LSASS.EXE terminated with status code 128

Ajd' sad?
Od nocas mi se na serveru Win 2003 pojavljuje poruka otprilike ove sadrzine:

The system process c:\windows\system32\lsass.exe terminated unexpectedly with status code 128 and will shutdown in 56 seconds...

Odmah sam proverio i uradio sledece.
- Skenirao sistem sa AVG Professional 7.5 sa latest virus database
- Zone alarm namestio da pita da li sme lsass.exe da bilo sta uradi
- proverio u command modu: taklist /svc - nista neobicno nasao
- U services za lasass.exe (Net Logon) stavio da u recoveru ne radi nista (Take no action)
- Skinuo Fix sa Symantec sajta za Blaster.Worm i pokrenuo - nije ga ni nasao
- Skinuo Fix sa Symantec sajta za Sasser.Worm i pokrenuo - nije ga ni nasao
- Proverio na disku ne pstoji "mblast.exe"

ali,,,

i dalje mi s vremena na vreme resetuje server i nakon sto se reboot zavrsi, mogu normalno da pristupim svim sajtovima a i mapiran disk na drugom racunaru takodje se odaziva normalno...

Dakle, nisam nasao nikakav poseban problem, jedino to povremeno resetovanje racunara sa prethodnom porukom.

Ima li neko iskustva sa time i ideju sta da proverim?
Ili da lepo formatizujem disk i instalisem sve iz pocetka

(Eh, sto volim kad me neka glupost ometa u poslu...)

Jesi li probao SFC? Jesi li probao HT log da napraviš i pregledaš?

Djubre mi ne da da startujem SFC iz command prompta a jesam administrator i (nadam se ) je3dini korisnik tog racunara. Trazi mi da idem u konzolni mod? Gde je to kog vraga?

Inace HT nisam nikada u zivotu koristio i nemam ga na disku. Moracu da protabirim prethodne poruke da vidim odakle da pokupim to i kako se upotrebljava

Hvala u svakom slucaju.

HT: http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe
Iskopiraj log ovde, nemoj se sam mučiti ako ga nisi koristio...

Formatiraj disk i resices problem.

/me se javlja ako zatreba pomoć da dodjemo sa šrafcigerima , brusilicama bušilicama itd. a ako zatreba da kopamo dublje grrr.

codemaker:

Djubre mi ne da da startujem SFC iz command prompta a jesam administrator i (nadam se ) je3dini korisnik tog racunara. Trazi mi da idem u konzolni mod? Gde je to kog vraga?
Hvala u svakom slucaju.

Kliknite za proširenje...

Safe Mod With Command prompt , ako se ne varam

Edit:
Ala sam ja lupio ko maxim po diviziji , start > Run > upiši "sfc /scannow" i spremi instalacioni cd od windowsa 2003

Code, ne idi previse u krajnost...

Svakako, ako ti nije frka, daj nam taj Log od HijakThisa, zivo me zanima.. A vidim da nisi pratio sve ovo, ali zakrpa sto se tice windowsa za msblast je odavno izasla i ako uzimas redovan update za windows, tesko da te je mogao da napadne blaster..

Ipak, daj nam HJT log, pa cemo, prvenstveno DR.Bora a ako mognem i ja da resavamo..

P.S..

Znas ako nista ne pomogne, kurbla je jos kod tebe..

Mislim ne vidim razlog zašto bi formatirao disk , ako je samo deo win-a na-pukao , obično se to reši i sa Repair Win-a , pa bar ne mora da se posle toga zeza sa programima nanovo jer mu sve ostane.

Zao mi je sto nisam ranije se javio. Borio sam se sa mrcinom koja je svasta od mene trazila. Na kraju sam moraju da se skinem u donji ves i tako sedim ispred ekrana, jer je samo tako hteo da se povinuje mojim komandama...

Sto se tice SFC, ne da mi Windows 2003 server da to radim iz command prompta, samo preko neke konzole, koju naravno drzi skrivenu negde izmedju 10. i 23. nivoa zastite - sekcija games verovatno..

Hijack this mi je dao opciju da snimim txt file i eve ga pa vidite sta cete sas njega, ja se u to razumem na nivou Mare i qrca....


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 6:09:03 PM, on 9/16/2007
Platform: Windows 2003 (WinNT 5.02.3790)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\wincmd 452 full\WinCmd32.exe
c:\Installs\HijackThis\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.megaupload.com/toolbar/?c=installed
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\ADMINISTRATOR\Application Data\Mozilla\Profiles\default\x81buqeo.slt\prefs.js)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{F063330E-7363-4B9D-B948-F33B226AD25F}: NameServer = 85.222.180.130,85.222.180.131
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hvala u svakom slucaju na pomoci, ma kakva bila.
Naravno, zadnja stvar koja mi ostaje je da formatiram disk pa iznova instalisem sta treba. MAda to mrzim najvise!

Moram sada da izadjem na 40 minuta, kad se vratim, nadam se da mi necete reci da spremim maramicu za brisanje suza i da se opremim sendvicima i pocnem reinstalaciju djubreta...

dr_Boro , zar ovo nije trojanac W32myzor ?
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} -C:\WINDOWS\system32\msdxm.ocx

Vrlo moguće da je nekakav bag samog servera... Kaže li šta u application log-u? Da li si skoro instalirao neke zakrpe?

