none
Процесс lsass.exe грузит сеть исходящим трафиком RRS feed

  • Общие обсуждения

  • Добрый день. У нас стоит Windows Server 2008 R2 с последними обновлениями, однако есть проблема с процессом lsass.exe, он грузит сеть исходящим трафиком на множество различных ip-адресов, так что невозможно пользоваться интернетом. Появилось подозрение на вирус, провели проверку Касперсим, вирусов не обнаружено. Обратились в службу поддержки Kaspersky, ребята уже работают. Прошу Вас подключиться к решению данной проблемы и вылечить эту болячку.

    Переписка со службой поддержки Kaspersky:

    Kaspersky Small Office Security 6.0 File Server Protection

    Запрос ожидает обработки

     Ваше сообщение 

    27.06.2019 11:05:47

    1. Согласно диспетчеру задач Windpws на закладке «Процессы» при открытии места хранения файла нажав правой кнопкой мыши по загруженному процессу lsass.exe выдает путь C:\Windows\System32 . Однако, согласно результатам стандартного поиска Windpws в «Компьютер» найдено дополнительных 29 файлов lsass.exe с различными путями: C:\Windows\winsxs\amd64_microsoft-windows-lsa_31bf3856ad364e35_6.1.7601.17514_none_04709031736ac277 C:\Windows\winsxs\amd64_microsoft-windows-lsa_31bf3856ad364e35_6.1.7601.17940_none_044c26dd7386a58a C:\Windows\winsxs\amd64_microsoft-windows-lsa_31bf3856ad364e35_6.1.7601.18443_none_044f07757384196d И так далее по пути C:\Windows\winsxs\ и разными именами папок начинающихся на «amd64_microsoft-windows-lsa_ » Так же эти файлы lsass.exe имеют различную дату изменения от 14.07.2019 до 17.05.2019 года. Прикрепляю к настоящему сообщению парочку таких lsass.exe файлов в архиве с паролем: infected 2. Со специалистами Microsoft не консультировались, но попробуем.

    Файлы:lsass02.rarlsass01.rar

     Ответ Службы технической поддержки 

    26.06.2019 20:21:33

    Оцените ответ  

    Уважаемый пользователь, благодарим за присланные данные. Уточните, пожалуйста, файл "Lsass.exe" располагается только в директории %SystemRoot%\System32 ? Пробовали ли Вы консультироваться со специалистами Microsoft: https://support.microsoft.com/ru-ru/contactus ?

     Ваше сообщение 

    26.06.2019 10:26:44

    Инструкцию выполнили (хотя маркер напротив пункта: "Обнаружить другие программы, которые могут быть использованы для нанесения вреда компьютеру или данным пользователя" был установлен ранее), ситуация сохраняется, шлю файл lsass.exe в архиве с паролем: infected. Так же у меня вопрос: как заблокировать исходящий трафик процесса lsass.exe? Блокировка с помощью «сетевых правил программы» не помогает. Сетевая активность в «Мониторинге сети» Kaspersky Small Office Security не фиксирует все соединения процесса Local Security Authority Process (тот же lsass.exe) в отличие от сетевой активности на закладке сеть в мониторинге ресурсов Windpws. Согласно мониторингу ресурсов Windpws процесс lsass.exe отправляет данных 1093 КБ/с тогда как сетевая активность в «Мониторинге сети» Kaspersky того же процесса фиксируется в 0,04 КБ/с, при общем исходящем трафике 4,50 КБ/с. Так например согласно прикрепленной к настоящему сообщению «Сетевой активности от 25.06.2019» Kaspersky не фиксирует соединение процесса lsass.exe с исходящим трафиком 677 КБ/с на адрес 123.138.91.29 в отличии от мониторинга ресурсов Windpws. Что говорит о некорректной работе программы Kaspersky Small Office Security. Прошу разобраться в этом и помочь решить данную проблему.

