唉，關於這個問題，我能做的都做了，可是還是解決不了，剛剛被我們老闆釘了。

以上抱怨結束!

以下SSS是我的AD主機 DDD是網域名稱 AAA和BBB是使用者

<pre class="c" name="code">
事件類型:	稽核失敗
事件來源:	Security
事件類別目錄:	登入/登出 
事件識別碼:	539
日期:		2011/1/10
時間:		下午 02:59:59
使用者:		NT AUTHORITY\SYSTEM
電腦:	SSS
描述:
登入失敗:
 	原因:		帳戶已經鎖定
 	使用者名稱:	AAA
 	網域:
 	登入類型:	3
 	登入處理:	Advapi  
 	驗證封裝:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 	工作站名稱:	SSS
 	呼叫者使用者名稱:	SSS$
 	呼叫者網域:	DDD
 	呼叫者登入識別碼:	(0x0,0x3E7)
 	呼叫者處理識別碼: 1588
 	轉送的服務: -
 	來源網路位址:	-
 	來源連接埠:	-





<pre class="c" name="code">
事件類型:	稽核失敗
事件來源:	Security
事件類別目錄:	登入/登出 
事件識別碼:	529
日期:		2011/1/10
時間:		下午 03:00:10
使用者:		NT AUTHORITY\SYSTEM
電腦:	SSS
描述:
登入失敗:
 	原因:		使用者名稱不明或密碼錯誤
 	使用者名稱:	BBB
 	網域:		BBB-PC
 	登入類型:	3
 	登入處理:	NtLmSsp 
 	驗證封裝:	NTLM
 	工作站名稱:	BBB-PC
 	呼叫者使用者名稱:	-
 	呼叫者網域:	-
 	呼叫者登入識別碼:	-
 	呼叫者處理識別碼:	-
 	轉送的服務:	-
 	來源網路位址:	-
 	來源連接埠:	-

謝謝fishk先進! 小弟把事情敘述的仔細一點，如果我的理解有錯，還請各位先進能指導一下小弟，感謝!

小弟原本也是認為SSS主機中了蠕蟲，所以才會發生上面AAA這個帳號被拿來嘗試登入的情形。

然後有依照爬到的文，安裝重大更新修補KB958644和KB958687，也有安裝微軟的惡意軟體移除工具，掃了一下，什麼都沒發現，也用了趨勢的iClean掃了一下，這次出現了中斷惡意程序1筆，不過還沒研究出要怎麼看是哪一個程序。

上面也沒顯示出是使用哪個port，小弟經驗不夠，CurrPorts看半天也看不出所以然，不然確定是哪個程序，應該可以解決目前的問題吧?

想確定是否不是來自外面的攻擊，想到了可以看SSS前面掛著的實體防火牆的log，但是帳號密碼老闆說忘記了，我也不能把那台給reset。

另一台BBB使用者的電腦BBB-PC，我也猜是中了蠕蟲，不過因為BBB是主管，我可能要先確定問題才能去動他的電腦，這也很尷尬啊~

想請問各位先進，小弟還有活路可以走嗎? 接下來我要何去何從呢?

感恩!

在Server端裝個人防火牆或sniffer工具(如:Ethereal, 教學可看http://chris701203.pixnet.net/blog/post/21891886)看看.