Ошибка приложения lsass.exe c кодом состояния с0000005
 

Всех приветствую! Очень нужен Ваш совет для решения проблемы(

Код (ID) 1015
Критический системный процесс С\Windows\system32\lsass.exe завершился ошибкой с кодом состояния с0000005. Необходимо перезагрузить этот компьютер.

Код (ID) 1000
Ошибка приложения lsass.exe, версия 5.2.3790.0, модуль secur32.dll, версия 5.2.3790.4530, адрес 0х00002785


Источник: User32
Пользователь: NT AUTHORITY\SYSTEM
Код (ID) 1074
Процесс winlogon.exe инициировал действие "Перезапустить" для компьютера SERVER от имени пользователя по причине:
Код причины: 0х50006
Тип выключения: Перезапустить

Комментарий: Неожиданно завершен системный процесс "C:\WINDOWS\system32\lsass.exe" с кодом состояния - 1073741819
Будет произведена перезагрузка системы.
==================================

Вирусов в системе 100% нет, приложение lsaa.exe в порядке в плане размера и изменения (сравнивал на других серверах 2003)

Сервер 2003 сп2 x86, все возможные заплатки вроде бы установил, 16Гб памяти. Из основных программ только 1С 7.7 (более 3-х лет назад) и 1С 8.3 (прошлой весной установлена) +SQL 2008(установлен в начале января), 4 базы всего (одна под 7.7).
Через rdp (по локалке предприятия и удаленке) с сервером может работать до 20 человек, большинство в основном с 7.7 работает.

Роли сервера с 2013 года и не менялись с тех пор:
-Файловый сервер
-Сервер печати
-Сервер приложений
-Сервер терминалов
-Контроллер домена
-dhcp-сервер
-dns-сервер

Есть еще второй сервер 2003, на него реплицируется AD. Он также выступает в роли маршрутизатора, установлен Kerio, по удаленке через rdp попадают на первый сервер.


Впервые проблема появилась где-то летом 2 раза за 2,5 месяцев, за всю осень уже раза 4, а вот за январь уже 5 раза. За день 2 раза с разницей в пару часов.
Перезагрузка происходит в рабочее время, вечером и ночью нет. В одном из последних разов перезагрузка произошла когда работало не более 5-человек на сервере - связи от кол-ва пользователей на сервере значит нету...

Что же может крашить lsaas?

ludens, попробуйте создать дамп процесса:

1. скачайте утилиту ProcDump и распакуйте в отдельную папку, например C:\ProcDump;
2. в командной строке (cmd.exe) выполните:
   
   Код:

   ---

   C:\ProcDump\procdump.exe -accepteula -e -w lsass.exe C:\ProcDump\

   ---

3. не закрывайте окно и дождитесь сбоя;
4. выложите сохраненный DMP-файл из папки C:\ProcDump в архиве на любой файлообменник.

Petya V4sechkin, добрый вечер! Спасибо за информацию, завтра приеду ранним утром и выполню!


Upd:
К слову:
https://support.microsoft.com/ru-ru/...service-pack-2
https://answers.microsoft.com/en-us/...d-027657a60fc1

Данное исправление WindowsServer2003-KB940925-x86-RUS ставил 23 января, но увы - не помогло, поскольку сегодня ошибка появилась снова - что и вынудило обратиться за помощью


This problem occurs because the Active Directory directory service incorrectly manages computer password attributes when computer password changing is disabled.
Можете перевести точно данное предложение?
==================================================================================

Upd2: ProcDump работает от Сервера 2008 и выше, увы. Только что удаленно подключился на 2003 и запустил как было указано:

Приложению не удалось запуститься, поскольку wer.dll не был найден. Повторная установка может исправить проблему.

wer.dll как раз и присутствует в сервере 2008 (весит 473кб), а в 2003 его нет. Попробовать скопировать с восьмерки и "скормить" его 2003? Или у Вас есть версия ProcDump для сервера 2003 - на сайте только версия 8.2

ludens, посмотрите в папке
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson
что-нибудь есть?

