» Попытки входа с компа lQPxf2ISQgEV1bGK

Вобще ситуация такая:
в журнале безопасности постоянно фигурирует сообщение:

Тип события:    Аудит отказов
Источник события:    Security
Категория события:    Вход учетной записи
Код события:    680
Дата:        15.05.2009
Время:        13:15:01
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:    PC01
Описание:
Попытка входа выполнена: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа:
Исходная рабочая станция: lQPxf2ISQgEV1bGK
Код ошибки: 0xC0000064

Причем компа с таким именем в сети нет и небыло наверно, так как у знакомого в другой конторе тоже встречаются такие же записи.

Залез в журнал файервола и посмотрел что в то время как появлялись эти записи были открыты сессии по 445 порту с 4 разных компов моей локалки (в разное время).
Сразу оговорюсь патчи стоят все! Есть подозрение что это что-то от кидо (от которого давно избавились), но антивири на тех машинах откуда это приходит ничего не находят (одна из машин сервер с Win2003 и каспером 6 на нем, одна ХР под нодом3, а две др. под ХР и 2000 и каспер 6).
Кто-нибудь сталкивался с чемто подобным?
PS:В инете ничего толком не нашел, схожее видел тут http://isc.sans.org/diary.html?storyid=6208, но тоже без решения.

silverowl
Отключай все машины от общей сети и проверяй каждую автономно свежескачанным Cureit

Вручную - не вариант. часть машин находится в другом городе (почти 500км) и там некому этим заниматься (сидят только бухи и юристы). Но куреитом проверял цепляясь через удаленку - результат нигде ничего нет. Те два от которых тут у меня эти попытки входа идут чем только не проверял.

Сегодня на одном из компов с которых идут попытки входа каспер нашел W32/Buzus.AUER но удалить не смог после небольших плясок и перезагрузки проверил вроде удалил, проверил еще раз полностью каспером и куреитом ничего нет. но возможно это как дополнение какое - так сказать "бонус", так как атаки все идут

silverowl
А когда от Кидо избавлялись, заплатки от мелких и мягких все ставили?

Если возможно , сделайте в avz http://z-oleg.com/avz4.zip стандартный скрипт №2 и выложите результат в виде архива virusinfo_syscheck.zip (из папки LOG).

silverowl, чтобы удостовериться относительно всех патчей - http://www.securitylab.ru/software/295085.php

Заплатки как уже писал выше стоят все (установлен WSUS и в нем говорит что эти компы не требуют обновлений и все на них стоит).
По поводу лога avz - делал как только началось, сам смотрел, выкладывал на вирусинфо ничего не нашли подазрительного. сейчас сделать не могу - местные две машины вчера вечером из образов перелил чтоб не сильно заморачиваться (но с одной сделал образ - залью на виртуалку буду долбать и выложу позже лог). ну а на удаленных (тех что в другом городе) сейчас пока ничего не сделаю - народ работает, так что вечерком попрошу оставить компы включеными и повожусь.

Вроде победил - по кр.мере атаки прекратились
Как все было:
Всю прошлую неделю бухи из удаленного офиса жаловались что у них ачались проблемы с компами - все висит, переодически перегружаются самопроизвольно и тп. Директор (надо заметить дядька продвинутый в плане комп техники) решил направить туда когонибудь на выходныых бороться с вирусней, и этим кем-нибудь оказался я (8 часов в автобусе в одну сторону не весело). ну короче приехал я туда и все на месте понял. Короче там был win32.Buzus.auer по версии ЛК, кст каспер 6 его находил, но не лечил (но это видимо заслуга тетенек). Прошелся я по их компам, поставил везде автолечение, наставил паролей на каспера, подключился к своей тачке удаленно, посмотрел что у нас творится и ниувидел атак с того момента как я тут все выличил. Заняли все действия часа 1,5, потом пошел пивка попил, полюбовался местными достопримечательностями и в обратный путь.
ЗЫ: Вчера сегодня атак не видел

silverowl