3

Я на ПК с Windows 7 в домене в моем офисе. Глядя на мою папку c:/users сегодня, я нашел 314 папок общим объемом 131 ГБ. Имена папок кажутся намеренно случайными, и каждый из них содержит полностью выделенный профиль Windows. Наша служба технической поддержки понятия не имеет, что может вызвать это, но они говорят мне, что это влияет на несколько компьютеров.

С некоторыми усилиями я смог удалить все, кроме одной папки (мне пришлось использовать Unlocker, чтобы освободить их и пометить для удаления при перезагрузке). У той, от которой я не смог избавиться, есть две подпапки, которые открываются c:\windows\system32\lsass.exe

lsass.exe блокирует эти две папки

У меня есть права администратора на коробке, но я не могу получить доступ, удалить или взять на себя ответственность за две папки "Учетные данные".

Я ищу какой-нибудь ключ к пониманию того, что здесь может происходить и как это остановить.

Я провел много времени в Google, но ушел только с пыльными воспоминаниями о черве Sasser. (Не вероятная причина. У нас есть новейший антивирус, lsass.exe подписан MS, и я не видел ни одного из файлов сигнатур этого червя.)

После последней перезагрузки появилась новая папка с соответствующей схемой именования.


Обновление: большое спасибо Arana и EMK. Landesk, вероятно, виновник. У нас есть билет с нашей технологией Landesk. Я опубликую решение здесь, когда проблема будет решена.

2 ответа2

0

Мы работаем с LanDesk 2016.3. Согласно LanDesk/Ivanti, это известная проблема, исправленная в Service Update 3. Замечания к выпуску действительно хорошо сделаны, но я не смог выяснить, какой исправленный дефект говорит об этой проблеме.

-2

«lsass.exe» - локальный сервер аутентификации безопасности. Он проверяет правильность входа пользователей на ваш ПК или сервер. Lsass генерирует процесс, отвечающий за аутентификацию пользователей для сервиса Winlogon. Это выполняется с помощью пакетов проверки подлинности, таких как Msgina.dll по умолчанию. Если аутентификация прошла успешно, Lsass генерирует маркер доступа пользователя, который используется для запуска начальной оболочки. Другие процессы, которые инициирует пользователь, наследуют этот токен.

У меня также есть папки на моем диске, как 3f8704I1d2943a84ef894ec6146346532. Эти папки, вероятно, содержат файлы журналов и / или "остатки" из обновлений Microsoft. Но я не уверен в твоем.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .