На ровном месте возникла следующая проблема, в сети на компьютерах под управлением XP/2003, включая сам контроллер домена, самопроизвольно отключаются службы "Рабочая станция" и "Сервер". Это происходит через 15-90 минут после загрузки, иногда появляется сообщение о том что приложение "Generic Host Process выполнило недопустимую операцию и будет закрыто".
Если службы поднять руками то они работают опять же до перезагрузки. В журналах все чисто, сброс групповых политик домена на дефолтные результата не дает.

Заранее спасибо за помощь.

Для начала попробуйте вот эти заплатки на клиентах:

Windows XP SP1 - KB921883 и KB923414
Windows XP SP2 - KB923414 и KB924270

на всех клиентах стоит SP3, на win 2003 уставновлен SP2

В логах аудита и системы на контроллере домена что интересного есть?

в момент падения служб только в журнале системы появились два события:
Тип события: Уведомление
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7035
Дата: 17.03.2009
Время: 16:05:38
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SERVER
Описание:
Служба "Служба авто-обнаружения веб-прокси WinHTTP" успешно отправила управляющий элемент "запустить".

Тип события: Уведомление
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7036
Дата: 17.03.2009
Время: 16:05:38
Пользователь: Н/Д
Компьютер: SERVER
Описание:
Служба "Служба авто-обнаружения веб-прокси WinHTTP" перешла в состояние "Работает".

позже добавилось

Тип события: Уведомление
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7035
Дата: 17.03.2009
Время: 16:13:52
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SERVER
Описание:
Служба "Служба сетевого расположения (NLA)" успешно отправила управляющий элемент "запустить".

Настоятельно рекомендуем установить критическое обновление KB958644 (http://forum.oszone.net/thread-121039.html)

для Win2k3 SP2 и WinXP SP3 этого обновления нет, видимо уже включено в сервиспак

недавно сталкнулся с подобной проблемой.... червь kido - вот что это, фиксим сервер, лечим антивирусом.

Касперский с последними базами ничего вредного не находит

для Win2k3 SP2 и WinXP SP3 этого обновления нет
Специально для слепых:
Win2k3 (SP1, SP2) (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=f26d395d-2459-4e40-8c92-3de1c52c390d)
WinXP (SP2, SP3) (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=0d5f9b6e-9265-44b9-a376-2067b73d6a03)

спасибо =)
Поставил на Win2k3, 10 часов - полет нормальный. Если это обновление закрывает дырку защиты, то чтобы этот дыркой воспользоваться все равно нужен вирус, но что-то я его не вижу.

Скачай с сайта Каспера утилиту kidokiller (последняя вроде была 3.3)

MadTimer, можно включить аудит и смотреть, кто постоянно долбится по сети. Лучше на обычном компе (не сервере), чтобы легче было искать в результате нужные события. Или поставить файрвол и с помощью него отслеживать, с какого адреса идет атака.

Kido Killer ничего не нашел, как и Virus Removal Tool. прогонял на сервере и на некоторых компьютер в сети (на которых выпадают службы)

кстати забыл сказать - на контроллере домена стоит ISA 2006 со всеми обновками и включены все возможные защиты, по поводу атак ничего в ее журналах нет. Попробую еще порыскать по ее логам.

И как следствие выходит что если на самом компьютере КидоКиллер ничего не нашел, то если этот компьютер отключить от сети физически и оставить, службы упасть не должны - надо проверить.

А моно посмотреть в аудите Безопасности с какого компа была инициализация блокировки учетной записи.

Извиняюсь задумался. У вас проблема в службах а в не уч .записях

Бинго. И все таки это был Kido, жил на паре машин без антивирусника. Машины вычислил по логам ИСЫ.

Резюме: обновить WSUS и купить нормальный антивирус =)

ВСЕМ ОГРОМНОЕ СПАСИБО!!