4台服务器同时提示有w32.spybot.worm病毒,该病毒不断的产生reaseme_随机数字.exe在Winnt目录下,通过多种方式查找病毒失败,后来发现一台服务器在把域用户添加到组的时候出现下面的对话框

查看日志发现复制中出现了大量的错误记录,复制错误一般由于网络不可达,服务器宕机,默认共享、远程修改注册表不可用等,检查默认共享的时候发现默认共享既然被关了,修改注册表后打开默认共享。
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”
AutoShareServer将键值由0改为1,“AutoShareWks”项,也把键值由0改为1打开admin$共享。重新启动后,默认共享打开,发现问题还在存在,到服务里面检查后发现远程修改注册表被禁用了。手工设置为自动时出错,后来在安全模式下设置成功,重新启动服务器,把用户添加到组可用。
        现在奇怪的是是什么原因把默认共享和远程修改注册表关闭了,难道是w32.spybot.worm这个病毒?按照诺顿官方的说法找不到病毒,而且这个病顿运行的时候是一个过去用来测试用的帐号WorkFlowUSr并且这个用户被加到domain admins组,后来把这个用户删除后服务器就没有提示有病毒了。
        在修复过程中修复过一下DNS。
       

Copyright © 2022 瞳孔
Powered by .NET 6 on Kubernetes