Ошибка приложения lsass.exe c кодом состояния с0000005
Всех приветствую! Очень нужен Ваш совет для решения проблемы(
Код (ID) 1015 Критический системный процесс С\Windows\system32\lsass.exe завершился ошибкой с кодом состояния с0000005. Необходимо перезагрузить этот компьютер. Код (ID) 1000 Ошибка приложения lsass.exe, версия 5.2.3790.0, модуль secur32.dll, версия 5.2.3790.4530, адрес 0х00002785 Источник: User32 Пользователь: NT AUTHORITY\SYSTEM Код (ID) 1074 Процесс winlogon.exe инициировал действие "Перезапустить" для компьютера SERVER от имени пользователя по причине: Код причины: 0х50006 Тип выключения: Перезапустить Комментарий: Неожиданно завершен системный процесс "C:\WINDOWS\system32\lsass.exe" с кодом состояния - 1073741819 Будет произведена перезагрузка системы. ================================== Вирусов в системе 100% нет, приложение lsaa.exe в порядке в плане размера и изменения (сравнивал на других серверах 2003) Сервер 2003 сп2 x86, все возможные заплатки вроде бы установил, 16Гб памяти. Из основных программ только 1С 7.7 (более 3-х лет назад) и 1С 8.3 (прошлой весной установлена) +SQL 2008(установлен в начале января), 4 базы всего (одна под 7.7). Через rdp (по локалке предприятия и удаленке) с сервером может работать до 20 человек, большинство в основном с 7.7 работает. Роли сервера с 2013 года и не менялись с тех пор: -Файловый сервер -Сервер печати -Сервер приложений -Сервер терминалов -Контроллер домена -dhcp-сервер -dns-сервер Есть еще второй сервер 2003, на него реплицируется AD. Он также выступает в роли маршрутизатора, установлен Kerio, по удаленке через rdp попадают на первый сервер. Впервые проблема появилась где-то летом 2 раза за 2,5 месяцев, за всю осень уже раза 4, а вот за январь уже 5 раза. За день 2 раза с разницей в пару часов. Перезагрузка происходит в рабочее время, вечером и ночью нет. В одном из последних разов перезагрузка произошла когда работало не более 5-человек на сервере - связи от кол-ва пользователей на сервере значит нету... Что же может крашить lsaas? |
ludens, попробуйте создать дамп процесса:
|
Petya V4sechkin, добрый вечер! Спасибо за информацию, завтра приеду ранним утром и выполню!
Upd: К слову: https://support.microsoft.com/ru-ru/...service-pack-2 https://answers.microsoft.com/en-us/...d-027657a60fc1 Данное исправление WindowsServer2003-KB940925-x86-RUS ставил 23 января, но увы - не помогло, поскольку сегодня ошибка появилась снова - что и вынудило обратиться за помощью This problem occurs because the Active Directory directory service incorrectly manages computer password attributes when computer password changing is disabled. Можете перевести точно данное предложение? ================================================================================== Upd2: ProcDump работает от Сервера 2008 и выше, увы. Только что удаленно подключился на 2003 и запустил как было указано: Приложению не удалось запуститься, поскольку wer.dll не был найден. Повторная установка может исправить проблему. wer.dll как раз и присутствует в сервере 2008 (весит 473кб), а в 2003 его нет. Попробовать скопировать с восьмерки и "скормить" его 2003? Или у Вас есть версия ProcDump для сервера 2003 - на сайте только версия 8.2 |
ludens, посмотрите в папке
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson что-нибудь есть? |
Нету папки Dr Watson
через cmd DRWTSN32.exe утилита запускается UPD: нашел данную папку в C:\Documents and Settings\Администратор\Local settings\Application Data\Microsoft\Dr Watson |
ludens, возьмите предыдущую версию ProcDump 7.01, она совместима с Windows 2003.
|
Petya V4sechkin, Спасибо Вам большое! Да, эта версия работает - проверил работоспособность на другом сервере 2003!
================================== Waiting for process named lsass.exe... Process: lsass.exe <420> CPU threshold: n/a Performance counter: n/a Commit threshold: n/a Threshold seconds: 10 Hung window check: Disabled Log debug strings: Disabled Exception monitor: Unhandled Exception filter: * Terminate monitor: Disabled Cloning type: Disabled Concurrent limit: n/a Avoid outage: n/a Number of dumps: 1 Dump folder: C:\Procdump\ Dump filename/mask: PROCESSNAME_YYMMDD_HHMMSS Press Ctrl-C to end monitoring without terminating the process ============================================= Система в это время начинает "тупить" и, как я смотрю, не всегда можно подключиться через rpd после начала операции... Значит надо будет делать все это когда пользователи не будут работать с 1С и вообще в терминальном режиме. Можете подсказать сколько ориентировочно времени может понадобиться на все? В теории - от нескольких минут до суток?) |
Цитата:
|
Понял, значит запущенное окошко с программой не будут трогать, просто сверну.
И сейчас, вроде как, другой сервер "отпустило" через 10 мин после запуска проги - можно через rdp подключаться и работать. Ок, буду ждать следующего сбоя - после выложу на файлообменник. Спасибо Вам еще раз за помощь! ====== udp: пришел с утра на работу: Сбоя пока не было, но в логах программы много повторяющихся Exception: 000006D9, E0010001, E0010002 и 00000006. |
|
ludens, в дампе:
Цитата:
Если он необходим для работы, установите свежую версию. |
Вот этот Avest CSP я как-раз в пятницу и удалил вечером, перед запуском ProcDump! Но сервер после деинсталляции не перезагружал - это и оказалось фатальным, и причиной по которой lsass.exe дал сбой?
C:\Program Files\Common Files\Avest\Avest CSP\AvSSPc.dll остались только 3 файла: process, scan, tls - удалил сейчас папку. Надо ли еще реестр чистить от следов Avest CSP, если они есть? Насчет Avest CSP.... Он был установлен в конце мая 2016, единственная программа во временном отрезке, что попала под подозрение. Сервер перезагрузился впервые как-раз где-то спустя месяц. Поэтому в пятницу и удалил ее на всякий случай, после запустил утилиту ProcDump. На диске D есть сетевая версия клиент-банка (альфа-банка) - работает с сентября 2015. На 3-х компьютерах пользователей выведены ярлыки на exe. Опять же на клиентских компьютерах установлены сертификаты и avest csp, необходимые для работы с ключами (флешками) -чтобы делать платежки + прием и отправка почты, и прочеею Затем на сервер в мае 2016 AVEST CSP был установлен на сервер по той причине (как я помню), чтобы флешку-ключ можно было вставить в сервер и по удаленке (через rdp) главбух мог подключиться и работать с клиент-банком с сервера непосредственно с дома в тот день. Но опять же быстро решить этот вопрос не получилось тогда: не хотел флешку и сертификаты видеть сервер. В итоге в тот же день идею забросили... ================== |
Цитата:
Цитата:
|
Да... в итоге сервер в результате сбоя сегодня утром сам себе устроил перезагрузку)
В итоге вся цепочка из тайн, похоже, сложилась - а именно почему сервер начал перезагружаться с лета, строго в будние дни в течении дня: это клиент-банк от бухгалтерии "давил" на мозги Авеста) И почему он впервые перезагрузился в субботу 21 января за столько времени: потому-то главбух вышел на работу и работал с клиент-банком в тот день. И почему в прошлый понедельник, который у нас был выходным и работало буквально 5 человек, сервер тоже перезагрузился: опять же единственный человек, кто вышел на работу из всей бухгалтерии и конечно же работал в клиент-банке был главбух. Если что, через какое-то время я отпишусь здесь снова - но похоже, что теперь все будет в порядке и мне остается только преклониться за Вашу неоценимую помощь!! ====================== upd: 2 недели прошли, как и ожидалось, полный порядок! Низкий поклон! |
Вложений: 1
Доброго дня. Та же проблема с перезагрузкой вин7. Сделал лог, но не могу в нем разобраться. Подскажите, кто в курсе. Дамп в прицепе.
|
rotor123, для начала установите критические обновления в "Центре обновления Windows" и перезагрузитесь (у вас голая Windows 7 SP1, а с 2011 года накопилось большое количество уязвимостей).
Далее, в стеке фигурирует функция DeleteVolumeMountPointW - посмотрите, нет ли в подключенных разделах (дисках) нестандартных (например, зашифрованных сторонними средствами). |
Обновился ждем, по второму кругу....... Сетевые папки есть, на них привязано куча софта, убрать нельзя.
|
rotor123, сетевые диски не играют роли.
Посмотрите в оснастке "Управление дисками". |
Вложений: 1
Снова перегрузился. Дамп есть.
|
rotor123, по-прежнему Windows 7 SP1 без обновлений.
