Периодическая блокировка учётки администратора

Здравствуйте! Периодически блокируется учётка администратора домена в системном журнале рабочей станции при этом сообщение:

[FONT=&quot]Система безопасности обнаружила попытку атаки для понижения роли сервера cifs/10.185.1.3. Полученный от протокола проверки подлинности Kerberos код ошибки: "Учетная запись пользователя автоматически заблокирована из-за превышения числа неудачных попыток входа в систему или запросов на изменение пароля.[/FONT]
[FONT=&quot] (0xc0000234)".[/FONT]


В журналах на DC ничего нет в это время - хотя весь аудит включен.


На машине работает симантек эндпойнт - но ниченго не ловил.

CureIt в защищённом режиме ничего не нашёл кроме обычных radmina и dameware - но я на всякий случай удалил их...
[FONT=&quot][/FONT]

Ребята, ответьте что нибудь, пожалуйста. Я понимаю что скорее всего на моей машине ничего нет. Но это кто-то ломает с другой машины. Что искать посоветуйте?

столько программ безопасности. Это что экспериментальная система?
Надо оставить одного, который с лицензией.
Профиксить:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe[/CODE]
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
QuarantineFile('d:\5ef0589e141e1dda2bf859e68f2b36\wgasetup.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин по Правилам.

Здравствуйте,

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Обновите базы АВЗ: (Файл/Обновление баз).
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
[/CODE]
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\Drivers\aswSP.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\nstation.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\FILESPY.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ew.sys','');
DeleteFileMask('d:\5ef0589e141e1dda2bf859e68f2b36','*.*',true);
DeleteDirectory('d:\5ef0589e141e1dda2bf859e68f2b36');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

[COLOR="Red"]Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]

После перезагрузки:

- Удалите SUPERAntiSpyware.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

Здравствуйте. Отослал карантин по первому скрипту от PavelA. Вчера была найдена машина с которой производятся попытки входа в сеть под именем блокируемой учётки. Это компьютер корпоративной сети в другом городе. Логины идут оттуда как пулемётными очередями.

[size="1"][color="#666686"][B][I]Добавлено через 47 минут[/I][/B][/color][/size]

Здравствуйте! Отослал карантин по второму скрипту от rene-gad. Скрипт был с ошибкой в 9-й строке - to many parameters - убрал два последних параметра и функция сработала.

Высылаю завершающие логи. Что посоветуете делать со "стреляющей" машиной?

[QUOTE]Вчера была найдена машина с которой производятся попытки входа в сеть под именем блокируемой учётки.[/QUOTE]Вот с неё и нужны логи по правилам. Если там есть кто-нибудь, кто не спросит: [I]А где [B]любая клавиша[/B]?[/I] ;), то попросите эту персону выполнить наши правила.
[QUOTE]Скрипт был с ошибкой в 9-й строке [/QUOTE]
Извините, действительно моя ошибка.
Выполните упрощённый скрипт, чтобы убрать эту папку: она осталась висеть.
[CODE]begin
SetAVZGuardStatus(True);
DeleteFileMask('d:\5ef0589e141e1dda2bf859e68f2b36','*.*',true);
DeleteDirectory('d:\5ef0589e141e1dda2bf859e68f2b36');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

А по моей машине есть что-нибудь?

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 55 минут[/I][/B][/color][/size]

Та машина в другом городе и там одни тётки - они знают только что Аникей - это парнишка такой :-) Могу только удалённо с ней поработать через сетку

Для второго компьютера создайте другую тему

Прикольно. Теперь из другого города 64-х разрядный сервер заблокировал мою учётку...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]