Есть сетка с доменами. В одном из доменов начали виснуть компы: DNS-сервер контролер домена и (Windows 2003 Server SP2), сервера с различными базами данных (Windows 2003 Server SP2), пользовательские ПК (Windows XP SP2). На пользовательских ПК выбрасывает ошибки недопустимого обращения к памяти из svchost.exe. У серверов просто зависает оболочка, без ошибок, но функции они свои выполняют, хотя нестабильно. На многих компах ловится 1sass.exe. Интернет отрублен. Предположительно, заражённые компы каким-то образом досят остальные. Частично удаётся спасать ситуацию установкой Agnitum Autpost Firewall Pro, как на серверах, так и на пользовательских ПК. Но из-за этого сервера и весь домен не работают как нужно, особенно DNS-сервер контролер домена, а пользовательских ПК слишком много (более 300), чтобы ставить на все файрволы. Может есть какие-нибудь решения для определения источников заразы (без отключения частей сети)?
tcpdump нельзя воспользоваться? Сразу определяться ип-шники источников заразы. Сервера держать надо на *nix, что делает винда на днс сервере ума не приложу.
Ты уже решил, но можно поставить подставную виртуалку без сервис-паков и воспользоваться срезами фс для отслеживания изменений. Потом все отправить на анализ твоему антивируснику