Например, WannaCry внедряется в систему в два этапа: на первом "пробивает" уязвимость EternalBlue в SMB по сети, на втором инжектирует вредоносный код в процесс lsass.exe. |
Действительно не было обновлений, хотя я пытался обновиться сборкой, вроде прошло, но в программы и компоненты-обновление виндовс обновлений не оказалось. Пытался обновиться как пакетом с микрософта так и сторонними сборками- не проходят обновления. Была система проверена встроеным вигдовс дефендером, куреит от вебра и 360 тотал секюрити- вирусов нет. Но в 360 тотал секюрити обнаружил примочку с установкой патчей винды. Прописал компу доступ к инету. Попробовал, обновляет, насчитало 171 обновление нужно винде. На данный момент еще 105 осталось. Процес не для слаюонервных, с кучей перезагрузок.
|
Проблема решена. Причина была в отсутствии обновлений и вирусах в сети. 360 тотал секюрити снес, после установки обновлений виндовса, работает только виндовс дефендер(он стал нормально онлайн обновляться). В его журнале появляются записи об удалении вирусов при подключении с других компов. Но все работает без перезагрузок.
|
Всем привет. Админю Win 2012 r2, RDS. С недавних пор крэш lsass начал приводить к отложенной перезагрузке. Мешает работать.
Я почитал форум и попытался снять дамп с процесса. Но получаю отказ: Код:
ProcDump v10.0 - Sysinternals process dump utility Что делал: 1) в Политиках нашел параметр Debug Program и проверил, что Администраторы вписаны. 2) пробовал отключать, совсем закрывал приложение Kaspersky Endpoint Security 3) пробовал "натравить" ProcDump на другое приложение - получилось. 4) обновил до последней версии утилиту (10.0) Хочу еще попробовать пофиксить исчерпанное место на WSUS и запустить обновление. Где-то полгода сижу без них получается. По сути после глобальной борьбы с WanaCry (и имею ввиду кучу обновлений нацеленных на борьбу с ним) не обновляюсь. Заранее спасибо за уделенное время |
Цитата:
Цитата:
|
Цитата:
Про обновить - принял Ест ещё идеи о правах для Дебага? |
miwka77, попробуйте запустить cmd/ProcDump от имени SYSTEM (системной учётной записи).
|
Цитата:
Если будут советы альтернативного способа слить Дамп от Lsass'а, то я бы послушал p.s я может зря сразу не сказал об этом: может на блокировку lsass повлять то, что сервер - это V-машина (VmWare ESXi)? |
Цитата:
Цитата:
Цитата:
Цитата:
|
Цитата:
|
Вложений: 1
Такая же ошибка происходит, уже второй день пытаюсь починить, но ответов нет, код ошибки бывает как на картинке и 255, помогите пожалуйста!
|
Цитата:
|
Вложений: 1
Здравствуйте, у меня такая же проблема с lsass.exe
и аналогичная (на выходе - перезагрузка системы) с services.exe: Цитата:
(тут через онлайн пытался расшифровать дамп) https://dumps.metastruct.uk.to/analy...a6529afe27b799 |
samarian, по services.exe не удалось выяснить причину.
Дамп lsass.exe имеется? Критические обновления безопасности установлены? |
Цитата:
---- Прошло 2 недели, и даже ни одного сообщения не появилось в окне по lsass.exe. Может ли наблюдение влиять на объект?)) Если так, то меня такой фикс устроит. |
Нашел глобальную причину (перезагружался в итоге по разным причинам + косяки и ошибки всякие перестали выскакивать). Если не создавать точки сохранения системы, то проблемы нет, но проще удалять вот эти файлы:
1). C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\* (все, кроме файлов с расширением ".dat") 2). C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\* (все, кроме "container.dat") Если пользуетесь nncron, то: Код:
#( IExplore_clear \ из-за ~ошибок в винде |
Добрый день.
Появилась похожая проблема и внезапные перегрузки сервера начали проявлятсья чаще и чаще. lsass.exe вылетает и триггером является библиотека schannel.dll Дамп снял. Расшифровать не могу. Может ли кто-нибдуь помочь? https://disk.yandex.ru/d/dvumH1SiXZrHFA |
Цитата:
Скрытый текст
Код:
> k Модуль: Скрытый текст
Код:
> lmvm Itcssp Корявый "ViPNet" роняет Вашу систему. |
NickM, на него и грешил. Только не могу доказать. Спасибо!
Стоит с оф сайта, но ставился давно. Его стоит переустановить/обновить, как думаете? Или полностью отказаться от него и уйти к работе с ЭДО на Конутр? |
Цитата:
У "ViPNet" и раньше были конфликты, но почему у Вас система засбоила именно сейчас - вот тут Вам и следует разобраться; Цитата:
В некоторых случаях помогает отключение компонента "Поддержка работы Vipnet CSP через Microsoft Crypto API", возможно и к Вашему случаю окажется применимым. |
Цитата:
Цитата:
В моем понимании если начать работать с Контуром, то из 1С будут выгружаться только данные, а вся работа с этими данными будет уже происходить на пользовательской машине бухгалтера. Криптопровайдеры сами по себе капризные инстурменты, а если еще уставлены на сервера, там кол-во рисков повышается по сравнении с работой обычной пользовательской машины. Цитата:
|
Время: 08:49. |
Время: 08:49.
© OSzone.net 2001-