解决大量域用户自动锁定

     近期，域控制器上发现有大量用户自动锁定。查看事件日志，发现跟SAM有关的日志代码12294（如图1），找到微软KB： http://support.microsoft.com/kb/887433，发现和病毒有关系。

 

    于是从微软网站 http://www.microsoft.com/downloads/details.aspx?FamilyId=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en

下载Account Lockout and Management Tools，该工具可以查看用户登录的计算机名，这样有利于分析病毒源位置。

   将Account Lockout and Management Tools解压到域控制器，打开eventcombMT.exe->Searches->Built In Searches->Account Lockouts，此时会列出所有的域控制器，点击"Search"，搜索完毕自动在C:\temp生成Log文件，分别打开每个日志文件，留意下”调用方机器名“显示的计算机是否长期尝试域用户密码，若是则说明该计算机中毒。

 

使用专杀工具W32.Downadup Removal Tool

 

http://www.symantec.com/content/zh/cn/global/removal_tool/threat_writeups/D.exe

 

 

此工具专为杀除下述感染而设计:

• W32.Downadup
• W32.Downadup.B
• W32.Downadup.C