Перейти к содержимому


Фото
* * * * * 1 Голосов

RDP Wrapper и CureIt

rdp rdpwrapper cureit repair

  • Please log in to reply
66 ответов в этой теме

#1 rwflx

rwflx

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 10 Ноябрь 2021 - 15:14

CureIt нашёл и удалил следующий файл, а вместе с ним вычистил все ветки реестра связанные со "службой удалённых столов"!

Вопрос: Как теперь восстановить функционирование службы удалённых рабочих столов?

 

<file path="C:\Program Files\RDP Wrapper\rdpwrap.dll" size="116736" links="1" ctime="06.08.2016 22:29:09.145" atime="06.08.2016 22:29:09.145" wtime="06.08.2016 22:29:09.145" buildtime="10.12.2014 23:17:30.000">
		<attrib archive="true" value="20" security="O:BAG:S-1-5-21-2369663591-961208738-1451916285-513D:AI(A;ID;FA;;;SY)(A;ID;FA;;;BA)(A;ID;0x1200a9;;;BU)" />
		<hash sha1="b3892eef846c044a2b0785d54a432b3e93a968c8" sha256="798af20db39280f90a1d35f2ac2c1d62124d1f5218a2a0fa29d87a13340bd3e4" />
		<arkstatus file="unsigned, pe64, dll" cert="unsigned" cloud="unknown" type="unknown" />
		<verinfo company="Stas'M Corp." descr="Terminal Services Wrapper Library" origname="rdpwrap.dll" version="1.5.0.0" product_name="RDP Host Support" product_version="1.5.0.0" file_version_ls="0" file_version_ms="65541" product_version_ls="0" product_version_ms="65541" />
	</file>



#2 rwflx

rwflx

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 10 Ноябрь 2021 - 15:29

Считаю, что CureIt ведёт себя неоправданно деструктивно и совершенно некорректно, в данном случае.



#3 Dr.Web Ransom Hunter.

Dr.Web Ransom Hunter.

    Advanced Member

  • Posters
  • 920 Сообщений:

Отправлено 10 Ноябрь 2021 - 15:40

Считаю, что CureIt ведёт себя неоправданно деструктивно и совершенно некорректно, в данном случае.

 

В СureIT - есть  инструкция  про карантина: https://download.geo.drweb.com/pub/drweb/cureit/doc/drweb-cureit-free-ru.pdf

 

Сообщите об ложное срабатывание :

https://vms.drweb.ru/sendvirus/

Global Malware Hunting.


#4 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 11 Ноябрь 2021 - 03:01

Что касается не оправданности, то RDPWrap детектится как потенциально опасный софт (Program.RDPWrap), а значит никакие действия автоматически не применяются. Вы применили действие самостоятельно, значит должны были понимать к чему это приведет.

 

>а вместе с ним вычистил все ветки реестра связанные со "службой удалённых столов"!

 

Вот тут нужны будут логи.



#5 rwflx

rwflx

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 11 Ноябрь 2021 - 09:44

Реестр при этом восстанавливается?

 

 

В СureIT - есть  инструкция  про карантина: https://download.geo.drweb.com/pub/drweb/cureit/doc/drweb-cureit-free-ru.pdf

 



#6 Dr.Web Ransom Hunter.

Dr.Web Ransom Hunter.

    Advanced Member

  • Posters
  • 920 Сообщений:

Отправлено 11 Ноябрь 2021 - 10:09

 

Реестр при этом восстанавливается?

 

 

В СureIT - есть  инструкция  про карантина: https://download.geo.drweb.com/pub/drweb/cureit/doc/drweb-cureit-free-ru.pdf

 

 

 

Восстановить из карантинных файлы : rdpwrap.dll  -  поместите куда-то нибудь в папку.

 

Если у тебя система Win32 -то

для х32 (х86) систем компонент необходимо заменить или поместить в папку C:\Windows\System32;

Если система то Win64-то 

для х64 необходимо выполнить замену или переместить в папку C:\Windows\ SysWOW64;

 

Комбинацией «Win» + «R», или нажать «Пуск» и «Выполнить»;

в открывшемся окне ввести через пробел следующее: regsvr32 имя файла.dll – где, «regsvr32» ─ команда для регистрации, а «имя файла.dll» – полное имя вставленного компонента;

То , есть пример 

regsvr32.exe C:\Windows\System32\rdpwrap.dll и запустить - должно помочь.

 

P.S понаблюдайте , если поможет -если не поможет , погугли .  


Global Malware Hunting.


#7 rwflx

rwflx

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 11 Ноябрь 2021 - 10:26

Не помогло, чего и следовало ожидать. Гуглением занимался уже очень много, до того, как написать на этот форум. Тем временем, проблема уже на двух компах.



#8 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 11 Ноябрь 2021 - 10:43

Соберите отчет утилитой: https://drw.sh/ofxdsr



#9 rwflx

rwflx

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 11 Ноябрь 2021 - 10:59

Соберите отчет утилитой: https://drw.sh/ofxdsr

 

denisov-office_d.denisov_1-2-0-202110190_11112021-114510.zip

 

Собран и отправлен в службу поддержки.



#10 MakRos-78

MakRos-78

    Advanced Member

  • Posters
  • 512 Сообщений:

Отправлено 11 Ноябрь 2021 - 11:25

Так а заново запустить установщик не поможет?

#11 rwflx

rwflx

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 11 Ноябрь 2021 - 11:35

Так а заново запустить установщик не поможет?

