Автор Тема: lsass.exe поедает ресурсы (Прочитано 9346 раз)

Faust · « : 12.03.10, 08:56:33 »

С недавних пор, придя по утру на работу, контроллер домена (он же днс) отказывается пинговаться (как следствие - рдп нет, днс нет, вообще ничего нет=) ). В логах пусто (за исключением событий, которые ругаются на нехватку ресурсов). При подключении к нему монитора - висит экран ввода логина/пароля, на нажатия кнопок клавиатуры долго не реагирует, после чего выводится окно о нехватке ресурсов - дальше дело не идет. Помогает лишь ребут.
Как-то раз, в один из таких моментов (пинг перестал ходить, днс не откликался), я был подключен через радмин и умудрился посмотреть диспетчер процессов - процесс lsass.exe отхавал весь проц.
http://ru.wikipedia.org/wiki/Lsass.exe
Порыл яндекс, погуглил, ссылаются на вирус и никаких других подсказок=(
Win 2k3 sp2. Последние обновления установлены.
Тестил др вебом, макафей, авз, антималваре, всякими прочими штуками - пусто, вирей не находит. Никаких подозрительных файликов в док и сеттингс нет, систем32 тоже пролистал - все ОК....
Помогите люди добрые, что ж за беда такая

Crypt · « **Ответ #1 :** 12.03.10, 10:40:30 »

Тестил как, подключая винт к другой машине или прямо на эту все устанавливал?

Faust · « **Ответ #2 :** 12.03.10, 10:52:21 »

Цитата: Crypt от 12.03.10, 10:40:30

Тестил как, подключая винт к другой машине или прямо на эту все устанавливал?

К этой
Рейд там

Crypt · « **Ответ #3 :** 12.03.10, 11:08:05 »

Цитата: Faust от 12.03.10, 10:52:21

К этой
Рейд там

Ну тогда хотя бы другой винт к ней с ДРУГОЙ системой, ну или Лайв СД наконец. Тогда можно говорить о какой либо уверенности, что вирусов нет.

Нервный · « **Ответ #4 :** 12.03.10, 11:14:46 »

Цитата: Faust от 12.03.10, 10:52:21

Рейд там

и что же вам мешает подключить рейд к другомашине ?

Faust · « **Ответ #5 :** 12.03.10, 11:15:41 »

Цитата: Нервный от 12.03.10, 11:14:46

и что же вам мешает подключить рейд к другомашине ?

Рейд встроен в МП О.о

Цитата: Crypt от 12.03.10, 11:08:05

Ну тогда хотя бы другой винт к ней с ДРУГОЙ системой, ну или Лайв СД наконец. Тогда можно говорить о какой либо уверенности, что вирусов нет.

ChipHop · « **Ответ #6 :** 12.03.10, 11:48:16 »

А посмотреть какие службы используют lsass.exe? Поотрубать их очередно...
И родной ли этот lsass.exe вообще? и на месте ли родном он находится?

Faust · « **Ответ #7 :** 12.03.10, 12:34:58 »

Цитата: ChipHop от 12.03.10, 11:48:16

А посмотреть какие службы используют lsass.exe? Поотрубать их очередно...
И родной ли этот lsass.exe вообще? и на месте ли родном он находится?

С ним все в порядке...

Диспетчер учетных записей безопасности
Служба зависит от:
Удаленного выхова процедур RPC
А от неё зависит:
DHCP
Кооридантор распределенных транзакций (

ы )
распределенная файловая система DFS
Служба IntersiteMessaging

Panika · « **Ответ #8 :** 12.03.10, 14:01:05 »

http://manual.mit.ru/index.php?option=com_content&task=view&id=52&Itemid=89

Kasen · « **Ответ #9 :** 12.03.10, 14:10:01 »

Цитата: Panika от 12.03.10, 14:01:05

http://manual.mit.ru/index.php?option=com_content&task=view&id=52&Itemid=89

Тут: Win 2k3 sp2 сассера быть не может по ряду очевидных причин.

Panika · « **Ответ #10 :** 12.03.10, 14:18:30 »

Kasen, а твой вариант?

Нервный · « **Ответ #11 :** 12.03.10, 14:27:42 »

Цитата: Faust от 12.03.10, 11:15:41

Рейд встроен в МП О.о=(

Нисколько не сомневался в этом.
Так в чём же Ваша проблема ?
Конроллер всосал диски вовнутрь ? Он угрожает Вам расправой, если Вы посмеете отсоединить его диски ?

Настривайте на другой машине контроллер в raid mode и подсоединяйте диски. Рейд подхватится. Если, конечно, производитель контроллера тотже.

Kasen · « **Ответ #12 :** 12.03.10, 14:40:56 »

Цитата: Panika от 12.03.10, 14:18:30

Kasen, а твой вариант?

Мой вариант подумать

1. Проверить контрольные суммы вашего lssas.exe и девственно чистого из того же дистрибутива, при условии что обновления касаемые этой службы не накатывались.
2. Посмотреть какие файлы всасывает служба, и хорошо бы понять какой начала всасывать в момент краха.
3. Посмотреть что там с правами файла.
4. Еще как вариант процедурой восстановления пройтись.

