Проблема с DC на Windows Server 2003R2 - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Проблема с DC на Windows Server 2003R2 (http://forum.oszone.net/showthread.php?t=177790)

Проблема с DC на Windows Server 2003R2

DC-сервер на 2003R2

с недавнего времени постоянно в логах на сервере такая ошибка, иногда появляется несколько раз в секунду, судя по времени.

источник sam
id 12294
пользователь domen\Администратор
компьютер server1

описание:
База данных SAM не смогла заблокировать учетную запись Администратор из-за ошибки ресурса, например, ошибки записи на диск (конкретный код ошибки находится в данных об ошибке). Учетная запись блокируется после ввода нескольких неправильных паролей, поэтому, возможно, следует переустановить пароль для указанной выше записи.

так же судя по логам время от времени отваливается службs Update Services, Сервер, Инструментарий управления. Еще вылетает ошибка следующего содержания:

Ошибка приложения svchost.exe, версия 5.2.3790.1830, модуль kernel32.dll, версия 5.2.3790, адрес 0x0006bed8

поисковики навели на мысль, что это kido/conflicker... пробовал разные утилиты для его поиска и удаления (например, kido killer) - ничего не нашлось, CureIT и Средство удаления вредоносного ПО MS тоже ничего не выявили, однако ошибки валятся даже после установки рекомендуемых MS обновлений для системы. Из-за всего этого у работников постоянно пропадает доступ к сетевым ресурсам и базам 1С, последствия чего могут быть самыми непредсказуемыми. Подскажите, как победить это зло?
ps. логи прилагаю

Здравствуйте.
выполните скрипт:

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 SetServiceStart('abp470n5', 4);

 StopService('abp470n5');

QuarantineFile('C:\WINDOWS\system32\drivers\noonnm.sys','');

 DeleteFile('C:\WINDOWS\system32\drivers\noonnm.sys');

BC_ImportAll;

ExecuteSysClean;

BC_DeleteSvc('abp470n5');  

RebootWindows(true);

end.

Комп перезагрузится
Выполните скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');

end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму(http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

У вас не kido, а файловый вирус
Почитайте вот здесь информацию
Как лечить файловый вирус

при попытке выполнить первый скрипт пишет "Ошибка ";" expected в позиции 10:1"... в нем все верно?

Попробуйте снова! Всё должно сработать... Извините, поправила..

карантин пустой получается...

Тогда попробуйте отправить вручную файл
C:\WINDOWS\system32\drivers\noonnm.sys
Как отправить файл на анализ

а разве скрипт его не удалил? я не нахожу такого файла там

Значит удалилось, но мимо карантина.. такое тоже бывает...(((
Что с проблемами?

за ночь пока ошибок не было, посмотрим, что будет днем. спасибо!

upd опять полезла ошибка SAM после того, как начался рабочий день. видимо, какая-то гадость ломится с клиентских компьютеров((

Прежде чем делать логи, выполните AVZ /меню файл/обновление баз
Повторите логи AVZ.
Сделайте лог RSIT(http://images.malwareremoval.com/random/RSIT.exe)

вечером попробую

Цитата:

Цитата MotherBoard

Прежде чем делать логи, выполните AVZ /меню файл/обновление баз
Повторите логи AVZ.
Сделайте лог RSIT(http://images.malwareremoval.com/random/RSIT.exe) »

повторно логи
а при запуске RSIT вылетает ошибка AutoIT Error: Line 2563 (путь к файлу RSIT.exe) Error: variable used without being declared