none
LSASS.EXE 在沒人登入操作時CPU飆高

    問題

  • 不好意思,想請問一下

    目前有兩台2003和一台2008都會有這樣的狀況,只要沒人登入操作時,CPU會因為LSASS.EXE飆到100,導致一些原本在SERVER上的服務變慢。

    發生時只要遠端進去SERVER,CPU使用率就會馬上降下來,可以請教一下是中毒嗎?還是系統有那邊的設定要調整。

    2014年3月25日 上午 02:07

解答

  • 謝謝大家的回覆,最後查出是一隻偽裝成Lsass的病毒,好像是鍵盤滑鼠閒置一段時間就會自動啟來的樣子,一動滑鼠又會自動把執行的偽lsass關掉。
    它的位置C:\windows\security\

    刪除辦法先到服務停用Remote Procedure Call (RPC) Remote
    再到登入檔刪除HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RpcRemote
    最後到C:\windows\security\刪除svchost.exe和Lsass.exe

    2014年4月3日 上午 08:29

所有回覆

  • 你好, 如果你出現問題的電腦是一台域控制器, 你可以依微軟這篇文章開始嘗試解決問題

    http://blogs.technet.com/b/askds/archive/2007/08/20/troubleshooting-high-lsass-cpu-utilization-on-a-domain-controller-part-1-of-2.aspx

    如果這台電腦不是一台DC, 那麼請看看電腦上是不是有安裝防毒軟體, 或其他保護程式, 他們可能在電腦閒置時運行一些掃瞄.

    可以先反安裝(或暫時Disable)那些軟體, 重開機, 看看問題有沒有持續.


    邊幫助, 邊鍛鍊

    2014年3月25日 上午 03:04
  • 你好,謝謝你的回答

          那三台SERVER都不是網域控制器,只是當資料庫主機,在公司的系統會連線到它們取資料

          我也有用TCPVIEW去檢查了一下LSASS.EXE並沒有任何連線,就是不知道它為何會在沒人使用的期間讓CPU飆高。

          只要CPU飆高時,可能只是切KVM回到那SERVER桌面畫面,滑鼠動一下,CPU就降下來

          目前有先把其中一台防毒先關閉觀察看看。


    • 已編輯 Shin0329 2014年3月25日 上午 03:24
    2014年3月25日 上午 03:23
  • 關閉有時候無法讓防毒軟體完成失效,
    建議採用「移除」的方式進行測試。

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2014年3月25日 上午 03:48
    版主
  • 您好

    有可能是其他軟體造成,若是有安裝其他第三方軟體,可以檢查一下

    以上提供您參考

    2014年3月25日 上午 05:07
  • 謝謝大家的回答

     已先把防毒移除了,不過主機因為目前USER還在連線使用沒法重開,但移除後是沒出現請重新開機的訊息。

     剛剛又再發生了,移除防毒後還是有一樣的狀況。主機上並沒裝太多東西。很單純的資料庫和防毒加上OFFICE

     剛剛又在檢查了一下其它主機,發現只有裝了oracle的主機有這樣的情況發生

     其它沒裝oracle的SERVER都沒有這樣的情況發生。

     oracle會影響到LSASS嗎?..這幾天主機上都沒有做任何設定的異動也沒更新,唯一有更新的應該就是防毒的病毒碼了.


    • 已編輯 Shin0329 2014年3月25日 上午 06:29
    2014年3月25日 上午 06:22
  • Hi Shin0329

    你可以參考一下這一篇文章來排解問題

    How to troubleshoot a handle leak?

    http://blogs.technet.com/b/yongrhee/archive/2011/12/19/how-to-troubleshoot-a-handle-leak.aspx


    另外假如拔除網路線的話也會有相同的狀況嗎?
    2014年3月25日 上午 10:31
    擁有者
  • Hi Shin0329

    歡迎您將後續測試結果回報至論壇, 或將對您有幫助的回覆標示為解答,

    以利討論的進行並幫助其他有類似問題的朋友. 謝謝您!

    2014年3月27日 上午 08:38
    擁有者
  • 謝謝大家的回覆,最後查出是一隻偽裝成Lsass的病毒,好像是鍵盤滑鼠閒置一段時間就會自動啟來的樣子,一動滑鼠又會自動把執行的偽lsass關掉。
    它的位置C:\windows\security\

    刪除辦法先到服務停用Remote Procedure Call (RPC) Remote
    再到登入檔刪除HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RpcRemote
    最後到C:\windows\security\刪除svchost.exe和Lsass.exe

    2014年4月3日 上午 08:29
  • 非常感謝你的分享及回報。

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2014年4月3日 上午 09:02
    版主