перезагружается сервер 2016- lsass.exe завершился ошибкой c0000374

[AlekseyI]

Здравствуйте!
По несколько раз в день стал перезагружаться сервер. ОС Windows Server 2016. В логах ошибка: "Критический системный процесс "C:\Windows\system32\lsass.exe" завершился ошибкой с кодом состояния c0000374. Необходимо перезагрузить компьютер."
Помогите пожалуйста разобраться.

[Info_bot]

Уважаемый(ая) AlekseyI, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\tempadmin\AppData\Roaming\Microsoft\Windows\Start Menu\µTorrent.lnk"        -> ["C:\Users\tempadmin\AppData\Roaming\uTorrent\uTorrent.exe"]

Отчёт о работе прикрепите.

Система обновляется?
Похоже, пытаются подключиться снаружи по RDP, возможно, долбят через уязвимости, могут быть из-за этого перезагрузки.

Имя компьютера: VS1L2
Код события: 4625
Сообщение: Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: S-1-0-0
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: S-1-0-0
Имя учетной записи: SA
Домен учетной записи:

Сведения об ошибке:
Причина ошибки: Выбранный режим входа для данного пользователя на этом компьютере не предусмотрен.
Состояние: 0xC000015B
Подсостояние: 0x0

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции: -
Сетевой адрес источника: 217.76.45.148

Отключите временно антивирус - у него ложное срабатывание на компоненты используемой далее программы.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[AlekseyI]

Сервер обновляется. По RDP действительно кто-то ломится. Даже пришлось изменить порт подключения по RDP - помогло но не надолго. Логи прикладываю.

[Vvvyg]

Вирусов нет.
Сообщите в личку внешний ip сервера, проверю на уязвимости.

- - - - -Добавлено - - - - -

По RDP безопасное подключение, но могут долбить и по сети.
MS SQL Server до последнего SP обновлён?

[AlekseyI]

Вирусов нет.
Сообщите в личку внешний ip сервера, проверю на уязвимости.

- - - - -Добавлено - - - - -

По RDP безопасное подключение, но могут долбить и по сети.
MS SQL Server до последнего SP обновлён?

Насчет последнего сервис пака точно не знаю - буду смотреть. Версия SQL сервера 10.50.1600.1
Возможно конечно и в сети зараженный компьютер, но ведь IP адреса в логе - внешние.

[Vvvyg]

но ведь IP адреса в логе - внешние.

Сделайте экспорт журналов событий: система, безопасность, приложение, упакуйте 7-Zip с ультра сжатием и загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку.

Можно такой скрипт в AVZ из папки Autologger выполнить:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security security.evtx', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=2:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

Результат будет в папке с AVZ в архиве Events.7z с оптимальным сжатием.

- - - - -Добавлено - - - - -

В журналах событий смущает следующее от Symantec AntiVirus:

25.07.2020 14:04:31
Обнаружена угроза!Trojan.Gen.2 в файле: C:\Users\SQL2000ServerUser\Videos\DisplayDrivir\Ma sscan\masscan.exe. Тип сканирования: Автоматическая защита. Действие: Карантин выполнено : Доступ запрещен. Описание действия: Файл успешно помещен в карантин.

Похоже, что всё же через MS SQL Server внедрились и пытаются в сети закрепиться.
Меняйте пароль у SQL2000ServerUser, ограничивайте права по возможности, ставьте все обновления. На SA пароль тоже меняйте, для верности.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[AlekseyI]

Пароли сменил. Так же добавил на маршрутизаторе порядка 30 правил с IP адресами из лога безопасности - сервер перестал перезагружаться. Но это скорее временное решение - IP адреса всегда новые - на все правил не хватит.

[Vvvyg]

Проще использовать белые списки, занести в них все подсети, с которых подключаются легитимно, как правило, это адресация местных провайдеров.
Что за роутер, кстати?

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
FirewallRules: [{2C80B8C9-15AF-4108-B3AF-2EF950D4AFB8}] => (Allow) C:\Users\tempadmin\AppData\Roaming\uTorrent\uTorrent.exe => No File
FirewallRules: [{2A344C35-EA25-4CD1-98D2-ED0EEEE27BD2}] => (Allow) C:\Users\tempadmin\AppData\Roaming\uTorrent\uTorrent.exe => No File
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

[AlekseyI]

Роутер Keenetic Giga. Лог прикрепил. Перезагрузок сервера пока нет.

[Vvvyg]

Судя по экспорту, поставили исключение для папки, где Symantec отловил утилиту masscan. Аналогично фиксим в FRST, код такой:

Код:

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
End::

Если не старый белый Giga, а II или III, то настраиваем доступ не по отдельным адресам, а по подсетям по инструкции, т. е. вверху идут разрешающие правила.
Принцип простой, легитимный пользователь подключается с ip адреса, ищем на https://2ip.ru/whois/ или подобном ресурсе диапазон адресов провайдера, в который он входит, и подбираем наиболее подходящую маску для правила, т. к. с диапазонами кинетики не умеют работать.

[AlekseyI]

Роутер старый -белый. В итоге я переназначил входящий порт RDP - попытки взлома прекратились. Сервер больше не перезагружается. Новый порт буду сообщать по одному пользователю за раз. Таким образом вычислю откуда полезут.
Спасибо Вам за помощь!

[Vvvyg]

Смена порта ненадолго помогает, как правило.
Если придёт пора менять роутер, а она придёт, старые гиги мрут от старости, моя ещё 3 года назад коньки откинула, посмотрите в сторону Mikrotik, недорогие роутеры профессионального уровня. И позволяют настраивать всяческие вещи, связанные с безопасностью: VPN, port knoking, и даже такую автоматическую блокировку.

Удалите папку FRST в корне, и всё на этом.