Знатоки, прошу совета.
Поймал на серваке вирус win32.hllm.kati, который *.scr создает в папках. Запустил cureit от DrWeb, он все пролечил. Но теперь при попытке зайти по rdp на сервак происходит подключение и тут же без ошибок просто отключается(моментально). При лечении никаких системных файлов заражено не было, в логах все чисто, сервак не перегружался(ибо AD на нем). Сам сервак работает, все нормально, сбоев никаких, кроме входа по терминалке. Служба запущена. В чем может быть дело?

Может он вам прописал логон скрипт посмотрите в tscc.msc
И в реестре гляньте - может там тоже на старт что то прописано

Реестр чист, логон скрипта нет. ПОставил аудит на максимум и запускал mstsc - все чисто.
хм, похоже все таки вирус балуется.
Здесь (http://www.securitylab.ru/forum/forum20/topic46154/messages/) такая же проблема возникла.

Методом проб и ошибок выяснил что это клиент кидал вирус. Все почищено, но RDP так и не пашет....