Нету папки Dr Watson

через cmd DRWTSN32.exe утилита запускается

UPD:
нашел данную папку в C:\Documents and Settings\Администратор\Local settings\Application Data\Microsoft\Dr Watson

ludens, возьмите предыдущую версию ProcDump 7.01, она совместима с Windows 2003.

Petya V4sechkin, Спасибо Вам большое! Да, эта версия работает - проверил работоспособность на другом сервере 2003!
==================================
Waiting for process named lsass.exe...

Process: lsass.exe <420>
CPU threshold: n/a
Performance counter: n/a
Commit threshold: n/a
Threshold seconds: 10
Hung window check: Disabled
Log debug strings: Disabled
Exception monitor: Unhandled
Exception filter: *
Terminate monitor: Disabled
Cloning type: Disabled
Concurrent limit: n/a
Avoid outage: n/a
Number of dumps: 1
Dump folder: C:\Procdump\
Dump filename/mask: PROCESSNAME_YYMMDD_HHMMSS

Press Ctrl-C to end monitoring without terminating the process
=============================================

Система в это время начинает "тупить" и, как я смотрю, не всегда можно подключиться через rpd после начала операции... Значит надо будет делать все это когда пользователи не будут работать с 1С и вообще в терминальном режиме.

Можете подсказать сколько ориентировочно времени может понадобиться на все? В теории - от нескольких минут до суток?)

Сбои же случайно у вас происходят. Когда в следующий раз будет, неизвестно.

Понял, значит запущенное окошко с программой не будут трогать, просто сверну.
И сейчас, вроде как, другой сервер "отпустило" через 10 мин после запуска проги - можно через rdp подключаться и работать.

Ок, буду ждать следующего сбоя - после выложу на файлообменник. Спасибо Вам еще раз за помощь!

======
udp: пришел с утра на работу:
Сбоя пока не было, но в логах программы много повторяющихся Exception: 000006D9, E0010001, E0010002 и 00000006.

Мда, сбоя пришлось ожидать недолго(

Выкладываю:
http://dropmefiles.com/Bm0zS

ludens, в дампе:
Удалите Avest CSP и перезагрузитесь.
Если он необходим для работы, установите свежую версию.

Вот этот Avest CSP я как-раз в пятницу и удалил вечером, перед запуском ProcDump! Но сервер после деинсталляции не перезагружал - это и оказалось фатальным, и причиной по которой lsass.exe дал сбой?



C:\Program Files\Common Files\Avest\Avest CSP\AvSSPc.dll

остались только 3 файла: process, scan, tls - удалил сейчас папку. Надо ли еще реестр чистить от следов Avest CSP, если они есть?


Насчет Avest CSP.... Он был установлен в конце мая 2016, единственная программа во временном отрезке, что попала под подозрение. Сервер перезагрузился впервые как-раз где-то спустя месяц.
Поэтому в пятницу и удалил ее на всякий случай, после запустил утилиту ProcDump.

На диске D есть сетевая версия клиент-банка (альфа-банка) - работает с сентября 2015. На 3-х компьютерах пользователей выведены ярлыки на exe. Опять же на клиентских компьютерах установлены сертификаты и avest csp, необходимые для работы с ключами (флешками) -чтобы делать платежки + прием и отправка почты, и прочеею

Затем на сервер в мае 2016 AVEST CSP был установлен на сервер по той причине (как я помню), чтобы флешку-ключ можно было вставить в сервер и по удаленке (через rdp) главбух мог подключиться и работать с клиент-банком с сервера непосредственно с дома в тот день. Но опять же быстро решить этот вопрос не получилось тогда: не хотел флешку и сертификаты видеть сервер. В итоге в тот же день идею забросили...
==================

Ну да, он не выгружается "на лету" - для удаления требовалась перезагрузка.
Других сторонних модулей в дампе нет.

Да... в итоге сервер в результате сбоя сегодня утром сам себе устроил перезагрузку)

В итоге вся цепочка из тайн, похоже, сложилась - а именно почему сервер начал перезагружаться с лета, строго в будние дни в течении дня: это клиент-банк от бухгалтерии "давил" на мозги Авеста)
И почему он впервые перезагрузился в субботу 21 января за столько времени: потому-то главбух вышел на работу и работал с клиент-банком в тот день.
И почему в прошлый понедельник, который у нас был выходным и работало буквально 5 человек, сервер тоже перезагрузился: опять же единственный человек, кто вышел на работу из всей бухгалтерии и конечно же работал в клиент-банке был главбух.

Если что, через какое-то время я отпишусь здесь снова - но похоже, что теперь все будет в порядке и мне остается только преклониться за Вашу неоценимую помощь!!

======================
upd:
2 недели прошли, как и ожидалось, полный порядок! Низкий поклон!

Доброго дня. Та же проблема с перезагрузкой вин7. Сделал лог, но не могу в нем разобраться. Подскажите, кто в курсе. Дамп в прицепе.

rotor123, для начала установите критические обновления в "Центре обновления Windows" и перезагрузитесь (у вас голая Windows 7 SP1, а с 2011 года накопилось большое количество уязвимостей).

Далее, в стеке фигурирует функция DeleteVolumeMountPointW - посмотрите, нет ли в подключенных разделах (дисках) нестандартных (например, зашифрованных сторонними средствами).

Обновился ждем, по второму кругу....... Сетевые папки есть, на них привязано куча софта, убрать нельзя.

rotor123, сетевые диски не играют роли.
Посмотрите в оснастке "Управление дисками".

Снова перегрузился. Дамп есть.

rotor123, по-прежнему Windows 7 SP1 без обновлений.

Например, WannaCry внедряется в систему в два этапа: на первом "пробивает" уязвимость EternalBlue в SMB по сети, на втором инжектирует вредоносный код в процесс lsass.exe.

Действительно не было обновлений, хотя я пытался обновиться сборкой, вроде прошло, но в программы и компоненты-обновление виндовс обновлений не оказалось. Пытался обновиться как пакетом с микрософта так и сторонними сборками- не проходят обновления. Была система проверена встроеным вигдовс дефендером, куреит от вебра и 360 тотал секюрити- вирусов нет. Но в 360 тотал секюрити обнаружил примочку с установкой патчей винды. Прописал компу доступ к инету. Попробовал, обновляет, насчитало 171 обновление нужно винде. На данный момент еще 105 осталось. Процес не для слаюонервных, с кучей перезагрузок.

Проблема решена. Причина была в отсутствии обновлений и вирусах в сети. 360 тотал секюрити снес, после установки обновлений виндовса, работает только виндовс дефендер(он стал нормально онлайн обновляться). В его журнале появляются записи об удалении вирусов при подключении с других компов. Но все работает без перезагрузок.

Всем привет. Админю Win 2012 r2, RDS. С недавних пор крэш lsass начал приводить к отложенной перезагрузке. Мешает работать.
Я почитал форум и попытался снять дамп с процесса. Но получаю отказ:
За символами ??? гуглится "access is denied" по коду 5. Гуглить пробовал, но без результата. Окажите помощь, если получится.
Что делал:

1) в Политиках нашел параметр Debug Program и проверил, что Администраторы вписаны.
2) пробовал отключать, совсем закрывал приложение Kaspersky Endpoint Security
3) пробовал "натравить" ProcDump на другое приложение - получилось.
4) обновил до последней версии утилиту (10.0)

Хочу еще попробовать пофиксить исчерпанное место на WSUS и запустить обновление. Где-то полгода сижу без них получается. По сути после глобальной борьбы с WanaCry (и имею ввиду кучу обновлений нацеленных на борьбу с ним) не обновляюсь. Заранее спасибо за уделенное время

Запускаете cmd от имени Администратора?
Да, обновиться надо, поскольку с тех пор были обнаружены другие уязвимости, в частности BlueKeep в RDS.

