none
Perda de conexão com o domínio RRS feed

 > 

  • Pergunta

  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Srs boa noite.
    Estou tendo um problema em minha rede coorporativa desde ontém.
    Duas estações sairam do dominio sem deixar rastros no event viewer.
    Como eu posso achar o que aconteceu srs ?
    E como resolver esse problema, pois eu tenho auditoria nos meus Dc's e não encontrei nada com relação a saida dos pc's do domínio.
    O que eu tenho que fazer ?

    Meu ambiente é: Dc win2003 e 2008
    Micros que sairam do domínio: WinXP Pro

    No aguardo.

    Marcus

    sexta-feira, 6 de agosto de 2010 22:16
    |

Respostas

  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Srs abri um chamado no suporte premium da MS, e com a ajuda da MS analisamos que tinhamos um problema de malware na chave: HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1")
    tinha que mudar de notepad.exe para regedit.exe.
    Agora estou acompanhando mesmo o que está acontecendo com auditorias no meu AD para analisar qq objeto excluso.

    Um abraço.

     

    Marcão!

    quarta-feira, 18 de agosto de 2010 17:22
    |

Todas as Respostas

  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Marcus, são sempre as mesmas máquinas?
    Está acontecendo após alguma atualização nessas estações?
    Aparece alguma informação no Event View?
    Seu servidor DNS está ok?

    Poste mais informações.

    domingo, 8 de agosto de 2010 00:51
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Sandro o meu DNS está ok sim, e acabei de fazer uma varredura aqui nos Dc's com 2003 e achei o seguinte:

    Um Malware chamado Broken.OpenCommand.

    HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1")

    Em fim, eu também percebi que esse problema ocorreu depois que atualizamos os nossos servidores com a atualização de segurança KB2286198 e não reinicializamos os servidores ainda, será que é por causa disso ?

    E respondendo sua pergunta, já aconteceu duas vezes com a mesma máquina, na verdade 2 vezes com um servidor que saiu do domínio e uma vez com um desktop.

    Se souber de algo que eu tenho que fazer me avise.

    Um abraço!
    Marcus

    domingo, 8 de agosto de 2010 11:47
    |
  • Question
    Entrar para Votar
    2
    Entrar para Votar
    Olá Marcus.
    Já tinha visto uma vez que esse Broken.Open é uma falsa detecção do Malwarebytes, que ocorre quando alguns programas de proteção do registro estão instalados, como o Iolo ou o Spybot Tea Timer:
    http://www.malwarebytes.org/forums/index.p...st&p=143514

    Sobre a atualização, esse kb é relamente para servidores ou para Windows 7?


    domingo, 8 de agosto de 2010 12:03
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Esse KB foi para todos os S.O.
    Foi atualizado em todos.
    Obrigado pelo bizu do malware.
    E sobre as máquinas sumirem do dominio estou aqui analisando, configurei outra vez a auditoria no AD para se no caso alguém excluir algum objeto eu vou ver quem foi.
    Isso é estou tesntando ...

    Vamos ver como vai ficar...

    Marcus

    domingo, 8 de agosto de 2010 13:12
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Srs abri um chamado no suporte premium da MS, e com a ajuda da MS analisamos que tinhamos um problema de malware na chave: HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1")
    tinha que mudar de notepad.exe para regedit.exe.
    Agora estou acompanhando mesmo o que está acontecendo com auditorias no meu AD para analisar qq objeto excluso.

    Um abraço.

     

    Marcão!

    quarta-feira, 18 de agosto de 2010 17:22
    |