Обновления коснулись только машин в домене? Или сервер тоже обновлялся?
+ Какие права у юзеров?
+ Общие шары?
+ Сложность пароля администратора?

Сервер пока не обновил,права у почти всех зарезанные,есть файловый сервер (на dc, в процессе переноса на отдельный сервер), сложность пароля администраторы высокая 10 символов из всяких краакозябрр! Посоветуйте нормальную сетевую лечилку,kk.exe. от касперского ничего не ловит,сейчас прогоняю Sophos Network Security Scan, но он некоторые компьютеры не может найти,прогоняю через AD.

Dr.Web CureNet (http://www.drweb-curenet.com/) лицензия на 50 компьютеров на 10 дней - 1960 р

Ну так стоит оно того или так как касперский,удалит и потом снова! Тут же нет триала проверить?!

Эм, давайте сначала на все компьютеры сети поставим обновления, а затем уже начнем. Думать дальше. При этом обновления надо ставить не только на систему но и на софт. Java. Flash и тд. Если на каких-то компах не нужна ни Java ни Flash - то удаляйте.
Отключите автозапуск с флешек и с жестких дисков.

Ознакомьтесь с этой статьей (http://safezone.cc/forum/showthread.php?t=18553)

Подготовьте еще такие логи, может что увидим:
Раз (http://safezone.cc/forum/showpost.php?p=79351&postcount=1)
Два (http://safezone.cc/forum/showthread.php?t=18562)

sahaha, вот похожая тема (http://virusinfo.info/showthread.php?t=124071)
Обратите внимание - в ней тоже говорится об обновлениях против Кидо. От Вас же пока больше слов, чем полезных действий

как же нет действия,я выполняю всё что говорите! Обновить все машины проблемно,wsus не настроен,а каждую машину по отдельности обновить надо время! Одну я обновил полностью,все рек выполнил,а он лезит,через что?!

Одну я обновил полностью,все рек выполнил,а он лезит,через что?! »На время лечения от Kido рекомендуется сеть полностью отключать и лечить машины постепенно

а он лезит,через что?! »
через уязвимости операционки.. Без обнов тему закроем

Обновляю потихоньку,много компов!

Не закрывайте пока тему!

Здравствуйте! Обновление небыстро,но идёт! Нарыл тему http://social.technet.microsoft.com/Forums/ru-RU/windowsserverru/thread/c1f7e7cf-f854-411e-91b3-42ed1ed24bea/, а иминно

"Когда учетка блокируется - то на КД, где произошла блокировка и на PDC-эмуляторе регистрируется событие в журнале Security с ID 644, где содержится и информация о компьютере с которого была вызвана блокировка"

Нашёл я этот компьютер,прогнал kk.exe, он нашёл троянов,удалил,но он появляется (на других пк kk.exe вообще ничего не находил), может я что-то недочистил на этом пк. Обновить не получится,на нём стоит китайская приблуда NComputing тонкие клиенты,они работают только с sp2 и с обновлениями глючат!((((( Касперский стоял,но висла система постоянно,удалил и всё работало отлично! Не пинайте сразу,а подскажите,может его аккуратненько почистить от кидо,а остальные обновлю! Спасибо за терпение!
И ещё,после того как я прогнал kk.exe на всех компах он стал выскакивать чаще!( Чувствует гад!)

Это, конечно, полдела, но все же обновляться необходимо
у вас непростой случай.. 50пк со старыми операционками и с какими-то тонкими клиентами.. Сожрет вас кидо

Поставьте заплатки на sp2
MS08-067 (http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx)
MS08-068 (http://www.microsoft.com/rus/technet/security/bulletin/MS08-068.mspx)
MS09-001 (http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx)

или скачайте из моего вложения

+

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

кидо-это сетевой червь..сейчас заплатками заткнете основные дыры..а также
отключите автозапуск программ с различных носителей, кроме CDROM. Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:
REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Если пользовались съемными носителями-пролечите их, наверняка заражены

Логи гмер

Следов кидо в логе не видно.

Нашёл 4 компьютера в сети,которые подбирают пароли,в логе контроллера домена. Что посоветуете,сразу на всех запустить kk.exe?

Нашёл 4 компьютера в сети,которые подбирают пароли,в логе контроллера домена. Что посоветуете,сразу на всех запустить kk.exe? »

уже говорилось...

На время лечения от Kido рекомендуется сеть полностью отключать и лечить машины постепенно »