    Файлы:lsass.rarСетевая активность от 25.06.2019.jpg

     Ответ Службы технической поддержки 

    25.06.2019 20:55:08

    Оцените ответ  

    Уважаемый пользователь, благодарим Вас за предоставленную информацию. Пожалуйста, выполните следующее: 1) Пожалуйста, включите в настройках антивируса опцию "Обнаружить другие программы, которые могут быть использованы для нанесения вреда компьютеру или данным пользователя". Для этого откройте главное окно Касперского --> Настройка --> Дополнительно --> Угрозы и исключения --> установите маркер напротив пункта: "Обнаружить другие программы, которые могут быть использованы для нанесения вреда компьютеру или данным пользователя" https://support.kaspersky.ru/13639 . 2) Выполните полную проверку компьютера на вирусы с помощью Касперского: https://support.kaspersky.ru/14305#block1 ► Если ситуация сохранится, пожалуйста, пришлите файл lsass.exe в архиве с паролем: infected. Расположение файла можно определить, нажав правой кнопкой мыши по активному процессу в диспетчере задач и выбрать "Открыть расположение файла". Для сжатия файлов или папки необходимо щёлкнуть по ним правой кнопкой мыши > выбрать "Отправить" > "Сжатая ZIP-папка" > далее следовать инструкциям на экране. Вы можете также воспользоваться инструкцией по ссылке: support.microsoft.com/ru-ru/help/14200/windows-compress-uncompress-zip-files

     Ваше сообщение 

    25.06.2019 18:18:02

    Установили последние обновления Windows, проблема сохранилась. Так же было замечено, что при попытки блокировки процесса lsass.exe описанным ранее способом то привадила к высвобождению трафика, то нет, как будто я и не блокировал этот процесс. В процессе дня наблюдается эпизодические всплески данного процесса. Он появляется, загружает сеть исходящим трафиком так, что не возможно пользоваться интернетом и со временем все нормализуется. Окончательно заблокировать исходящий трафик процесса lsass.exe с помощью «сетевых правил программы» в Kaspersky Small Office Security не удается. Даже если любая сетевая активность для адреса подсети – Доверительная, Локальная и Публичная сети стоит на запрете процесс lsass.exe грузит сеть своим большим до 8 Мбит/с исходящим трафиком при пропускной способности интернета в 2 Мбита/с. Приложения: отчёт утилиты GetSystemInfo версии 6.

    Файлы:GSI6_MAIN_AdminZ_06_25_2019_17_36_56.zip

     Ответ Службы технической поддержки 

    24.06.2019 18:29:30

    Оцените ответ  

    Уважаемый пользователь, благодарим Вас за обращение! Уточните, пожалуйста, установлены ли последние доступные обновления для Вашей системы? Если да, пожалуйста, установите их. Если, при этом, ситуация сохранится, пришлите нам, пожалуйста, отчёт утилиты GetSystemInfo версии 6: http://media.kaspersky.com/utilities/ConsumerUtilities/GetSystemInfo6.2.exe Инструкции по созданию отчёта Вы можете найти здесь: support.kaspersky.ru/common/diagnostics/3632

     Ваше сообщение 

    24.06.2019 13:26:30

    Добрый день. Начал я как то работу в интернете, а странички еле-еле загружаются. Надо заметить, что ранее все работало прекрасно без замечаний и проблема появилась внезапно. Полез я на сервер проверять, в чем дело. Оказалось, согласно монитора ресурсов, вызванного с закладки «Быстродействия» диспетчера задач Windows, что среди процессов с сетевой активностью на закладке «Сеть» один процесс очень интенсивно отправляет какую-то информацию в сеть, перегружая весь трафик интернета. Этим процессом оказался процесс «lsass.exe». Он по информации с сетевой активности монитора ресурсов интенсивно отправлял информацию на множество неизвестных мне IP-адресов. Появилось подозрение на какой-то вирус. Однако проверка антивирусом Касперского ничего не дала. С помощью инструмента «Управление программами» Контроля программ Kaspersky Small Office Security программа lsass.exe из папки, в которой она расположена (C:\Windows\System32) была добавлена в группу «Недоверенные». Это действие было осуществлено временно и обязательно без выхода пользователя из Windows, так как блокировка этой программы не даст войти пользователю вновь в Windows. После чего по сетевой активности монитора ресурсов можно было наблюдать, как множество соединений с различными IP-адресами постепенно отваливаются, а сетевой трафик высвобождается. Спустя некоторое время, когда все внешние соединения lsass процесса пропали, установленные ограничения программы Local Security Authority Process (тот же lsass.exe) были переведены на «Доверенные» нажав правой кнопкой по наименованию программы и выбрав соответствующее ограничение. После чего все вставало на свои места и интернет трафик был свободен для использования пользователями. Однако спустя несколько дней это явление вновь повторилось, процесс lsass.exe снова стал загружать сеть интернета отправлять какую-то информацию на различные IP-адреса. Я еще раз остановил этот процесс описанным выше способом и теперь спешу за помощью к Вам. Помогите победить эту болячку уже окончательно, а не на время. Заранее большое спасибо.


