Повторяюсь, выявлено уже две машины, на которых полностью выведена из строя служба терминалов, после "лечения" CureIt.
Сообщение было изменено rwflx: 12 Ноябрь 2021 - 11:38
Отправлено 12 Ноябрь 2021 - 11:37
Повторяюсь, выявлено уже две машины, на которых полностью выведена из строя служба терминалов, после "лечения" CureIt.
Сообщение было изменено rwflx: 12 Ноябрь 2021 - 11:38
Отправлено 12 Ноябрь 2021 - 11:50
У меня Remote Desktop Services никуда не исчез после проверки CureIt.Тогда как так получается, что сервис "Служба удалённых рабочих столов" (termservice) исчезает из списка, после лечения???А, во вторых, только что проверил - CureIt не удаляет файлы и ключи реестра, связанные с RDP.
Сообщение было изменено VVS: 12 Ноябрь 2021 - 11:52
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 12 Ноябрь 2021 - 12:05
Если бы TermService исчезал вообще без каких либо причин, то стоило бы смело включать CureIt в базу, как Trojan.CureIt, а так ещё остаются спорные моменты... %))
Сообщением, что у вас всё в порядке после проверки, вы оттачиваете свои демагогические приёмы и вводите публику в заблуждение.
P.S. Кто-нибудь уже скажет, какие ключи затрагивает CureIt при лечении RDPWrapper, чтобы я мог попытаться восстановить их с рабочей машины?
Тогда как так получается, что сервис "Служба удалённых рабочих столов" (termservice) исчезает из списка, после лечения???У меня Remote Desktop Services никуда не исчез после проверки CureIt.
Отличие от Вашей ситуации в том, что у меня никакого RDP Wrapper не установлено.
Отправлено 12 Ноябрь 2021 - 12:24
Если бы TermService исчезал вообще без каких либо причин, то стоило бы смело включать CureIt в базу, как Trojan.CureIt, а так ещё остаются спорные моменты... %))
Сообщением, что у вас всё в порядке после проверки, вы оттачиваете свои демагогические приёмы и вводите публику в заблуждение.
Нет, я просто сообщаю, что, если не использовать никаких "хакерских" утилит, то ничего, относящегося к системе, CureIt не удалит.
Делаю я это для того, чтобы Вы не "вводили публику в заблуждение", что CureIt на ровном месте удалил что-то системное.
P.S. Кто-нибудь уже скажет, какие ключи затрагивает CureIt при лечении RDPWrapper, чтобы я мог попытаться восстановить их с рабочей машины?
Вы отправили логи в поддержку - ждите ответа от них.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 12 Ноябрь 2021 - 12:53
P.S. Кто-нибудь уже скажет, какие ключи затрагивает CureIt при лечении RDPWrapper, чтобы я мог попытаться восстановить их с рабочей машины?
Кто-нибудь уже скажет, зачем нужен RDPWrapper? Ведь вроде на винде есть штатный инструмент, не?
Отправлено 12 Ноябрь 2021 - 13:01
Насколько я нагуглил, он позволяет на рабочей станции организовать множественное подключение по RDP.Кто-нибудь уже скажет, зачем нужен RDPWrapper? Ведь вроде на винде есть штатный инструмент, не?P.S. Кто-нибудь уже скажет, какие ключи затрагивает CureIt при лечении RDPWrapper, чтобы я мог попытаться восстановить их с рабочей машины?
Сообщение было изменено VVS: 12 Ноябрь 2021 - 13:01
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 12 Ноябрь 2021 - 13:14
Насколько я нагуглил, он позволяет на рабочей станции организовать множественное подключение по RDP.
Кто-нибудь уже скажет, зачем нужен RDPWrapper? Ведь вроде на винде есть штатный инструмент, не?P.S. Кто-нибудь уже скажет, какие ключи затрагивает CureIt при лечении RDPWrapper, чтобы я мог попытаться восстановить их с рабочей машины?
Без него на рабочей станции доступно только 1 подключение в каждый момент.
Соответственно, он что-то "хакает".
Если я правильно поняла, то ТС поставил этот гавнософт который внес изменения в системный реестр и тд. Потом запустил проверку CureIt дав ему отмашку лечить все. А теперь пришел сюда к нам? А почему не на форум разработчиков этой чудо проги?
Отправлено 12 Ноябрь 2021 - 13:19
Aleksandra, Вы правильно поняли.
Штатный Remote Desktop Services запускает C:\WINDOWS\System32\svchost.exe -k NetworkService
Скорее всего этот RDP Wrapper заменяет svchost на что-то своё - вот курилка его и вынес.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 12 Ноябрь 2021 - 13:30
Насколько я нагуглил, он позволяет на рабочей станции организовать множественное подключение по RDP.
Без него на рабочей станции доступно только 1 подключение в каждый момент.
Соответственно, он что-то "хакает".
В home-версиях винды RDP-сервера вообще нет, в остальных кроме terminal server – до 2 подключений.
RDP Wrapper, емнип, включает везде и без ограничений.
Хотя желающие во все времена просто брали termsrv.dll от terminal server и жили не менее счастливо. Причём без стороннего софта и всяких правок в реестре. С юридической точки зрения эти деяния скорее всего равнозначны.
Отправлено 12 Ноябрь 2021 - 13:33
Насколько я нагуглил, он позволяет на рабочей станции организовать множественное подключение по RDP.
