Desculpe, não faço ideia do que é isso, no entanto, você tem problemas mais importantes agora.
Quantas máquinas estão fazendo isso? Você desconectou todos eles da rede? (e se não, por que não?)
Você pode encontrar uma evidência de comprometimento de qualquer conta de domínio (especialmente contas de administrador de domínio)
Posso entender que você não deseja criar suas áreas de trabalho novamente, mas, a menos que o faça, não pode ter certeza de que limpará as máquinas.
Primeiros passos:
- Garantir que senhas complexas sejam ativadas em seu domínio
- definir uma política de bloqueio - isso causará problemas se você ainda tiver máquinas de verificação, mas isso é melhor do que o comprometimento de mais contas
- Isolar uma má máquina conhecida, está tentando falar com o mundo exterior? Você precisa bloquear isso na sua rede no seu gateway
- Tente isolar todas as máquinas ruins conhecidas.
- Monitore mais máquinas de digitalização.
- Forçar todos seus usuários a alterarem suas senhas, verifique todas as suas contas de serviço.
- Desative as contas que não estão mais em uso.
- Verifique suas associações de grupo em servidores e DCs (administradores de domínio, administradores, etc.)
Em seguida, você precisa executar alguns exames forenses em suas máquinas ruins conhecidas para tentar rastrear o que aconteceu. Uma vez que você sabe disso, você tem mais chances de saber qual é o alcance desse ataque. Use o revelador do kit de raiz, talvez até mesmo imagine o disco rígido antes de destruir qualquer evidência. Os Live CDs do Linux com suporte a NTFS podem ser muito úteis aqui, já que eles devem permitir que você descubra o que um kit raiz pode estar escondendo.
Coisas a considerar:
- Você tem uma senha de administrador local padrão (fraca) em todas as estações de trabalho?
- Seus usuários têm direitos de administrador?
- Todos os administradores de domínio estão usando contas separadas para atividades do DA? Considere a possibilidade de definir restrições para essas contas (por exemplo, estações de trabalho nas quais você pode fazer login).
- Você não fornece informações sobre sua rede. Você tem algum serviço exposto publicamente?
Editar: tentar dar mais informações é difícil, pois depende muito do que você encontra, mas, em uma situação semelhante há vários anos, você realmente precisa desconfiar de tudo, especialmente de máquinas e contas que você sabe que estão comprometidas. .