» lsass грузит процессор

Имеется Windows 2003 Server, на нем стоит терминал сервер, с подключенными от 30 до 40 пользователями. Железо - 2-головый Зеон.

До установки SP1 на сервер процессор сильно не грузился. После установки загрузка процессора практически всегда 100%, причем процесс lsass.exe берет от 10 до 25%.

Есть у кого-нибудь идеи как это можно вылечить без отката установки SP1?

У меня этот грёбаный lsass.exe не даёт войти в винду смотри ТУТ

Что говорят антивирусы? возможно, файл lsass.exe ( Local Security Authority Subsystem Service) заражен вирусом типа Win32.Mydoom.l...

2DITARS Антивирусы молчат.

Хотелось бы добавить, что график нагрузки на процессор имеет пилообразный характер.

А что с сеткой? работает нормально, нет перегруза?
ПОхоже также на sasser, его иногда антивирусы не определяют.
Найди заплатку.

Цитата:

Хотелось бы добавить, что график нагрузки на процессор имеет пилообразный характер.

У меня та же проблема. Только стоит WinXP Prof SP2 Rus с патчем
TS-Free-1.2.exe (Terminal server No Restriction Patch 1.2)
для работы в терминальном режиме. Система на 2-х-процессорной машине, AMD 1700+, памяти 2 GB. Если все вышли из сеансов, то такой пилообразной загрузки нет, если хоть один зашел именно через сеанс терминала, то через несколько минут появляется. Причем грузятся одинаково синхронно оба процессора, на 35-45%, график пилообразный, период 5-6 секунд. Упадет на секунду загрузка, а потом опять на секунд 5 поднимается.

Если кто решил у себя подобную проблему, помогите, пожалуйста.


Добавлено:
Грузит именно lsass.exe

таже фигня, только при работе с скайграбером, потому и начали ошибки сыпаться, обычная загрузка при работе с грабером 60%, из за lsass.exe периодически до 70-100% прыгает. (дня 3 последние такое)

Та же ерунда!
При чем судя по опытам такого нету на Вынь2003 Энтерпрайз которая вообще без сервиспаков
если есть 1-ый или второй сервиспак то появляется пила и загрузка lsass довольно серьезная, что весьма мешает работе пользователей
причем пробывал на трех абсолютно разных по железу серверах везде одни и те-же грабли.
Вывод что грабли в самой винде.
Неужели никто не решил эту дилему?
поделитесеь решением плз!!!!!
спасите и помогите

был похожий вирь....

drSerj
Msbalst?

drSerj
про бласт мы все наслышаны
но винда сервиспачная со всеми заплатками и только поставленная
100% что его там нет.

http://forum.ru-board.com/topic.cgi?forum=62&topic=2282#1
там тоже люди думали что нет.. а симантековский нашел..
так просто он не начинает глючить

у меня вот грузит следующим образом. ОС winxpsp2 eng. если не подключать кабель к сетевой,то все нормально, как только кабель воткнут сразу рождаеться второй процесс lsass и грузит процессор под 99%.

Добавлено:
антивирусы не видят.avz тоже ничего подозрительного.

Добавлено:
ээто появилось,после внезапного отключения электричества в комнате.до этого было все ок.

внесу свои 5коп.
гуглил вопрос, и наткнулся на сие обсуждение
у самого ноут с Win2k SP4
lsass загружает на 99% проц сразу после подключения сети.
симантек и Др.Веб молчат.

также если не ставить драйвер marvell(сетевуха это фирмы,к ней подрубаеться кабель) то все нормально.ну потому что драйвера нетуФ, и сетевуха не пашет.если даже выключить сетевуху через винду,перезагрузить,то 99% небудет.а как только включишь сетевую сразу рождаеться второй процесс lsass.exe (все проверил,это не какой то другой файл,подмены никакой нету) и грузит под 99%

Добавлено:
если кстати отключить tcp/ip протокол у сетевой карты,сделать ребут,загрузка исчезнет даже при включенной сетевой карте. как только ставлю галку включения протокола tcp/ip на сетевой карте,сразу у второго процесса появляеться 99% загрузка.

Вопщем, победил бодягу.
Обновил сканер Веба и базы.
Просканил все: в памяти чисто, но на диске нашлась пара троянов.
лог не сохранил, потому их названия не приведу. Один сидел в корне профиля, экзешник.
И библиотека t0.dll в system32.
После удаления все стало гладко.

RED October
а вирусы были найден в файлах, или в памяти? а вижу. странно очень.как же они грузяться то!

по вирусам ничего нету, после проверки последним dr web и базами последними.

AlexeiKozlov
В том же процентном соотношении, что и загрузка Вашего процессора, это вирусы или руткиты. DrWeb, всё же, не то средство, на которое можно положиться. Но вне зависимости от личных пристрастий, просто попробуйте разные антивирусы. И желательно - с загрузочного LiveCD!

Посмотрите вот этот пост о том, как избавиться от прицепившейся гадости! Попробуйте по шагам! В принципе, этого должно быть достаточно.

Для сложных случаев есть ещё варианты, касаемо lsass.exe:
1. Из командной строки "cipher /h /n /u" . Если возвратит длинный список зашифрованных файлов - расшифруйте их из Проводника.
2. В проводнике включите показ скрытых и системных файлов, зайдите в папку "%appdata%\microsoft\protect\" . Усли увидите в этой папке подпапку с длинным цифровым названием, удалите её, не открывая Shift+Delete. Перезагрузитесь и посмотрите, осталась ли проблема.

Должно помочь!

а вопрос, если я это проделаю (уже утром завтра ) я смогу понять в чем была проблема? или она простой уйдет? хотелось бы понять. я просто проверил комп через kav6,drweb,avz+avzpm. но ничего подозрительного.

притом если снять этот второй lsass.exe(который cpu usage=99%) , то машина работает абсолютно нормально,и с сетью и локально.

AlexeiKozlov

Цитата:

я смогу понять в чем была проблема

Конечно! Анти-руткит всё напишет. Как только руткиты отвалятся, антивирус сможет вылечить то, что раньше не мог - тоже сообщит об этом. SFC только молча будет восстанавливать, лишь диск с Windows попросит. До "сложных случаев" вряд ли дойдёт. Есить ещё вариант, что причина не будет найдена, и по-прежнему, CPU будет на 99% занят. Тогда будем думать, что дальше!

Добавлено:
Попробуйте ещё использовать RootkitRevealer. Не знал, что Марк Руссинович выпустил антируткит - только обнаружил, раньше не использовал. Но Марку можно доверять на 100%!

руткитов похоже нету.

есть такая ситуация,получил только сегодня.

я оставляю свич только с компами сети,без кабеля по которому идет интернет.

все нормально с lsass.никаких сбоев! и машина нормально работает.

как только втыкаю кабель с интернетом от нашего провайдера,сразу до 99% на этой машине выскакивает lsass и отрубание кабеля уже не помогает.

Добавлено:
обнаружилось почти точная причина:

если на сетевой карте этой машины поставить не правильный днс,то все хорошо. как только ставлю правильный днс то сразу (как сообщил наш провайдер с этой машины идет лавинный трафик с 53 порта).

не знаю что делать.балин.

Добавлено:
короче помог antivir(avira) антивирус.

Begin scan in 'C:\WINDOWS\system32'
C:\WINDOWS\system32\bkernel.sys
[DETECTION] Contains detection pattern of the rootkit RKIT/YPSload
[INFO] The file was moved to '47587eb5.qua'!
C:\WINDOWS\system32\hsrv.exe
[DETECTION] Is the Trojan horse TR/Proxy.Thrap.A
[INFO] The file was moved to '47657ecb.qua'!
C:\WINDOWS\system32\msvcrtd.exe
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '47697ef4.qua'!
C:\WINDOWS\system32\ssrv.exe
[DETECTION] Is the Trojan horse TR/Proxy.Thrap
[INFO] The file was moved to '47657f10.qua'!


вот его лог.
короче проблема решилась,только этим методом.другие все результата не дали. я использовал только последние верссии и базы .мда.

сейчас с машиной все в порядке.никаких сбоев.

Добавлено:

служба msupdate
Microsoft security update service

This service downloading and installing Windows security updates

c:\windows\system32\msvcrtd.exe


вот так он запускался.из служб .

AlexeiKozlov

Цитата:

руткитов похоже нету.

Это Вам Unhackme сказал или...

Цитата:

проблема решилась

Поздравляю! И почему никто никогда не верит на слово! Только sfc - запустите, всё-таки. И антивирус с Live CD! А то ожить может!

wzbryk
unhackme молчал как и avz. так что так. но я нашел через antivir это при скане файлов,а не системной памяти. в системной памяти никто найти не мог.

AlexeiKozlov

Цитата:

unhackme молчал

Ну... Он реагирует на тип вторжения, а не на сигнатуру... Странно... И даже интересно... Если у Вас раньше не отлавливался просто вирус, то что получается, Avira помогла? А если, всё-таки, продрать, загрузившись не под Вашим рабочим Windows? Вот это будет настоящий тест! Ничего не хочу сказать про Avir'у, просто не было времени потестировать, лишь слышал голословные и не очень доказательные положительные отзывы. Вот если Вы скажете, что McAfee, NOD или Trend ничего не нашли с LiveCD - будет повод зареспектить и как следует протестировать Avir'у!

так, давай устроим я вирус выдрал из той системы, и он у меня есть с инсталом так сказать ) конечно я не инсталил .но ты проверишь выложить?

AlexeiKozlov

Цитата:

так, давай устроим я вирус выдрал из той системы, и он у меня есть с инсталом так сказать ) конечно я не инсталил .но ты проверишь выложить?

Троян - выкладывай! Поглядим!

Решилась ли у автора темы эта проблема, и как?