamedPipe\ipsec
File \Device\NamedPipe\lsass
File \Device\NamedPipe\net\NtControlPipe0
File C:\WINDOWS5\system32
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\Kerberos
Key HKLM\SECURITY\Policy
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\Kerberos\SidCache
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\Kerberos\Domains
Key HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9
Key HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5
Key HKLM\SECURITY\Policy
Key HKLM\SYSTEM\ControlSet001\Control\Lsa
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\MSV1_0
Key HKLM
Key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
Key HKU\.DEFAULT
Key HKLM\SYSTEM\ControlSet001\Services\Tcpip\Linkage
Key HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters
Key HKLM\SYSTEM\ControlSet001\Services\NetBT\Parameters\Interfaces
Key HKLM\SYSTEM\ControlSet001\Services\NetBT\Parameters
Key HKLM\SYSTEM\ControlSet001\Control\SecurityProviders\WDigest
Key HKLM\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
Key HKLM\SAM\SAM
Key HKLM\SAM\SAM\RXACT
Key HKLM\SAM\SAM\Domains\Builtin
Key HKLM\SAM\SAM\Domains\Account
Key HKU
Key HKLM\SYSTEM\ControlSet001\Control\NetworkProvider\HwOrder
Key HKLM\SYSTEM\ControlSet001\Control\SecurityProviders\SCHANNEL
Key HKLM\SYSTEM\ControlSet001\Control\Lsa
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\SspiCache\msapsspc.dll
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\SspiCache\digest.dll
Key HKLM\SYSTEM\ControlSet001\Control\Lsa\SspiCache\msnsspc.dll
Key HKLM\SYSTEM\ControlSet001\Control\Lsa
Key HKLM\SECURITY
Key HKLM\SECURITY\RXACT
Key HKLM\SECURITY\Policy
KeyedEvent \KernelObjects\CritSecOutOfMemoryEvent
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...