Всех приветствую! Очень нужен Ваш совет для решения проблемы(

Код (ID) 1015
Критический системный процесс С\Windows\system32\lsass.exe завершился ошибкой с кодом состояния с0000005. Необходимо перезагрузить этот компьютер.

Код (ID) 1000
Ошибка приложения lsass.exe, версия 5.2.3790.0, модуль secur32.dll, версия 5.2.3790.4530, адрес 0х00002785


Источник: User32
Пользователь: NT AUTHORITY\SYSTEM
Код (ID) 1074
Процесс winlogon.exe инициировал действие "Перезапустить" для компьютера SERVER от имени пользователя по причине:
Код причины: 0х50006
Тип выключения: Перезапустить

Комментарий: Неожиданно завершен системный процесс "C:\WINDOWS\system32\lsass.exe" с кодом состояния - 1073741819
Будет произведена перезагрузка системы.
==================================

Вирусов в системе 100% нет, приложение lsaa.exe в порядке в плане размера и изменения (сравнивал на других серверах 2003)

Сервер 2003 сп2 x86, все возможные заплатки вроде бы установил, 16Гб памяти. Из основных программ только 1С 7.7 (более 3-х лет назад) и 1С 8.3 (прошлой весной установлена) +SQL 2008(установлен в начале января), 4 базы всего (одна под 7.7).
Через rdp (по локалке предприятия и удаленке) с сервером может работать до 20 человек, большинство в основном с 7.7 работает.

Роли сервера с 2013 года и не менялись с тех пор:
-Файловый сервер
-Сервер печати
-Сервер приложений
-Сервер терминалов
-Контроллер домена
-dhcp-сервер
-dns-сервер

Есть еще второй сервер 2003, на него реплицируется AD. Он также выступает в роли маршрутизатора, установлен Kerio, по удаленке через rdp попадают на первый сервер.


Впервые проблема появилась где-то летом 2 раза за 2,5 месяцев, за всю осень уже раза 4, а вот за январь уже 5 раза. За день 2 раза с разницей в пару часов.
Перезагрузка происходит в рабочее время, вечером и ночью нет. В одном из последних разов перезагрузка произошла когда работало не более 5-человек на сервере - связи от кол-ва пользователей на сервере значит нету...

Что же может крашить lsaas?

ludens, попробуйте создать дамп процесса:
скачайте утилиту ProcDump (https://technet.microsoft.com/en-us/sysinternals/dd996900) и распакуйте в отдельную папку, например C:\ProcDump;
в командной строке (cmd.exe) выполните:
C:\ProcDump\procdump.exe -accepteula -e -w lsass.exe C:\ProcDump\
не закрывайте окно и дождитесь сбоя;
выложите сохраненный DMP-файл из папки C:\ProcDump в архиве на любой файлообменник.

Petya V4sechkin, добрый вечер! Спасибо за информацию, завтра приеду ранним утром и выполню!


Upd:
К слову:
https://support.microsoft.com/ru-ru/help/940925/a-windows-server-2003-based-domain-controller-restarts-unexpectedly-after-you-install-hotfix-918442-or-windows-server-2003-service-pack-2
https://answers.microsoft.com/en-us/windows/forum/windows_other-update/lsassexe-terminated-unexpectedly-with-status-code/4260d388-8bef-4ce1-a48d-027657a60fc1

Данное исправление WindowsServer2003-KB940925-x86-RUS ставил 23 января, но увы - не помогло, поскольку сегодня ошибка появилась снова - что и вынудило обратиться за помощью


This problem occurs because the Active Directory directory service incorrectly manages computer password attributes when computer password changing is disabled.
Можете перевести точно данное предложение?
==================================================================================

Upd2: ProcDump работает от Сервера 2008 и выше, увы. Только что удаленно подключился на 2003 и запустил как было указано:

Приложению не удалось запуститься, поскольку wer.dll не был найден. Повторная установка может исправить проблему.

wer.dll как раз и присутствует в сервере 2008 (весит 473кб), а в 2003 его нет. Попробовать скопировать с восьмерки и "скормить" его 2003? Или у Вас есть версия ProcDump для сервера 2003 - на сайте только версия 8.2

ludens, посмотрите в папке
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson
что-нибудь есть?

Нету папки Dr Watson

через cmd DRWTSN32.exe утилита запускается

UPD:
нашел данную папку в C:\Documents and Settings\Администратор\Local settings\Application Data\Microsoft\Dr Watson

ludens, возьмите предыдущую версию ProcDump 7.01 (http://dropmefiles.com/nI8ZR), она совместима с Windows 2003.

Petya V4sechkin, Спасибо Вам большое! Да, эта версия работает - проверил работоспособность на другом сервере 2003!
==================================
Waiting for process named lsass.exe...

Process: lsass.exe <420>
CPU threshold: n/a
Performance counter: n/a
Commit threshold: n/a
Threshold seconds: 10
Hung window check: Disabled
Log debug strings: Disabled
Exception monitor: Unhandled
Exception filter: *
Terminate monitor: Disabled
Cloning type: Disabled
Concurrent limit: n/a
Avoid outage: n/a
Number of dumps: 1
Dump folder: C:\Procdump\
Dump filename/mask: PROCESSNAME_YYMMDD_HHMMSS

Press Ctrl-C to end monitoring without terminating the process
=============================================

Система в это время начинает "тупить" и, как я смотрю, не всегда можно подключиться через rpd после начала операции... Значит надо будет делать все это когда пользователи не будут работать с 1С и вообще в терминальном режиме.

Можете подсказать сколько ориентировочно времени может понадобиться на все? В теории - от нескольких минут до суток?)