Без него на рабочей станции доступно только 1 подключение в каждый момент.
Соответственно, он что-то "хакает".В home-версиях винды RDP-сервера вообще нет, в остальных кроме terminal server – до 2 подключений.
Спасибо, я думал, что только 1 подключение.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 12 Ноябрь 2021 - 13:48
CureIt уничтожил и штатный и нештатный инструменты...
P.S. Кто-нибудь уже скажет, какие ключи затрагивает CureIt при лечении RDPWrapper, чтобы я мог попытаться восстановить их с рабочей машины?
Кто-нибудь уже скажет, зачем нужен RDPWrapper? Ведь вроде на винде есть штатный инструмент, не?
Отправлено 12 Ноябрь 2021 - 13:52
IMHO штатный инструмент уничтожил RDP Wrapper, а потом CureIt уничтожил этого RDP Wrapper'аCureIt уничтожил и штатный и нештатный инструменты...
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 12 Ноябрь 2021 - 15:51
Проблема решена. CureIt удаляет всю ветку HKLM\SYSTEM\CurrentControlSet\Services\TermService вместо того, чтобы вернуть единственное значение:
reg add HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll /t REG_EXPAND_SZ /d "%SystemRoot%\system32\termsrv.dll" /f
Необходимо экспортировать HKLM\SYSTEM\CurrentControlSet\Services\TermService из той же версии Windows и импортировать на машине, где CureIt поломал TermService.
IMHO штатный инструмент уничтожил RDP Wrapper, а потом CureIt уничтожил этого RDP Wrapper'аCureIt уничтожил и штатный и нештатный инструменты...
Отправлено 12 Ноябрь 2021 - 16:33
Вывод:
TermService был поломан этим RDP Wrapper'ом
После этого он стал чем-то, что к штатному сервису винды не имеет никакого отношения.
CureIt отработал корректно, как и должен был, удалив файл, который ему указал удалить ТС, и связанные с этим файлом записи в реестре.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 12 Ноябрь 2021 - 16:37
А когда это RDP Wrapper стал частью операционной системы? %)VVS, я не считаю RDP Wrapper частью системы. Я полагал, что CureIT повредил штатный функционал системы, вылечив её от RDP Wrapper. Как я понял, вы думаете иначе.
В таком случае прояснить ситуацию поможет рекомендация:
Соберите отчет утилитой: https://drw.sh/ofxdsr
Глядя на мир, нельзя не удивляться! ©
Отправлено 12 Ноябрь 2021 - 16:41
А когда это RDP Wrapper стал частью операционной системы? %)VVS, я не считаю RDP Wrapper частью системы. Я полагал, что CureIT повредил штатный функционал системы, вылечив её от RDP Wrapper. Как я понял, вы думаете иначе.
Дело в том, что это уже не было "частью системы".
Это был сервис, который запускал что-то "левое".
Из того, что он назывался также, как и сервис, который существует в оригинальной винде, не следует абсолютно ничего.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 12 Ноябрь 2021 - 17:45
А когда это RDP Wrapper стал частью операционной системы? %)VVS, я не считаю RDP Wrapper частью системы. Я полагал, что CureIT повредил штатный функционал системы, вылечив её от RDP Wrapper. Как я понял, вы думаете иначе.Дело в том, что это уже не было "частью системы".
Это был сервис, который запускал что-то "левое".
Из того, что он назывался также, как и сервис, который существует в оригинальной винде, не следует абсолютно ничего.
Ага, именно так. Подумаем, что можно сделать.
Отправлено 12 Ноябрь 2021 - 17:49
А что можно сделать?Ага, именно так. Подумаем, что можно сделать.Дело в том, что это уже не было "частью системы".VVS, я не считаю RDP Wrapper частью системы. Я полагал, что CureIT повредил штатный функционал системы, вылечив её от RDP Wrapper. Как я понял, вы думаете иначе.А когда это RDP Wrapper стал частью операционной системы? %)
Это был сервис, который запускал что-то "левое".
Из того, что он назывался также, как и сервис, который существует в оригинальной винде, не следует абсолютно ничего.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 12 Ноябрь 2021 - 18:17
Можно поправить исключение именно для RDPWrapper и лечить его более консервативно.
Отправлено 12 Ноябрь 2021 - 18:19
Можно поправить исключение именно для RDPWrapper и лечить его более консервативно.
IMHO какой-нибудь троян может таким же способом "откорректировать" запись для любого сервиса...
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Русские форумы →
Общие вопросы →
Добавить в исключения RDPАвтор: Константин28 , 28 май 2024 доступ, исключения, rdp |
|
|
||
Русские форумы →
Общие вопросы →
Cureit удалил mrb моего дискаАвтор: cureitenjoyer , 06 окт 2023 mrb, cureit |
|
|
||
Русские форумы →
Dr.Web LiveDisk →
CureIt и Windows PE/REАвтор: shlimazl , 25 июл 2023 CureIt, Windows PE, Windows RE |
|
|
||
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
DrWeb CureIt ошибка 2147614719Автор: Romgrafist , 06 май 2023 2147614719, CureIt |
|
|
||
Русские форумы →
Dr.Web для Windows →
Рабочие станции →
DrWeb Cureit зависает ПК во время проверки.Автор: Kaniya , 09 янв 2023 Cureit, Зависает |
|
|
0 пользователей, 3 гостей, 0 скрытых