 

 

Не поможет. "Служба удалённых рабочих столов", такое ощущение, выкорчевана полностью. Попытки восстановить сервис в реестре приводят к ошибке при запуске.

C:\>net start termservice
Системная ошибка 1075.

Дочерняя служба не существует или была отмечена для удаления.


#12 Dr.Web Ransom Hunter.

Dr.Web Ransom Hunter.

    Advanced Member

  • Posters
  • 920 Сообщений:

Отправлено 11 Ноябрь 2021 - 13:58

 

Так а заново запустить установщик не поможет?

 

 

Не поможет. "Служба удалённых рабочих столов", такое ощущение, выкорчевана полностью. Попытки восстановить сервис в реестре приводят к ошибке при запуске.

C:\>net start termservice
Системная ошибка 1075.

Дочерняя служба не существует или была отмечена для удаления.

 

А, если использоваться с помощью этот https://prnt.sc/1z4ylqe- там можно попробовать в гугл, какая ошибка у тебя выдало.


Global Malware Hunting.


#13 rwflx

rwflx

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 11 Ноябрь 2021 - 14:53

Меня интересует квалифицированный ответ технической поддержки, а не "вот это вот всё", извините!

 

P.S. Я хотел бы узнать, как минимум, какие ключи реестра удаляет CureIt при лечении RDPWrapper



#14 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 11 Ноябрь 2021 - 15:46

Меня интересует квалифицированный ответ технической поддержки, а не "вот это вот всё", извините!
 
P.S. Я хотел бы узнать, как минимум, какие ключи реестра удаляет CureIt при лечении RDPWrapper

rwflx, ориентируйтесь на сообщения вируусного аналитика компании Ivan Korolev, а не комментаторов-любителей.



#15 rwflx

rwflx

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 12 Ноябрь 2021 - 09:53

Собрал отчёт и жду развернутого ответа.
 

Как мне представляется, у вас должна быть возможность заглянуть внутрь скрипта, который удаляет RDPWrapper и описать какие затрагиваются при этом ветки реестра?

 

 

 

Соберите отчет утилитой: https://drw.sh/ofxdsr

 

denisov-office_d.denisov_1-2-0-202110190_11112021-114510.zip

 

Собран и отправлен в службу поддержки.

 



#16 TASS

TASS

    Advanced Member

  • Posters
  • 921 Сообщений:

Отправлено 12 Ноябрь 2021 - 09:55

Что касается не оправданности, то RDPWrap детектится как потенциально опасный софт (Program.RDPWrap), а значит никакие действия автоматически не применяются. Вы применили действие самостоятельно, значит должны были понимать к чему это приведет.

 

>а вместе с ним вычистил все ветки реестра связанные со "службой удалённых столов"!

 

Вот тут нужны будут логи.

Степень понимания пользователем его действий при удалении им потенциально опасного софта не должно являться оправданием "деструктивных" действий антивируса по отношению к операционной системе, к её файлам.  АВ не должен портить системные файлы, службы .... Ivan Korolev, каково ваше мнение по этому поводу?

Если я не ошибаюсь, то в АВ Dr.Web ранее был реализован механизм защиты порчи системных файлов антивирусом. В утилите  СureIT такой механизм отсутствует?


Сообщение было изменено TASS: 12 Ноябрь 2021 - 10:00

Глядя на мир, нельзя не удивляться! ©


#17 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 12 Ноябрь 2021 - 10:34

Что касается не оправданности, то RDPWrap детектится как потенциально опасный софт (Program.RDPWrap), а значит никакие действия автоматически не применяются. Вы применили действие самостоятельно, значит должны были понимать к чему это приведет.
>а вместе с ним вычистил все ветки реестра связанные со "службой удалённых столов"!
Вот тут нужны будут логи.

Степень понимания пользователем его действий при удалении им потенциально опасного софта не должно являться оправданием "деструктивных" действий антивируса по отношению к операционной системе, к её файлам.  АВ не должен портить системные файлы, службы ....

А когда это RDP Wrapper стал частью операционной системы? %)

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#18 rwflx

rwflx

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 12 Ноябрь 2021 - 11:03

RDPWrapper не заменяет собой "Службу удалённых рабочих столов", не удаляет её файлов и ключей реестра, в отличии от CureIt !

 

 


А когда это RDP Wrapper стал частью операционной системы? %)

 



#19 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 12 Ноябрь 2021 - 11:11

RDPWrapper не заменяет собой "Службу удалённых рабочих столов", не удаляет её файлов и ключей реестра, в отличии от CureIt !

Во первых, удалил не CureIt, а Вы с помощью CureIt.
CureIt - инструмент, если Вы его использовали себе во вред, то это не его вина.
А, во вторых, только что проверил - CureIt не удаляет файлы и ключи реестра, связанные с RDP.

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#20 rwflx

rwflx

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 12 Ноябрь 2021 - 11:36

CureIt - инструмент, если Вы его использовали себе во вред, то это не его вина.

Во первых, удалил не CureIt, а Вы с помощью CureIt.

 

 

CurIt не предупреждает о том, какие ветки реестра он будет удалять и что затронет, кроме самого файла!

 

 

А, во вторых, только что проверил - CureIt не удаляет файлы и ключи реестра, связанные с RDP.

 

Тогда как так получается, что сервис "Служба удалённых рабочих столов" (termservice) исчезает из списка, после лечения???





Also tagged with one or more of these keywords: rdp, rdpwrapper, cureit, repair

Читают тему: 1

0 пользователей, 0 гостей, 0 скрытых


    Bing (1)