Личные блоги 
Событие из event log на Windows 2003:
Цитата
| security: failure - 2009/04/16 10:32:10 - Security (529) - NT AUTHORITY_SYSTEM "Logon Failure: Reason: Unknown user name or bad password User Name: Domain: WORKGROUP Logon Type: 3 Logon Process: NtLmSsp Authentication Package: NTLM Workstation Name: lQPxf2ISQgEV1bGK Caller User Name: - Caller Domain: - Caller Logon ID: - Caller Process ID: - Transited Services: - Source Network Address: 192.168.163.101 Source Port: 0" |
Событие с windows 2008
Цитата
| security: failure - 2009/04/16 10:31:44 - Microsoft-Windows-Security-Auditing (4625) - n/a "The description for Event ID ( 4625 ) in Source ( Microsoft-Windows-Security-Auditing ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer. You may be able to use the /AUXSOURCE= flag to retrieve this description_ see Help and Support for details. |
Источником события могу быть как системы, подключенные к локальной сети, так и системы из Интернет. С первого взгляда причиной подобных событий является вредоносное ПО, и скорее всего это какой-то вариант червя Conficker. Если у кто-то наблюдал подобные события в своих журналах или знает их причину - не стесняйтесь отписать, буду весьма признателен
TOP Новости 
Подписка
Вирусы 
При этом останавливаются сервисы Сервер, Рабочая станция, Инструмент. управления Windows, а Касперский v.6 сообщает о попытках подключиться к себе (PID процесса, который пытается воздействовать на Касперского, - это drwtsn32.exe)
Таким образом червь пытается размножится. К сожалению есть много червей, корорые используют дырку в RDP. Решение проблемы очень простое, установить апдейт KB958644 . После чего просканировать на вирусы.
Согласен, только речь идет об уязвимости в RPC, а не RDP
Sorry перепутал.
The description for Event ID ( 4625 ) in Source ( Microsoft-Windows-Security-Auditing ) cannot be found..
Судя по всему данный источник событий не имеет отношения к действиям какого либо вредоносного ПО, но что характерно далее в данной ошибке есть так же строки (полный текст события):
The description for Event ID 4740 from source Microsoft-Windows-Security-Auditing cannot be found. Either the component that raises this event is not installed on your local computer or the installation is corrupted. You can install or repair the component on the local computer.
If the event originated on another computer, the display information had to be saved with the event.
Откуда данный компонент можно установить\пере установить кто нибудь может подсказать?