сколько ориентировочно времени может понадобиться на все?
Сбои же случайно у вас происходят. Когда в следующий раз будет, неизвестно.

Понял, значит запущенное окошко с программой не будут трогать, просто сверну.
И сейчас, вроде как, другой сервер "отпустило" через 10 мин после запуска проги - можно через rdp подключаться и работать.

Ок, буду ждать следующего сбоя - после выложу на файлообменник. Спасибо Вам еще раз за помощь!

======
udp: пришел с утра на работу:
Сбоя пока не было, но в логах программы много повторяющихся Exception: 000006D9, E0010001, E0010002 и 00000006.

Мда, сбоя пришлось ожидать недолго(

Выкладываю:
http://dropmefiles.com/Bm0zS

ludens, в дампе:
STACK_TEXT:
0896f8cc 76e73649 00000001 0493e028 0896f8e4 secur32!SecpValidateHandle+0x5b
0896f8ec 00505c52 0493e028 00000001 0896f9a4 secur32!QueryContextAttributesW+0x16
WARNING: Stack unwind information not available. Following frames may be wrong.
0896f910 00525aa5 0493e028 00000001 0896f9a4 AvSSPc+0x5c52
---------
Loaded symbol image file: AvSSPc.dll
Image path: C:\Program Files\Common Files\Avest\Avest CSP\AvSSPc.dll
Image name: AvSSPc.dll
Timestamp: Tue Nov 12 17:32:44 2013 (52823C0C)
CheckSum: 000AB190
ImageSize: 000AC000
File version: 6.1.1.1419
Product version: 6.1.1.1419

Удалите Avest CSP и перезагрузитесь.
Если он необходим для работы, установите свежую версию.

Вот этот Avest CSP я как-раз в пятницу и удалил вечером, перед запуском ProcDump! Но сервер после деинсталляции не перезагружал - это и оказалось фатальным, и причиной по которой lsass.exe дал сбой?



C:\Program Files\Common Files\Avest\Avest CSP\AvSSPc.dll

остались только 3 файла: process, scan, tls - удалил сейчас папку. Надо ли еще реестр чистить от следов Avest CSP, если они есть?


Насчет Avest CSP.... Он был установлен в конце мая 2016, единственная программа во временном отрезке, что попала под подозрение. Сервер перезагрузился впервые как-раз где-то спустя месяц.
Поэтому в пятницу и удалил ее на всякий случай, после запустил утилиту ProcDump.

На диске D есть сетевая версия клиент-банка (альфа-банка) - работает с сентября 2015. На 3-х компьютерах пользователей выведены ярлыки на exe. Опять же на клиентских компьютерах установлены сертификаты и avest csp, необходимые для работы с ключами (флешками) -чтобы делать платежки + прием и отправка почты, и прочеею

Затем на сервер в мае 2016 AVEST CSP был установлен на сервер по той причине (как я помню), чтобы флешку-ключ можно было вставить в сервер и по удаленке (через rdp) главбух мог подключиться и работать с клиент-банком с сервера непосредственно с дома в тот день. Но опять же быстро решить этот вопрос не получилось тогда: не хотел флешку и сертификаты видеть сервер. В итоге в тот же день идею забросили...
==================

Вот этот Avest CSP я как-раз в пятницу и удалил вечером, перед запуском ProcDump! Но сервер после деинсталляции не перезагружал - это и оказалось фатальным, и причиной по которой lsass.exe дал сбой?
Ну да, он не выгружается "на лету" - для удаления требовалась перезагрузка.
остались только 3 файла: process, scan, tls - удалил сейчас папку. Надо ли еще реестр чистить от следов Avest CSP, если они есть?
Других сторонних модулей в дампе нет.

Да... в итоге сервер в результате сбоя сегодня утром сам себе устроил перезагрузку)

В итоге вся цепочка из тайн, похоже, сложилась - а именно почему сервер начал перезагружаться с лета, строго в будние дни в течении дня: это клиент-банк от бухгалтерии "давил" на мозги Авеста)
И почему он впервые перезагрузился в субботу 21 января за столько времени: потому-то главбух вышел на работу и работал с клиент-банком в тот день.
И почему в прошлый понедельник, который у нас был выходным и работало буквально 5 человек, сервер тоже перезагрузился: опять же единственный человек, кто вышел на работу из всей бухгалтерии и конечно же работал в клиент-банке был главбух.

Если что, через какое-то время я отпишусь здесь снова - но похоже, что теперь все будет в порядке и мне остается только преклониться за Вашу неоценимую помощь!!

======================
upd:
2 недели прошли, как и ожидалось, полный порядок! Низкий поклон!

Доброго дня. Та же проблема с перезагрузкой вин7. Сделал лог, но не могу в нем разобраться. Подскажите, кто в курсе. Дамп в прицепе.

rotor123, для начала установите критические обновления в "Центре обновления Windows" и перезагрузитесь (у вас голая Windows 7 SP1, а с 2011 года накопилось большое количество уязвимостей).

Далее, в стеке фигурирует функция DeleteVolumeMountPointW - посмотрите, нет ли в подключенных разделах (дисках) нестандартных (например, зашифрованных сторонними средствами).

Обновился ждем, по второму кругу....... Сетевые папки есть, на них привязано куча софта, убрать нельзя.

rotor123, сетевые диски не играют роли.
Посмотрите в оснастке "Управление дисками".

Снова перегрузился. Дамп есть.

rotor123, по-прежнему Windows 7 SP1 без обновлений.

Например, WannaCry внедряется в систему в два этапа: на первом "пробивает" уязвимость EternalBlue в SMB по сети, на втором инжектирует вредоносный код в процесс lsass.exe.