none
Perda de conexão com o domínio RRS feed

  • Pergunta

  • Srs boa noite.
    Estou tendo um problema em minha rede coorporativa desde ontém.
    Duas estações sairam do dominio sem deixar rastros no event viewer.
    Como eu posso achar o que aconteceu srs ?
    E como resolver esse problema, pois eu tenho auditoria nos meus Dc's e não encontrei nada com relação a saida dos pc's do domínio.
    O que eu tenho que fazer ?

    Meu ambiente é: Dc win2003 e 2008
    Micros que sairam do domínio: WinXP Pro

    No aguardo.

    Marcus

    sexta-feira, 6 de agosto de 2010 22:16

Respostas

  • Srs abri um chamado no suporte premium da MS, e com a ajuda da MS analisamos que tinhamos um problema de malware na chave: HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1")
    tinha que mudar de notepad.exe para regedit.exe.
    Agora estou acompanhando mesmo o que está acontecendo com auditorias no meu AD para analisar qq objeto excluso.

    Um abraço.

     

    Marcão!

    quarta-feira, 18 de agosto de 2010 17:22

Todas as Respostas

  • Marcus, são sempre as mesmas máquinas?
    Está acontecendo após alguma atualização nessas estações?
    Aparece alguma informação no Event View?
    Seu servidor DNS está ok?

    Poste mais informações.

    domingo, 8 de agosto de 2010 00:51
  • Sandro o meu DNS está ok sim, e acabei de fazer uma varredura aqui nos Dc's com 2003 e achei o seguinte:

    Um Malware chamado Broken.OpenCommand.

    HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1")

    Em fim, eu também percebi que esse problema ocorreu depois que atualizamos os nossos servidores com a atualização de segurança KB2286198 e não reinicializamos os servidores ainda, será que é por causa disso ?

    E respondendo sua pergunta, já aconteceu duas vezes com a mesma máquina, na verdade 2 vezes com um servidor que saiu do domínio e uma vez com um desktop.

    Se souber de algo que eu tenho que fazer me avise.

    Um abraço!
    Marcus

    domingo, 8 de agosto de 2010 11:47
  • Olá Marcus.
    Já tinha visto uma vez que esse Broken.Open é uma falsa detecção do Malwarebytes, que ocorre quando alguns programas de proteção do registro estão instalados, como o Iolo ou o Spybot Tea Timer:
    http://www.malwarebytes.org/forums/index.p...st&p=143514

    Sobre a atualização, esse kb é relamente para servidores ou para Windows 7?


    domingo, 8 de agosto de 2010 12:03
  • Esse KB foi para todos os S.O.
    Foi atualizado em todos.
    Obrigado pelo bizu do malware.
    E sobre as máquinas sumirem do dominio estou aqui analisando, configurei outra vez a auditoria no AD para se no caso alguém excluir algum objeto eu vou ver quem foi.
    Isso é estou tesntando ...

    Vamos ver como vai ficar...

    Marcus

    domingo, 8 de agosto de 2010 13:12
  • Srs abri um chamado no suporte premium da MS, e com a ajuda da MS analisamos que tinhamos um problema de malware na chave: HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1")
    tinha que mudar de notepad.exe para regedit.exe.
    Agora estou acompanhando mesmo o que está acontecendo com auditorias no meu AD para analisar qq objeto excluso.

    Um abraço.

     

    Marcão!

    quarta-feira, 18 de agosto de 2010 17:22