你的情況,看起來是出問題的主機(server service會停掉)存在的區網中的其它電腦(講得很像太複雜 XD)有中你提到的那個病毒
然後嘗試去攻擊並感染區網中剩餘的電腦
而你的主機沒有把Patch更新到最新
所以會有那種問題
而又看你的敘述,是使用網芳在存取網路上的檔案
所以你沒辦法使用防火牆進行連線的阻隔
只有更新Patch一途了

--
如有謬誤,歡迎指正

今天大致理出頭緒

近來有隻病毒蠻火紅的 confiker

http://www.microsoft.com/taiwan/press/2009/01/0114.mspx

微軟的新聞稿

由於我們佈署的單位(診所) 電腦都不多 而且也沒有資訊人員常駐

所以flie server上的防護不多

剛好遇上了專門針對區網分享且跟USB病毒傳播方式結合的 Conficker

最近這病毒也變種出 Conficker.B

如果也有當MIS的人 請務必要小心這隻病毒

真的...難搞...

目前手邊帶回的主機 有兩台抓出conficker 還不知道災情如何

但是看微軟的新聞 跟新變種

這種跟疾風一樣鑽漏洞的病毒 真是難搞
(一直懷疑是不是微軟自己作的..>< 鑽漏洞)

根據網路上收集的資料

首先這病毒會攻擊 Server這支服務的漏洞

而微軟的作業系統中 後期有加入 DEP系統 (惡意程式執行防止系統)

所以偵測到Server被攻擊 就強制中止 導致file server 無法工作

目前暫時推論是如此 還在陸續的過濾當中

還好後期有導入 Returnil這套影子還原系統

所以災情還算普通 不然看來又要不眠不休的解毒了

老闆正在考慮乾脆把電腦的USB孔給他封起來..以杜絕這類USB傳播的惡意病毒

不然毒解了 但是隨身碟上還有分身 一插上電腦 又掛了...

[Ailio 在  2009-2-12 12:41 AM 作了最後編輯]

感謝兩位的協助

Server2003 更新SP1之後 並沒有開啟自動更新

因為小弟服務的公司算是診所外包的資訊服務 因此不會整天呆在固定的診所

診所內醫護人員多半也沒什麼電腦常識 所以怕開啟更新 如果主機自己重開

他們線上使用 可能會出現問題


至於IIS 主機並沒有啟用這服務 因為主機主要是做file server的工作而已
(存取病歷資料庫 X光片圖檔 等)

cprost & autoruns 我還沒用過 我會先試試看

再次感謝兩位協助 也請其他有經驗的人如有其他見解 也能提出來 感謝

有啟用iis功能嗎? 是否先中斷iis或是sql對外公司試試看 上網路下載autoruns看有沒有奇怪的服務
再利用cprost找看看奇怪的執行程式

1.的 2003 SERVER 上的 SERVICE PACK 是否有更新到最新版? 有無執行WINDOWS UPDATE ?
2.EVENT  LOG 是否有異常?
3.如果可以的話..停止一些無用的服務!
4.既然有開啟遠端桌面那就更要小心入侵的問題!!

最近遇到一個棘手的問題

在工作的伺服器中 出現了 "server" 這個服務會被停止

這服務停止會影響網路分享 跟 遠端桌面等功能

目前是設定 當這服務中止 會自動啟動這服務

但是這方法畢竟治標不治本 而且在服務重啟時 遠端連到伺服器上的連線都會中斷

造成工作上的不便

當初本以為這狀況是個案 也就沒有注意

但是公司另一個點的伺服器 也出現同樣的狀況 所以感覺似乎不是這麼單純

希望能尋求各位網友的建議或協助

[Ailio 在  2009-2-15 12:36 PM 作了最後編輯]