O servidor parece ter sido muito modificado. Não consigo iniciar/executar/realizar muitas tarefas como Gerenciador de Tarefas, Backup do Servidor, alteração de senha da linha de comando, etc.
Nomes de usuário e nomes completos não correspondem às descrições. Agora, o administrador pode não ser o administrador.
Não consigo ativar/desativar contas.
O servidor está sendo usado como atacante de força bruta: DuBrute estava em execução.
Tentei reiniciar, ocorreu um erro de inicialização do SAM e apareceu um BSOD. Eu poderia recuperar o arquivo SAM de uma cópia mais antiga.
Agora não posso fazer muitas coisas. Parece que o servidor foi hackeado há uma semana - dizem as datas de criação dos arquivos-
Encontrei alguns arquivos de registro como este:HKEY_LOCAL_MACHINE\SAM\SAM\Domínios\Builtin
Posso limpar essa bagunça ou preciso restaurar a partir do backup?
Responder1
Provavelmente seria melhor restaurar a partir do backup, desde que você possa fazer uma restauração completa, incluindo todo o estado do sistema. Na verdade, seria melhor reconstruí-lo completamente como um novo sistema e restaurar os dados necessários. Você realmente precisaria descobrir como seu sistema foi comprometido para evitar que isso aconteça novamente ou com outros sistemas em sua rede.
Responder2
Restaurar do backup. Se este for um controlador de domínio, você precisará verificar seus outros DCs e poderá forçar uma alteração de senha em todas as contas.