Ovaj log izgleda čist, ali i sumnjivo kratak. Probaj da promeniš ime programu HT, pa onda opet napravi log.

maksvel:

Vrlo moguće da je nekakav bag samog servera... Kaže li šta u application log-u? Da li si skoro instalirao neke zakrpe?

Kliknite za proširenje...

Taj server mirno cuci u spajzu negde i cesto zaboravim da ga imam, tako da nikakve zakrpe nisam instalisao od momenta kad sam instalisao OS...

dr_Bora:

Ovaj log izgleda čist, ali i sumnjivo kratak. Probaj da promeniš ime programu HT, pa onda opet napravi log.

Kliknite za proširenje...

Ja sam prvi puta u zivotu startovao ovaj HijackThis, tako da i ne razumem sta mislis time da "mu promenim ime"? Program koji sam koristio za log ima puno ime "HiJackThis_v2.exe"

Inace log sam pravio iz normalnog moda rada, ne iz safe moda. Razlog je sto serveru pristupam preko Remote Desktop Connection od kad ga imam. Da bi ga prebacio na safe mod i na njemu bilo sta radio, morao bih da ga skinem sa mreze, prebacim u drugu sobu, nakacim neki raspolozivi monitor i tastaturu, misa - sto cudesa... Za sada to necu raditi,

Pa samo promeniš ime iz "HiJackThis_v2.exe" u npr. ''Code.exe''.
Btw, log i treba da se pravi iz normal moda...

Promenuo ime i novi log:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 8:40:29 PM, on 9/16/2007
Platform: Windows 2003 (WinNT 5.02.3790)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\wincmd 452 full\WinCmd32.exe
c:\Installs\HijackThis\HiJackThis_v3.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.megaupload.com/toolbar/?c=installed
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\ADMINISTRATOR\Application Data\Mozilla\Profiles\default\x81buqeo.slt\prefs.js)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{F063330E-7363-4B9D-B948-F33B226AD25F}: NameServer = 85.222.180.130,85.222.180.131
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 2735 bytes

Napomena:
Od kad imam ovaj problem, sama konekcija putem Remote Desktop Control traje daleko duze nego inace. Brze mi se otvara Citrix veza sa USA serverom nego sa ovim mojim ravunarom u spajzu

Al' si mu promenio naziv... Poenta je da nema hijackthis u listi procesa...
Al' dobro, nije ni bitno. Nema ovde ništa maliciozno.

Nego, spremi maramicu... :-(

BTW, kada si poslednji put restartovao taj pc?
Vidim da postoji RunOnce stavka koja treba da se izvrši...

@DR.Bora

U naslovu i stoji objasnjenje da pomenuti problem i restartuje system.. U tome i jeste problem koji je naveden.. Mozda prilikom ovog skeniranja je ponovo situacija odbrojavanja..

S obzoirom da ti se sporije otvara konekcija sa tim računarem , kada ti se otvori mogao bi da zaviriš u njegov task menager da pogledaš koji mu proces zauzima toliko mesta , nijedan računar ne poludi sam od sebe. Nego ima li taj računar možda sistem restore?

@dr_Bora
Poslednji puta je restartovan pre 21 sekunde
A sto se tice promene naziva, pojma nisam imao sta je svrha, pa mi je najjednostavnije bilo da dvojku zamenim trojkom..
I sta kazes, maramica mi sleduje?

@snejks
Provericu sta kaze task mamager, samo koliko se sacam zadnji puta kad sam pogledao, bila je jako kratka lista procesa
Za sistem restore, osim ako nije automatski radjen, ja koliko se secam nisam praio "restore points"

Inace, tacan izgled dialoga je:

Jel' zna neko kako da umlatim taj "NT AUTHORITY\SYSTEM" jer je on i inicirao restart?

http://www.tsgserver.com/pipermail/list_tsgserver.com/2004-June/002329.html
http://www.tsgserver.com/pipermail/list_tsgserver.com/2004-June/002331.html

Posto dobro baratas engleskim jezikom, ovo ces bes problema da procitas, mozda pomogne..

Sledeca stvar je za HJT - promjena imena kako je Dr.Bora napomenuo je vazna da potencijalni napadaci nemaju indikacije da ovaj program postoji, jer dosta njih se stiti od HJT.. Iskreno sad ne znam napisati koji metod koriste..
Zato odradi kako rece Dr.Bora, promijeni mu ime u Code.exe..

Ako naidjem na jos nesta pisem..

Moze da bude korisno
http://www.techzonez.com/forums/archive/index.php/t-9864.html
http://msmvps.com/blogs/nuoyan/archive/2004/11/07/18251.aspx
mozda je rjesenje u nekom kabinetu koji se moze preuzeti sa MS sajta, u kojem je doslo do greske, ovo samo pisem na brzinu citajuci..

Nisam baš najsrećnije sastavio tu rečenicu... Htedoh reći da pc treba restartovati kako bi se odradilo to što stoji u RunOnce sekciji...

No, vidim da je sada odrađeno...

Formatiraj disk.