Повторяюсь, выявлено уже две машины, на которых полностью выведена из строя служба терминалов, после "лечения" CureIt.
Сообщение было изменено rwflx: 12 Ноябрь 2021 - 11:38
66 ответов в этой теме
#22
VVS
-
- Moderators
- 19 382 Сообщений:
The Master
Отправлено 12 Ноябрь 2021 - 11:50
У меня Remote Desktop Services никуда не исчез после проверки CureIt.Тогда как так получается, что сервис "Служба удалённых рабочих столов" (termservice) исчезает из списка, после лечения???А, во вторых, только что проверил - CureIt не удаляет файлы и ключи реестра, связанные с RDP.
Отличие от Вашей ситуации в том, что у меня никакого RDP Wrapper не установлено.
Сообщение было изменено VVS: 12 Ноябрь 2021 - 11:52
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#23
rwflx
-
- Posters
- 19 Сообщений:
Newbie
Отправлено 12 Ноябрь 2021 - 12:05
Если бы TermService исчезал вообще без каких либо причин, то стоило бы смело включать CureIt в базу, как Trojan.CureIt, а так ещё остаются спорные моменты... %))
Сообщением, что у вас всё в порядке после проверки, вы оттачиваете свои демагогические приёмы и вводите публику в заблуждение.
P.S. Кто-нибудь уже скажет, какие ключи затрагивает CureIt при лечении RDPWrapper, чтобы я мог попытаться восстановить их с рабочей машины?
Тогда как так получается, что сервис "Служба удалённых рабочих столов" (termservice) исчезает из списка, после лечения???У меня Remote Desktop Services никуда не исчез после проверки CureIt.
Отличие от Вашей ситуации в том, что у меня никакого RDP Wrapper не установлено.
#24
VVS
-
- Moderators
- 19 382 Сообщений:
The Master
Отправлено 12 Ноябрь 2021 - 12:24
Если бы TermService исчезал вообще без каких либо причин, то стоило бы смело включать CureIt в базу, как Trojan.CureIt, а так ещё остаются спорные моменты... %))
Сообщением, что у вас всё в порядке после проверки, вы оттачиваете свои демагогические приёмы и вводите публику в заблуждение.
Нет, я просто сообщаю, что, если не использовать никаких "хакерских" утилит, то ничего, относящегося к системе, CureIt не удалит.
Делаю я это для того, чтобы Вы не "вводили публику в заблуждение", что CureIt на ровном месте удалил что-то системное.
P.S. Кто-нибудь уже скажет, какие ключи затрагивает CureIt при лечении RDPWrapper, чтобы я мог попытаться восстановить их с рабочей машины?
Вы отправили логи в поддержку - ждите ответа от них.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#25
Aleksandra
-
- Helpers
- 3 575 Сообщений:
VIP
Отправлено 12 Ноябрь 2021 - 12:53
P.S. Кто-нибудь уже скажет, какие ключи затрагивает CureIt при лечении RDPWrapper, чтобы я мог попытаться восстановить их с рабочей машины?
Кто-нибудь уже скажет, зачем нужен RDPWrapper? Ведь вроде на винде есть штатный инструмент, не?
Мужчины мне ничего не должны, именно поэтому я легко их отпускаю.
#26
VVS
-
- Moderators
- 19 382 Сообщений:
The Master
Отправлено 12 Ноябрь 2021 - 13:01
Насколько я нагуглил, он позволяет на рабочей станции организовать множественное подключение по RDP.Кто-нибудь уже скажет, зачем нужен RDPWrapper? Ведь вроде на винде есть штатный инструмент, не?P.S. Кто-нибудь уже скажет, какие ключи затрагивает CureIt при лечении RDPWrapper, чтобы я мог попытаться восстановить их с рабочей машины?
Без него на рабочей станции доступно только 1 подключение в каждый момент.
Соответственно, он что-то "хакает".
Сообщение было изменено VVS: 12 Ноябрь 2021 - 13:01
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#27
Aleksandra
-
- Helpers
- 3 575 Сообщений:
VIP
Отправлено 12 Ноябрь 2021 - 13:14
Насколько я нагуглил, он позволяет на рабочей станции организовать множественное подключение по RDP.