Разумеется.
Про обновить - принял

Ест ещё идеи о правах для Дебага?

miwka77, попробуйте запустить cmd/ProcDump от имени SYSTEM (системной учётной записи).

Не прокатило. Пока бросил попытки Дампнуть и Занялся обновлениями. В свете последних своих событий вижу связь перезагрузок и тем, что они происходят в момент работы именно моих пользователей. Стабильно по утрам. Видимо у кого-то запускается некое приложение, крашещее lsass. Буду эмперически искать, раз Дамп не слить.
Если будут советы альтернативного способа слить Дамп от Lsass'а, то я бы послушал

p.s я может зря сразу не сказал об этом: может на блокировку lsass повлять то, что сервер - это V-машина (VmWare ESXi)?

Такая же ошибка происходит, уже второй день пытаюсь починить, но ответов нет, код ошибки бывает как на картинке и 255, помогите пожалуйста!

Ответы есть, для начала можете прочитать тему.

Здравствуйте, у меня такая же проблема с lsass.exe
и аналогичная (на выходе - перезагрузка системы) с services.exe:

Я ловил обе проги, дамп по services.exe


(тут через онлайн пытался расшифровать дамп)
https://dumps.metastruct.uk.to/analy...a6529afe27b799

samarian, по services.exe не удалось выяснить причину.
Дамп lsass.exe имеется?

Критические обновления безопасности установлены?

Пока нету, придется ждать может быть неделю, а может день. Критические обновления установлены. Во время формирования этого дампа, который я выложил, в окне по lsass.exe спамилось сообщение "Exception: 000006BA" (я понимаю, что это вряд ли поможет определить причину, но вдруг)).
----
Прошло 2 недели, и даже ни одного сообщения не появилось в окне по lsass.exe. Может ли наблюдение влиять на объект?)) Если так, то меня такой фикс устроит.

Нашел глобальную причину (перезагружался в итоге по разным причинам + косяки и ошибки всякие перестали выскакивать). Если не создавать точки сохранения системы, то проблемы нет, но проще удалять вот эти файлы:
1). C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\* (все, кроме файлов с расширением ".dat")
2). C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\* (все, кроме "container.dat")

Если пользуетесь nncron, то:

Добрый день.

Появилась похожая проблема и внезапные перегрузки сервера начали проявлятсья чаще и чаще.
lsass.exe вылетает и триггером является библиотека schannel.dll

Дамп снял. Расшифровать не могу.
Может ли кто-нибдуь помочь?
https://disk.yandex.ru/d/dvumH1SiXZrHFA

Стек:


Модуль:


Корявый "ViPNet" роняет Вашу систему.

NickM, на него и грешил. Только не могу доказать. Спасибо!

Стоит с оф сайта, но ставился давно. Его стоит переустановить/обновить, как думаете?
Или полностью отказаться от него и уйти к работе с ЭДО на Конутр?

А операционная система у Вас какая, актуальная?

У "ViPNet" и раньше были конфликты, но почему у Вас система засбоила именно сейчас - вот тут Вам и следует разобраться;

"Контур" поставщик услуг, а "ViPNet" программное обеспечение от "Infotecs", в Вашем случае криптопровайдер.

В некоторых случаях помогает отключение компонента "Поддержка работы Vipnet CSP через Microsoft Crypto API", возможно и к Вашему случаю окажется применимым.

Server 2012 R2. Но без последних обновлений. Что-то сцыкотно их ставить.

В данном случае крипропровайдер установлен непосредственно на сервер и обращается к данным в 1С.
В моем понимании если начать работать с Контуром, то из 1С будут выгружаться только данные, а вся работа с этими данными будет уже происходить на пользовательской машине бухгалтера.
Криптопровайдеры сами по себе капризные инстурменты, а если еще уставлены на сервера, там кол-во рисков повышается по сравнении с работой обычной пользовательской машины.

Буду разбираться. Главное что найдено куда копать. Спасибо Вам!