近期,域控制器上发现有大量用户自动锁定。查看事件日志,发现跟SAM有关的日志代码12294(如图1),找到微软KB:http://support.microsoft.com/kb/887433,发现和病毒有关系。
 

下载Account Lockout and Management Tools,该工具可以查看用户登录的计算机名,这样有利于分析病毒源位置。

   将Account Lockout and Management Tools解压到域控制器,打开eventcombMT.exe->Searches->Built In Searches->Account Lockouts,此时会列出所有的域控制器,点击"Search",搜索完毕自动在C:\temp生成Log文件,分别打开每个日志文件,留意下”调用方机器名“显示的计算机是否长期尝试域用户密码,若是则说明该计算机中毒。

 
使用专杀工具W32.Downadup Removal Tool
 
 
解决大量域用户自动锁定_用户
 
此工具专为杀除下述感染而设计: