Показано с 1 по 13 из 13.

перезагружается сервер 2016- lsass.exe завершился ошибкой c0000374 (заявка № 225405)

  1. #1
    Junior Member Репутация
    Регистрация
    26.07.2020
    Сообщений
    6
    Вес репутации
    1

    перезагружается сервер 2016- lsass.exe завершился ошибкой c0000374

    Здравствуйте!
    По несколько раз в день стал перезагружаться сервер. ОС Windows Server 2016. В логах ошибка: "Критический системный процесс "C:\Windows\system32\lsass.exe" завершился ошибкой с кодом состояния c0000374. Необходимо перезагрузить компьютер."
    Помогите пожалуйста разобраться.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,315
    Вес репутации
    359
    Уважаемый(ая) AlekseyI, спасибо за обращение на наш форум!

    Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    31,504
    Вес репутации
    953
    Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".
    Код:
    >>>  "C:\Users\tempadmin\AppData\Roaming\Microsoft\Windows\Start Menu\µTorrent.lnk"        -> ["C:\Users\tempadmin\AppData\Roaming\uTorrent\uTorrent.exe"]
    Отчёт о работе прикрепите.

    Система обновляется?
    Похоже, пытаются подключиться снаружи по RDP, возможно, долбят через уязвимости, могут быть из-за этого перезагрузки.
    Имя компьютера: VS1L2
    Код события: 4625
    Сообщение: Учетной записи не удалось выполнить вход в систему.

    Субъект:
    ИД безопасности: S-1-0-0
    Имя учетной записи: -
    Домен учетной записи: -
    Код входа: 0x0

    Тип входа: 3

    Учетная запись, которой не удалось выполнить вход:
    ИД безопасности: S-1-0-0
    Имя учетной записи: SA
    Домен учетной записи:

    Сведения об ошибке:
    Причина ошибки: Выбранный режим входа для данного пользователя на этом компьютере не предусмотрен.
    Состояние: 0xC000015B
    Подсостояние: 0x0

    Сведения о процессе:
    Идентификатор процесса вызывающей стороны: 0x0
    Имя процесса вызывающей стороны: -

    Сведения о сети:
    Имя рабочей станции: -
    Сетевой адрес источника: 217.76.45.148
    Отключите временно антивирус - у него ложное срабатывание на компоненты используемой далее программы.
    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    26.07.2020
    Сообщений
    6
    Вес репутации
    1
    Сервер обновляется. По RDP действительно кто-то ломится. Даже пришлось изменить порт подключения по RDP - помогло но не надолго. Логи прикладываю.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    31,504
    Вес репутации
    953
    Вирусов нет.
    Сообщите в личку внешний ip сервера, проверю на уязвимости.

    - - - - -Добавлено - - - - -

    По RDP безопасное подключение, но могут долбить и по сети.
    MS SQL Server до последнего SP обновлён?
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    26.07.2020
    Сообщений
    6
    Вес репутации
    1
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Вирусов нет.
    Сообщите в личку внешний ip сервера, проверю на уязвимости.

    - - - - -Добавлено - - - - -

    По RDP безопасное подключение, но могут долбить и по сети.
    MS SQL Server до последнего SP обновлён?
    Насчет последнего сервис пака точно не знаю - буду смотреть. Версия SQL сервера 10.50.1600.1
    Возможно конечно и в сети зараженный компьютер, но ведь IP адреса в логе - внешние.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    31,504
    Вес репутации
    953
    Цитата Сообщение от AlekseyI Посмотреть сообщение
    но ведь IP адреса в логе - внешние.
    Сделайте экспорт журналов событий: система, безопасность, приложение, упакуйте 7-Zip с ультра сжатием и загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку.

    Можно такой скрипт в AVZ из папки Autologger выполнить:
    Код:
    begin
     ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl Security security.evtx', 0, 200000, false);
     ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=2:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
    ExitAVZ;
    end.
    Результат будет в папке с AVZ в архиве Events.7z с оптимальным сжатием.