Кто-нибудь уже скажет, зачем нужен RDPWrapper? Ведь вроде на винде есть штатный инструмент, не?P.S. Кто-нибудь уже скажет, какие ключи затрагивает CureIt при лечении RDPWrapper, чтобы я мог попытаться восстановить их с рабочей машины?
Без него на рабочей станции доступно только 1 подключение в каждый момент.
Соответственно, он что-то "хакает".
Если я правильно поняла, то ТС поставил этот гавнософт который внес изменения в системный реестр и тд. Потом запустил проверку CureIt дав ему отмашку лечить все. А теперь пришел сюда к нам? А почему не на форум разработчиков этой чудо проги?
Мужчины мне ничего не должны, именно поэтому я легко их отпускаю.
#28
VVS
-
- Moderators
- 19 382 Сообщений:
The Master
Отправлено 12 Ноябрь 2021 - 13:19
Aleksandra, Вы правильно поняли.
Штатный Remote Desktop Services запускает C:\WINDOWS\System32\svchost.exe -k NetworkService
Скорее всего этот RDP Wrapper заменяет svchost на что-то своё - вот курилка его и вынес.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#29
Afalin
-
- Dr.Web Staff
-
- 5 852 Сообщений:
Guru
Отправлено 12 Ноябрь 2021 - 13:30
Насколько я нагуглил, он позволяет на рабочей станции организовать множественное подключение по RDP.
Без него на рабочей станции доступно только 1 подключение в каждый момент.
Соответственно, он что-то "хакает".
В home-версиях винды RDP-сервера вообще нет, в остальных кроме terminal server – до 2 подключений.
RDP Wrapper, емнип, включает везде и без ограничений.
Хотя желающие во все времена просто брали termsrv.dll от terminal server и жили не менее счастливо. Причём без стороннего софта и всяких правок в реестре. С юридической точки зрения эти деяния скорее всего равнозначны.
Семь раз отрежь – один раз проверь
#30
VVS
-
- Moderators
- 19 382 Сообщений:
The Master
Отправлено 12 Ноябрь 2021 - 13:33
Насколько я нагуглил, он позволяет на рабочей станции организовать множественное подключение по RDP.
Без него на рабочей станции доступно только 1 подключение в каждый момент.
Соответственно, он что-то "хакает".В home-версиях винды RDP-сервера вообще нет, в остальных кроме terminal server – до 2 подключений.
Спасибо, я думал, что только 1 подключение.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#31
rwflx
-
- Posters
- 19 Сообщений:
Newbie
Отправлено 12 Ноябрь 2021 - 13:48
CureIt уничтожил и штатный и нештатный инструменты...
P.S. Кто-нибудь уже скажет, какие ключи затрагивает CureIt при лечении RDPWrapper, чтобы я мог попытаться восстановить их с рабочей машины?
Кто-нибудь уже скажет, зачем нужен RDPWrapper? Ведь вроде на винде есть штатный инструмент, не?
#32
VVS
-
- Moderators
- 19 382 Сообщений:
The Master
Отправлено 12 Ноябрь 2021 - 13:52
IMHO штатный инструмент уничтожил RDP Wrapper, а потом CureIt уничтожил этого RDP Wrapper'аCureIt уничтожил и штатный и нештатный инструменты...
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#33
rwflx
-
- Posters
- 19 Сообщений:
Newbie
Отправлено 12 Ноябрь 2021 - 15:51
Проблема решена. CureIt удаляет всю ветку HKLM\SYSTEM\CurrentControlSet\Services\TermService вместо того, чтобы вернуть единственное значение:
reg add HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll /t REG_EXPAND_SZ /d "%SystemRoot%\system32\termsrv.dll" /f
Необходимо экспортировать HKLM\SYSTEM\CurrentControlSet\Services\TermService из той же версии Windows и импортировать на машине, где CureIt поломал TermService.
IMHO штатный инструмент уничтожил RDP Wrapper, а потом CureIt уничтожил этого RDP Wrapper'аCureIt уничтожил и штатный и нештатный инструменты...
#34
VVS
-
- Moderators
- 19 382 Сообщений:
The Master
Отправлено 12 Ноябрь 2021 - 16:33
Вывод:
TermService был поломан этим RDP Wrapper'ом
После этого он стал чем-то, что к штатному сервису винды не имеет никакого отношения.
