最近，公司內部分使用者反映自己域賬號被鎖定，剛開始，未留意，因為賬號鎖定的問題比較常見，本以為是認為的密碼設定錯誤所致，解鎖後不再關注。今天早上到單位，發現網內大部分使用者域賬號都鎖定了，有的使用者賬號居然剛剛解鎖後又鎖定。針對此想象，仔細分析，一般偶爾有使用者反映帳號被鎖屬於正常，但是大規模被鎖，我覺得肯定有問題了。隨後，看了一下Log,發現675的很多，就是說在猜測密碼比較多，我感覺應該是病毒的問題。網上收索了一遍，果然有相同故障的朋友再談論類似事件。知道了是類似蠕蟲----Downadup的病毒，這個蠕蟲有個更好聽的名字叫---confickER,
知道了原因，接下來要做的很簡單，具體如下
1.客戶端都打上ms08-067的補丁，不準漏網（未實現WSUS),只好放FTP，開使用者許可權，讓他們自己裝。（使用者太多。自己弄不完。速度慢）

2.用Symantec的專殺，http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99
3.把企業客戶端的Symantec SAV都更新到最新版本，其實平時都是自動更新的，但是部分客戶端還是有問題，一直未能解決
因為是週末，很多人都不知道此事，也就無法及時做以上操作，為了快速定位病毒機，使事態不再嚴重，（重要的是別讓領導知道，考核俺）又做如下工作：
第一步，當帳號被鎖時，用Lockoutstatus.exe工具來判斷當時的登入伺服器。
帳號被鎖的那個相關DC會列出在Orig Lock這一列。
第二步，用eventcombMT.exe把有關Account Lockout的事件儲存下來

1）填上Domain名稱
2）選擇DC
3）從選單中選Searches-->Built In Searches --> Account Lockouts，這會自動給你在下面填上event id: 529, 644, 675, 676 和681
4）點Search
在output目錄裡面會生成一系列文字檔案。
第三步，用Findstr.exe來搜尋過濾這個文字檔案。
Findstr.exe是windows安裝好就自帶的一個命令列工具
進入命令列工具後鍵入findstr /i user dc01-security_log.ext > .\user.txt
這樣過濾後的有關該user的帳號被鎖資訊就被儲存在了user.txt中
第四步，開啟user.txt，查詢644那行，看是在哪臺電腦導致的account lockout
根據644所指，快速的找到了故障機。是單位某部門的好多機器，為防止事態擴大，將此網段網線拔掉，所後上門檢視，發現故障機要麼未裝防毒，要麼未升級病毒庫。
此次問題，也說明了防毒軟體升級的必要性。當然，WUSU也是一方面。希望將此次故障解決過程供大家參考，如果可以的話，儘量限制USB優盤的使用。
說了一堆，不知道大家看懂沒。嘿嘿！！！

第五步，到登入那臺電腦，檢視有沒有以下使用該帳號的情況

　　1) 自動的網路碟符對映

　　2) 用該帳號自動執行的scheduled task 或 service

　　3) 有沒有沒有斷掉的terminal 連線

　　如果還是不能確定是哪個程式導致的帳號被lockout，那麼在該電腦上安裝alockout.dll，匯入appinit.reg，註冊該dll後，重新啟動。等到下次帳號被鎖時，就可以檢視%winroot%debug下的log檔案來看具體是哪個process在搗鬼。