Аналогичная проблема появилась и в нашей сетке, точно 11 января в 10:20 утра, когда отдохнувшие за 12 дней пользователи кинулись в Инет и начали совать в компы флешки с фотографиями.
В журналах сервера пишеться SAM 12294 - это перебор пароля чем пользуются для брутфорс атак.
В нашем случае оказался вирус W32.Downaup.B (так его Symantec) определяет. Сел и на сервера и на рабочие станции, вирус свежий, появился примерно 5 января, последняя модификация 11 января. 3-й день идет борьба, т.к. сетка не маленькая.
Подробности о вирусе можно посмотреть здесь
https://forums.symantec.com/t5/blogs...article-id/225
Седующая ветка в форуме - тоже по этому поводу
Методы:
1. Установка патча от Микрософт из KB958644 на сервера и рабочие станции
2. Лечение обновленным антивирусом всей сети (пока только Symantec и BitDefender , остальные его не видят)
3. Запрет автозапуска со съемных накопителей и расшаренных сетевых дисков (вирус использует файл autorun.inf в корне этих дисов).
Сейчас стало немного легче, но до конца проблему еще не решили ....
