собственно сабж в журнале событитий ошибок не зарегестрировано :( куда копать файервол молчит
есть мысли ? заранее благодарен !

Все? или только администратора?

Троих админов домена и прмерно 2-10 юзверей у остальных все норм

до этого были ошибки в журнали с файлом sam это который пассворд хранит ошибки повторялись примерно 4 раза в секунду напарник почистил журнал и не сохранил конкретниее сказть не могу ща эти ошибки не повторяются а записи все ровно блокируются !
накидайте вариантов пжалуйста

вариантов пока немного, менялись ли пароли, были ли какие-то серьезные сбои?
Учетки блокируются вероятно потому, что какие-то программы/службы пытаются получить доступ с недействующим паролем. Хотя бы приблизительно ошибки sam можете описать?

пароли не менялись с боев до вчерашнего дня небыло вчера начались ошибки sam и усе приехали ....

Вирь, скорее всего SECTOR5, очень гадкий самомодифицирующийся зверь. С зараженных машин идет подбор паролей брутфорсом. Составьте на основе анализа Security logs список машин с которых происходит работают проблемные пользователи, и при помощи Live CD с интегрированным DrWEB например, проверьте машины.

да возможно вирусы на машинах каспер видить но удалить не может :(
все ясно буду пробывать спасибо

как разберусь отпишу

Аналогичная проблема появилась и в нашей сетке, точно 11 января в 10:20 утра, когда отдохнувшие за 12 дней пользователи кинулись в Инет и начали совать в компы флешки с фотографиями.
В журналах сервера пишеться SAM 12294 - это перебор пароля чем пользуются для брутфорс атак.
В нашем случае оказался вирус W32.Downaup.B (так его Symantec) определяет. Сел и на сервера и на рабочие станции, вирус свежий, появился примерно 5 января, последняя модификация 11 января. 3-й день идет борьба, т.к. сетка не маленькая.

Подробности о вирусе можно посмотреть здесь https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/225

Седующая ветка в форуме - тоже по этому поводу

Методы:
1. Установка патча от Микрософт из KB958644 на сервера и рабочие станции
2. Лечение обновленным антивирусом всей сети (пока только Symantec и BitDefender , остальные его не видят)
3. Запрет автозапуска со съемных накопителей и расшаренных сетевых дисков (вирус использует файл autorun.inf в корне этих дисов).

Сейчас стало немного легче, но до конца проблему еще не решили ....

Event Type: Error
Event Source: SAM
Event Category: None
Event ID: 12294
Date: 14.01.2009
Time: 14:46:13
User: COLLEGE\Administrator
Computer: NS
Description:
The SAM database was unable to lockout the account of Administrator due to a resource error, such as a hard disk write failure (the specific error code is in the error data) . Accounts are locked after a certain number of bad passwords are provided so please consider resetting the password of the account mentioned above.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: a5 02 00 c0 ?..A

А вот ета ошибка

Вы пройдите по ссылкам указанным в предыдущем посте, на Security Focus рекомендуют установить заплатку KB958644 (http://www.securityfocus.com/bid/31874/solution)

Установка пакета не помогла.... :(

Привет всем, в общем такая проблема рабочая сетка на около 100 компов, на половине стоит ХР на половине 2000 и сервер 2000 и два 2003 короче прихожу после праздников на работу смотрею антивирь не обновлялся 10 дней, сам не понел почему такой глюк случился но в общем перезапустил сервак обновился и понеслось на всех компах прилитело пару вирусов с одним поборолся антивирь, а вот с этим W32.Downadup.B (Symantec) только справился на ХР ( И то в ручную антивирь его находит в двух местах в одном удоляет во втором сам ручка и заплатка 958644 но она только реально работает на Хр) а вот на W2K не может, получаеться выскакивает первое сообшение автоматической
Осмотр: Автоматическая защита
Событие: Обнаружена угроза!
Угроза: W32.Downadup.B
Файл: D:\WINNT\system32\jpmrdxah.w
Путь: D:\WINNT\system32
Действие: Исправить не удалось : Изолировать не удалось : Доступ закрыт
Дата обнаружения: 13 января 2009 г. 12:46:14
и потом второе через несколько минут
Осмотр: Автоматическая защита
Событие: Обнаружена угроза!
Угроза: W32.Downadup.B
Файл: D:\WINNT\system32\jpmrdxah.w
Путь: D:\WINNT\system32
Действие: Исправить не удалось : Изолировать не удалось : Удалит удалось ; Доступ закрыт
Дата обнаружения: 13 января 2009 г. 12:47:20

И это повторяеться переодически на самом компе больше нет вируса , он думаю через сетку прилетает сканировал компы разными антивирами, результат нулевой и такая проблема только с W2K скачал заплатки для этого дела они не помогаю все что нашел в инете перепробовал но ничего не помогло, может кто сталкивался с таким поделитесь, я весь роздел смотреть не стал но в поиске раздела посмотрел об таком вирусе не кто не создовал такую тему. Весь день провоевал пол сетки работает вроде нормально а на 2000 так и выскакивает сообщения, но что для меня пока не понятно не на всех а так на одних и техже, за ночь посмотрю что будет утром отпишусь

я думаю что это оно http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725
а вши предположения ?

вот еще http://okrylov.wordpress.com/2009/01/14/вирусная-эпидемия-в-домене-блокируют/#more-101 надеюсь скоро решим :)

Установка пакета не помогла.... »
Она сама по себе и не могла помочь.... Она должна предотвратить распространение. А лечить стандартными методами. Т.к. вирус блокирует некоторые службы и модифицирует некоторые библиотеки в памяти, лучше использовать LiveCD или безопасный режим. Используйте средство удаления от Symantec (http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDownadup.exe) для удаления гада.

да уже качнул завтра буду сканить и бахать бахать и сканить :)

Ну вот и еще один день прошел в борьбе ....
Стало еще немного легче, патч от MS и Symantec антивир ситуацию исправляют, во всяком случае не допускают повторного заражения рабочих станций и серверов. Что касается вышедшей вчера утилиты от Symantec, то для сети она помогает слабо, т.к. только чистит комп никак его не защищая от повторного заражения, а оно происходит практически сразу.
Вот бы какие-нибудь рекомендации о том как определить с каких станций сети идет атака услышать....

Анализ Security Log на контроллере. Именно с них идет аудит отказов

Доброе утро.
Пришел на работу и вот что увидел, один сервак 2003 чист второй
Осмотр: Автоматическая защита
Событие: Обнаружена угроза!
Угроза: W32.Downadup.B
Файл: C:\WINDOWS\System32\cluuhfl.sg
Путь: C:\WINDOWS\System32
Компьютер: SQLSERVER
Пользователь: Yakupov
Действие: Исправить не удалось : Изолировать не удалось : Удалить удалось : Доступ закрыт
Дата обнаружения: 14 января 2009 г. 17:05:43

заплатка стоит все вроде нормально, до этого сутки не было сообщений, и еще я вчера заметил на 2000 серваке постоянно выскакивало сообщение имя компа нормальное а вот пользователя нет я удалил из списка пользователя вроде прошло 12 часов не обного сообщения нет, получаеться этот вирус взял на себя права пользователя и от его имени разсылаеться, хотя в сетки такой комп есть он чистый, просто посмотрел на счет заплатки если не ошибаюсь то для ХР она вроде от 31 декабря 2008 вир появился примерно в это же время а вот для 2000 от 22 октября скорее всего из-за старости заплатки она не помогает 2000, буду воевать дальше, но сеть реально лучше работать стала, будет что новое напишу