Archiv Windows XP 25.916 Themen, 128.567 Beiträge

Verfolgung starten Optionen

Isass.exe

jueki / 6 Antworten / Baumansicht Nickles

Wo könnte man noch nachschauen, wenn der PC einmal (ein einziges Mal) heruntergefahren wurde mit der Meldung:
>>Ein kritischer Systemprozess C:\WINDOWS\system32\lsass.exe ist fehlgeschlagen mit den Statuscode c0000409.
Der Computer muss neu gestartet werden ???
Die einzige Aktivität zu diesem Zeitpunkt war ein offenes Miranda (ICQ-) Fenster.
Es ist definitiv kein Sasser oder ähnliches, keinerlei Schadsoftware feststellbar.
Der PC läuft anschließend wieder sauber und problemlos.
Hat jemand eine Idee? Reines Interesse meinerseits.
Jürgen

Joggel4 jueki „Isass.exe“
Optionen

vielleicht gibt es einen Eintrag im Systemprotokoll, zu finden unter Systemsteuerung - Verwaltung - Ereignisanzeige

jueki Joggel4 „vielleicht gibt es einen Eintrag im Systemprotokoll, zu finden unter...“
Optionen

sorry, @joggel4 - das, was ich da oben gepostet habe ist der Text aus der Ereignisanzeige...
Jürgen

Joggel4 jueki „sorry, @joggel4 - das, was ich da oben gepostet habe ist der Text aus der...“
Optionen

Tja ...

holger47 jueki „Isass.exe“
Optionen

lsass / lsass.exe , der lokale Sicherheitsdienst steuert die Richtlinien für User. ( lsass.exe = Local Security Authority Subsystem )
Wenn du nicht als Administrator angemeldet bist, und nur auf bestimmte Dateien Zugriff hast, ist die lsass.exe dafür verantwortlich. Versuchst du dich mit einem falschen Usernamen anzumelden, wird die lsass.exe dieses feststellen und den Zugriff auf das Betriebssystem verhindern.

weiterführend:
http://technet2.microsoft.com/WindowsServer/de/Library/b0de1052-4101-44c3-a294-4da1bd1ef2271031.mspx?mfr=true

Kurz gesagt, handelt es sich offenbar um eine Fehlermeldung der Datenausführungsverhinderung (bei der Datenausführungsverhinderung (Data Execution Prevention, DEP) handelt es sich um einen Satz von Hardware- und Softwaretechnologien, durch die zusätzliche Speicherüberprüfungen ausgeführt werden und somit zum Schutz vor bösartigen Codeexploits beigetragen wird)

jueki holger47 „lsass / lsass.exe , der lokale Sicherheitsdienst steuert die Richtlinien für...“
Optionen

@holger47 - ich glaube da etwas zu ahnen:
>>Versuchst du dich mit einem falschen Usernamen anzumelden
Ich habe auf diesem PC nur ein einziges Konto aktiv, "Leitwolf", als Administratorkonto. Nun greife ich ab und an fremde PCs mit dem Tool "Net Monitor for Employees Professional" zum Zwecke der Wartung oder Hilfe zu.
Unmittelbar vor diesem Effekt hatte ich versucht, von einem dieser anderen PC aus auf meinen PC zuzugreifen. Rückwärts sozusagen. Ohne das ich auf meinem Haupt-PC diese Möglichkeit, darauf zuzugreifen, autorisiert hatte! Also, der Agent ist nur auf den fremden PCs installiert, hier aber die Konsole.
Ich wollte ganz einfach sehen, ob da eine Schwachstelle liegt, also das die bei mir installierte Möglichkeit, fremde PCs zu steuern, eine Schwachstelle offenbart.
Ich konnte von dem anderen PC aus nicht zugreifen, das beruhigte mich.
Und kurz darauf, also vielleicht 50 - 60 Sekunden nach dem Ende dieses Versuches fuhr der PC mit der Meldung runter.
Ich bin geneigt, der hat da -wenn auch etwas verspätet- auf diesen unautorisierten Zugriffs versuch reagiert.
Danke für diesen Hinweis!
Jürgen

jueki holger47 „lsass / lsass.exe , der lokale Sicherheitsdienst steuert die Richtlinien für...“
Optionen