CureIt отработал корректно, как и должен был, удалив файл, который ему указал удалить ТС, и связанные с этим файлом записи в реестре.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#35
TASS
-
- Posters
- 921 Сообщений:
Advanced Member
Отправлено 12 Ноябрь 2021 - 16:37
А когда это RDP Wrapper стал частью операционной системы? %)VVS, я не считаю RDP Wrapper частью системы. Я полагал, что CureIT повредил штатный функционал системы, вылечив её от RDP Wrapper. Как я понял, вы думаете иначе.
В таком случае прояснить ситуацию поможет рекомендация:
Соберите отчет утилитой: https://drw.sh/ofxdsr
Глядя на мир, нельзя не удивляться! ©
#36
VVS
-
- Moderators
- 19 382 Сообщений:
The Master
Отправлено 12 Ноябрь 2021 - 16:41
А когда это RDP Wrapper стал частью операционной системы? %)VVS, я не считаю RDP Wrapper частью системы. Я полагал, что CureIT повредил штатный функционал системы, вылечив её от RDP Wrapper. Как я понял, вы думаете иначе.
Дело в том, что это уже не было "частью системы".
Это был сервис, который запускал что-то "левое".
Из того, что он назывался также, как и сервис, который существует в оригинальной винде, не следует абсолютно ничего.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#37
Ivan Korolev
-
- Virus Analysts
-
- 1 368 Сообщений:
Poster
Отправлено 12 Ноябрь 2021 - 17:45
А когда это RDP Wrapper стал частью операционной системы? %)VVS, я не считаю RDP Wrapper частью системы. Я полагал, что CureIT повредил штатный функционал системы, вылечив её от RDP Wrapper. Как я понял, вы думаете иначе.Дело в том, что это уже не было "частью системы".
Это был сервис, который запускал что-то "левое".
Из того, что он назывался также, как и сервис, который существует в оригинальной винде, не следует абсолютно ничего.
Ага, именно так. Подумаем, что можно сделать.
#38
VVS
-
- Moderators
- 19 382 Сообщений:
The Master
Отправлено 12 Ноябрь 2021 - 17:49
А что можно сделать?Ага, именно так. Подумаем, что можно сделать.Дело в том, что это уже не было "частью системы".VVS, я не считаю RDP Wrapper частью системы. Я полагал, что CureIT повредил штатный функционал системы, вылечив её от RDP Wrapper. Как я понял, вы думаете иначе.А когда это RDP Wrapper стал частью операционной системы? %)
Это был сервис, который запускал что-то "левое".
Из того, что он назывался также, как и сервис, который существует в оригинальной винде, не следует абсолютно ничего.
Держать базу сервисов всех версий винды, начиная с XP?
Что-то такая идея мне не нравится.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#39
rwflx
-
- Posters
- 19 Сообщений:
Newbie
Отправлено 12 Ноябрь 2021 - 18:17
Можно поправить исключение именно для RDPWrapper и лечить его более консервативно.
#40
VVS
-
- Moderators
- 19 382 Сообщений:
The Master
Отправлено 12 Ноябрь 2021 - 18:19
Можно поправить исключение именно для RDPWrapper и лечить его более консервативно.
IMHO какой-нибудь троян может таким же способом "откорректировать" запись для любого сервиса...
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Also tagged with one or more of these keywords: rdp, rdpwrapper, cureit, repair
Русские форумы →
Общие вопросы →
Cureit удалил mrb моего дискаАвтор: cureitenjoyer , 06 окт 2023  mrb, cureit
|
|
|
||
Русские форумы →
Dr.Web LiveDisk →
CureIt и Windows PE/REАвтор: shlimazl , 25 июл 2023 CureIt, Windows PE, Windows RE
|
|
|
||
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
DrWeb CureIt ошибка 2147614719Автор: Romgrafist , 06 май 2023 2147614719, CureIt
|
|
|
||
Русские форумы →
Dr.Web для Windows →
Рабочие станции →
DrWeb Cureit зависает ПК во время проверки.Автор: Kaniya , 09 янв 2023 Cureit, Зависает
|
|
|
||
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
Все висит, скан не идет, уход в перезагрузкуАвтор: ChackLoon , 18 ноя 2022 cureit
|
|
|
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых
