Hallo,

ich habe ein großes Problem. Bei einem Kunden haben wir ein Netzwerk mit Win2000 und WinXP Clients und einem Win2000 Server. Es kommt immer wieder vor, dass ein Win2000 Rechner unerwartet heruntergefahren wird.

Meldung:
Der Systemprozess "C:\Windows\System32\lsass.exe" wurde unerwartet mit dem Statuscode -1073741819 beendet. Das System wird heruntergefahren und neu gestartet.

Das passiert grob gesagt jeden Tag auf einem anderen Rechner. Ich habe die betroffenen Rechner schon mit allen möglichen Tools überprüft: Fix-Tools von Symantec, AdAware, SWSchredder, McAfee Stinger, McAfee Virus Scan.
Auf Sasser habe ich alle Rechner im Netz überprüft (incl. Server). Kein Tool hat etwas gefunden.

Was kann das noch sein??

Gruß
Ingo

@Ingo

lass mal Filemon auf den Rechnern mitlaufen über das Log kannst du dann sehen welches File die lsass angesprochen hat.

cu Nichtznuts

Erstmal ist lsass.exe eine Systemdatei.
Bei einer lssas.exe [/SIZE] siehts jedoch schon wieder anders aus.

Der lokale Sicherheitsdienst lsass.exe (Local Security Authority Subsystem) steuert die Richtlinien für User. Wenn Sie nicht als Administrator angemeldet sind, und nur auf bestimmte Dateien zugriff haben, ist die lsass.exe dafür verantwortlich. Versuchen Sie sich mit einem falschen Usernamen anzumelden, wird die lsass.exe dieses feststellen und den Zugriff auf das Betriebssystem verhindern.


Sieg über W32.MSBlaster C – Wurm
"lssas.exe"

Neustart, F8 und nach Vorgabe in den abgesicherten Modus mit Eingabeaufforderung.
Dann in den Administrator. Das funktionierte.
Und nun die DOS-Befehle (hier gibt es keine Maus zum Klicken).

Erst mal mit cd.. solange bis nur noch C:\ da steht
und dann gings los:
C:\cd windows
C:\windows>cd system32
C:\windows>system32>dir (für Direktory, um den genauen File-Namen zu haben)
C:\windows>system32>del lssas.exe [return]
C:\windows>system32>dir (zur Kontrolle) und weg war er.

Ich hatte ihn Getötet! Die Moral: Es ist nie was zu alt, dass es doch noch zu was nützt.

Ich hoffe ich konnt dir helfen!Bitte schreib, ob es gewirkt hat!

Hallo, habe es versucht, genau wie beschrieb, erhalte aber keiinen Zugriff die Datei zu löschen. Liegt übrigens ein Schreibfehler vor ? oben im Text schreibst Du noch lsass.exe und weiter unten nur noch lssas.exe. Die gibt es bei mir garnicht. Mfg willi go!

@ willi go!

bitte genau lesen. Das eine ist eine System-Datei, das andere ein Wurm.
Du kannst Die beiden Dateien hier eingeben, dann siehst Du was was ist. Schreibweise beachten: Free Process Information

SD

Falls es Blaster ist, den neusten Stinger drüber und gut ist es!
LG, Charlie

Für die „Nichtmausschubser“, dass mit DOS geht auch ganz gut, habe es gerade getestet!?

@ Snake26, warum so umständlich ins DOS zu kommen? einfach Ausführung/cmd und enter!

@charlie1 das ist nur command, das kann man net als dos-modus ansehen sondern als virutelles dos..