    27 июня 2019 г. 7:22

Все ответы

  • Ответ Службы технической поддержки 
    Kaspersky 28.06.2019 01:51:18

    Уважаемый пользователь, мы уточнили информацию у наших Вирусных аналитиков. В присланных Вами файлах не найдено ничего вредоносного. Скорее всего проблема связана именно с Windows (сервисы телеметрии Microsoft).


    • Изменено ViktorZ1984 27 июня 2019 г. 23:03
    27 июня 2019 г. 23:02
  • Приветствую.

    Смысл в дубле темы, вам рекомендовали убрать dc из интернет


    Я не волшебник, я только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.

    27 июня 2019 г. 23:22
    Модератор
  • Что такое dc и как его убрать? Поподробней пожалуйста.
    30 июня 2019 г. 1:43
  • Что такое dc и как его убрать? Поподробней пожалуйста.

    Здравствуйте,

    Скорее всего под DC (Domain Controller) - домен контоллер. Возможно вы используете аббревиатуру AD (Active Directory).


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    30 июня 2019 г. 4:14
    Модератор
  • лет сто назад была эпидемия MSBlast / Sasser, но ее победили и научились давить в зародыше. симптомы очень похожие. ЕМНИП лечили мы ее очень жестко - обязательно отключить комп от сети и полный комплекс мероприятий...
    • Изменено RAMzez_ 30 июня 2019 г. 14:26
    30 июня 2019 г. 14:21
  • Здравствуйте,

    Если у вас есть подозрения, что ваш сервер заражен, то предоставьте пожалуйста следующий лог.

    Также обратите внимание, на то, что сам файл lsass.exe может быть легитимный, а вредоносное ПО может его использовать, чтобы себя замаскировать (inject into processes like lsass.exe).

    Предоставите лог сторонней антивирусной утилиты FRST согласно следующей инструкции:
    Важно: обратите внимание, что указанная утилита, может показать возможное использование средств обхода лицензионного соглашения.
    - Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

      • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
      • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

      • Нажмите кнопку Scan.
      • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении в качестве ссылки на скачивания с файлового хранилища (например onedrive).
      • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении в качестве ссылки на скачивания с файлового хранилища (например onedrive).



    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    • Изменено SQxModerator 30 июня 2019 г. 14:31 обновлено
    30 июня 2019 г. 14:30
    Модератор
  • лет сто назад была эпидемия ...

    DDoS c отражением по CLDAP это нечто поновее будет


    • Изменено RH6M6 30 июня 2019 г. 15:43
    30 июня 2019 г. 15:31
  • DDoS c отражением по CLDAP это нечто поновее

    Ранее тс говорили что бы убрал dc из интернет.

    Так и всю сеть заразить можно, заразив dc...


    Я не волшебник, я только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.

    30 июня 2019 г. 15:39
    Модератор
  • В теме с похожей проблемой пользователь пишет, что меры приняты

    https://social.technet.microsoft.com/Forums/ru-RU/10f52bd9-d588-4b65-8017-ade8ae6d3dee/105510881080-10871086107610821083110210951077108510801080

    30 июня 2019 г. 15:48
  • В теме с похожей проблемой пользователь пишет, что меры приняты

    https://social.technet.microsoft.com/Forums/ru-RU/10f52bd9-d588-4b65-8017-ade8ae6d3dee/105510881080-10871086107610821083110210951077108510801080

    В указанной ссылке у пользователя проблема была с входящими соединениями:

    Active Directory-LDAP (UDP-in)

    Однако у пользователя текущей темы, проблема с исходящим трафиком.

    lsass.exe, он грузит сеть исходящим трафиком на множество различных ip-адресов.

    P.S. По мне это не похожие проблемы. Обычно при входящих атаках в логах фигурировали бы соответствующие записи, раз антивирусная компания при рассмотрение лога от пользователя не сообщила об аномалиях, то скорее всего проблема не с DDos или Brute-Force атаках.


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    • Изменено SQxModerator 30 июня 2019 г. 16:10 обновлено
    30 июня 2019 г. 16:09
    Модератор
  • Ранее тс говорили что бы убрал dc из интернет.

    Так и всю сеть заразить можно, заразив dc...

    древний sasser начинал с того, что сканировал всю локалку сначала, гадил в ней где мог и уже потом начинал генерить белые IP для сканирования...
    так что для шторма достаточно пробить один любой комп в локальной сети...

    30 июня 2019 г. 16:59