    - - - - -Добавлено - - - - -

    В журналах событий смущает следующее от Symantec AntiVirus:

    25.07.2020 14:04:31
    Обнаружена угроза!Trojan.Gen.2 в файле: C:\Users\SQL2000ServerUser\Videos\DisplayDrivir\Ma sscan\masscan.exe. Тип сканирования: Автоматическая защита. Действие: Карантин выполнено : Доступ запрещен. Описание действия: Файл успешно помещен в карантин.

    Похоже, что всё же через MS SQL Server внедрились и пытаются в сети закрепиться.
    Меняйте пароль у SQL2000ServerUser, ограничивайте права по возможности, ставьте все обновления. На SA пароль тоже меняйте, для верности.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    26.07.2020
    Сообщений
    6
    Вес репутации
    1
    Пароли сменил. Так же добавил на маршрутизаторе порядка 30 правил с IP адресами из лога безопасности - сервер перестал перезагружаться. Но это скорее временное решение - IP адреса всегда новые - на все правил не хватит.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    31,504
    Вес репутации
    953
    Проще использовать белые списки, занести в них все подсети, с которых подключаются легитимно, как правило, это адресация местных провайдеров.
    Что за роутер, кстати?

    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    FirewallRules: [{2C80B8C9-15AF-4108-B3AF-2EF950D4AFB8}] => (Allow) C:\Users\tempadmin\AppData\Roaming\uTorrent\uTorrent.exe => No File
    FirewallRules: [{2A344C35-EA25-4CD1-98D2-ED0EEEE27BD2}] => (Allow) C:\Users\tempadmin\AppData\Roaming\uTorrent\uTorrent.exe => No File
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    26.07.2020
    Сообщений
    6
    Вес репутации
    1
    Роутер Keenetic Giga. Лог прикрепил. Перезагрузок сервера пока нет.
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    31,504
    Вес репутации
    953
    Судя по экспорту, поставили исключение для папки, где Symantec отловил утилиту masscan. Аналогично фиксим в FRST, код такой:
    Код:
    Start::
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    End::
    Если не старый белый Giga, а II или III, то настраиваем доступ не по отдельным адресам, а по подсетям по инструкции, т. е. вверху идут разрешающие правила.
    Принцип простой, легитимный пользователь подключается с ip адреса, ищем на https://2ip.ru/whois/ или подобном ресурсе диапазон адресов провайдера, в который он входит, и подбираем наиболее подходящую маску для правила, т. к. с диапазонами кинетики не умеют работать.
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    26.07.2020
    Сообщений
    6
    Вес репутации
    1
    Роутер старый -белый. В итоге я переназначил входящий порт RDP - попытки взлома прекратились. Сервер больше не перезагружается. Новый порт буду сообщать по одному пользователю за раз. Таким образом вычислю откуда полезут.
    Спасибо Вам за помощь!
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    31,504
    Вес репутации
    953
    Смена порта ненадолго помогает, как правило.
    Если придёт пора менять роутер, а она придёт, старые гиги мрут от старости, моя ещё 3 года назад коньки откинула, посмотрите в сторону Mikrotik, недорогие роутеры профессионального уровня. И позволяют настраивать всяческие вещи, связанные с безопасностью: VPN, port knoking, и даже такую автоматическую блокировку.

    Удалите папку FRST в корне, и всё на этом.
    WBR,
    Vadim

Похожие темы

  1. Ответов: 7
    Последнее сообщение: 09.05.2017, 11:23
  2. Ответов: 2
    Последнее сообщение: 05.08.2014, 21:00
  3. Ответов: 12
    Последнее сообщение: 25.12.2012, 13:55
  4. Ответов: 1
    Последнее сообщение: 31.01.2011, 15:00
  5. прегружается с ошибкой lsass.exe
    От Oleg6831 в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 16.04.2010, 19:54

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01142 seconds with 20 queries