ОС сама завершает работу

Petya V4sechkin · Конфигурация компьютера

Цитата BOBKAMat:

в заданиях пусто

Смотрели на всех компьютерах?

BOBKAMat · Отправлено: **10:02, 30-08-2012** | #3

Да, на всех.

Еще нашел одну вещь. На всех серверах за секунду до завершения работы был произведен вход от Администратора-

"Успешный сетевой вход в систему:
Пользователь: Администратор
Домен: DOMAIN
Код входа: (0x0,0x5BB8CC1)
Тип входа: 3
Процесс входа: Kerberos
Пакет проверки: Kerberos
Рабочая станция:
Код GUID: {ebbd2e07-2916-29c7-d97e-6d236de6ad4f}
Имя вызывающего пользователя: -
Домен вызывающего: -
Код входа вызывающего: -
Код процесса вызывающего: -
Промежуточные службы:-
Адрес сети источника: 10.1.3.1
Порт источника: 0"

Запись в безопасности о входе и в это же время запись в системе о завершении работы. Как это? Кто ломанул? Не ломанут ли еще раз? Да и кому вообще понадобилось ломать пароль админа для того чтоб тупо вырубить сервера....
Вобщем сменил пароль админа, будем глядеть как дальше пойдет дело

Petya V4sechkin · Конфигурация компьютера

Цитата BOBKAMat:

Адрес сети источника: 10.1.3.1

Вот на этом компе и копайте.

BOBKAMat · Отправлено: **10:27, 30-08-2012** | #5

Это контроллер домена. Авторизация по сути на нем происходит. И этот адрес будет там прописан независимо от того с какого компа заходить. На нем также в заданиях ничего нет, нет никаких лишних процессов

BOBKAMat · Отправлено: **14:33, 30-08-2012** | #6

Смена пароля админа не помогла((( На этот раз сервера не затронуло, вырубился мой комп и компьютер сотрудницы...а может и еще чей-то, но пока молчат

BOBKAMat · Отправлено: **15:05, 30-08-2012** | #7

Не прошло и часа и вырубило 2 сервера и опять 2 компа.... странная активность какая-то. То 2 раза в неделю, то теперь 2 раза за час

Petya V4sechkin · Конфигурация компьютера

Цитата BOBKAMat:

Смена пароля админа не помогла

Это сужает круг поисков. Назначенные задания отпадают.
Остаются процессы, выполняющиеся где бы то ни было после входа в систему (локального или терминального) под доменным администратором. Например вирус.

Вспоминайте, кто куда заходил под админом после смены пароля.

BOBKAMat · Отправлено: **15:30, 30-08-2012** | #9

Кроме меня больше некому заходить под ним. Заходил на сам контроллер домена, и на пару других серверов. На локальные компы под админом не захожу. Сейчас проверяю на руткиты контроллер, пока пусто

Petya V4sechkin · Конфигурация компьютера

BOBKAMat, выложите логи RSIT с контроллера.