Crypt · « **Ответ #13 :** 12.03.10, 14:46:09 »

Цитата: Kasen от 12.03.10, 14:40:56

Мой вариант подумать
1. Проверить контрольные суммы вашего lssas.exe и девственно чистого из того же дистрибутива, при условии что обновления касаемые этой службы не накатывались.
2. Посмотреть какие файлы всасывает служба, и хорошо бы понять какой начала всасывать в момент краха.
3. Посмотреть что там с правами файла.
4. Еще как вариант процедурой восстановления пройтись.

Может сначала банально на вирусы проверить?

boolean · « **Ответ #14 :** 12.03.10, 14:46:29 »

А че никто не сказал что lsass'ов может быть много, а должен быть один в папке Windows\System32?

Kasen · « **Ответ #15 :** 12.03.10, 14:48:06 »

Цитата: Crypt от 12.03.10, 14:46:09

Может сначала банально на вирусы проверить?

Так а разве не сделано еще? О_О Я полагал что это само собой разумеющееся, правда косяг что вирусы на серванте живут.

FAVn · « **Ответ #16 :** 12.03.10, 14:50:37 »

Цитата: boolean от 12.03.10, 14:46:29

А че никто не сказал что lsass'ов может быть много, а должен быть один в папке Windows\System32?

По ссылке Паники об этом сказано.

Faust · « **Ответ #17 :** 12.03.10, 16:54:42 »

Цитата: Нервный от 12.03.10, 14:27:42

Нисколько не сомневался в этом.
Так в чём же Ваша проблема ?
Конроллер всосал диски вовнутрь ? Он угрожает Вам расправой, если Вы посмеете отсоединить его диски ?

Настривайте на другой машине контроллер в raid mode и подсоединяйте диски. Рейд подхватится. Если, конечно, производитель контроллера тотже.

1. Нет у меня второго контроллера=)
2. Нет у меня второго контроллера схожей фирмы=)

Цитата: Kasen от 12.03.10, 14:40:56

Мой вариант подумать
1. Проверить контрольные суммы вашего lssas.exe и девственно чистого из того же дистрибутива, при условии что обновления касаемые этой службы не накатывались.
2. Посмотреть какие файлы всасывает служба, и хорошо бы понять какой начала всасывать в момент краха.
3. Посмотреть что там с правами файла.
4. Еще как вариант процедурой восстановления пройтись.

1. Проверю...
2. Как?

Время подвисания не определенное. Может 3 раза за неделю, а может как сейчас - через 2 недели. И никаких зависимостей проследить не могу (((
3. С правами все ок - наследуются с корня
4. Ммм...контроллер домена без резервного

Чертова лицензия)))

Dmurr · « **Ответ #18 :** 13.03.10, 00:32:15 »

Если вы таки сумели просочиться на сервер через radmin, то есть программа ms filemon она показывает в реальном времени какие файлы используются... логи сохраняются, и в дальнейшем анализировать.... правда машинку грузить будет... ^_^

ddf · « **Ответ #19 :** 13.03.10, 00:37:27 »

Цитата: Faust от 12.03.10, 08:56:33

С недавних пор, придя по утру на работу, контроллер домена (он же днс) отказывается пинговаться (как следствие - рдп нет, днс нет, вообще ничего нет=) ). В логах пусто (за исключением событий, которые ругаются на нехватку ресурсов). При подключении к нему монитора - висит экран ввода логина/пароля, на нажатия кнопок клавиатуры долго не реагирует, после чего выводится окно о нехватке ресурсов - дальше дело не идет. Помогает лишь ребут.
Как-то раз, в один из таких моментов (пинг перестал ходить, днс не откликался), я был подключен через радмин и умудрился посмотреть диспетчер процессов - процесс lsass.exe отхавал весь проц.
http://ru.wikipedia.org/wiki/Lsass.exe
Порыл яндекс, погуглил, ссылаются на вирус и никаких других подсказок=(
Win 2k3 sp2. Последние обновления установлены.
Тестил др вебом, макафей, авз, антималваре, всякими прочими штуками - пусто, вирей не находит. Никаких подозрительных файликов в док и сеттингс нет, систем32 тоже пролистал - все ОК....
Помогите люди добрые, что ж за беда такая

а что мешает запустить совтинку от мелкомягких - процесс эксплоер и в таблице наведя на данный процес поглядеть что в данный момент он делает - при наведении выводится подробная статистика какие процессы дочернии, какие службы и так далее

или воспользоваться софтинкой хаккерэксплоер, там еще и нагрузку на хард показывает и что именно делает(какие файлы тягает)
http://sourceforge.net/projects/processhacker/

Автор Тема: lsass.exe поедает ресурсы (Прочитано 9346 раз) {lang: 'ru'}

Автор Тема: lsass.exe поедает ресурсы (Прочитано 9346 раз)