Упал RDP. Служба Shell Software Detection.
 

День добрый.

Есть Server 2012 Standard. На нем RDP, web и mail сервера.
Практически подошли к концу 120 дней, ждем лицензии.
Ночью остановил сервер лицензий, потом поставил последние обновления и перегрузился.
С тех пор RDP и mail не работают. Остался только Teamviewer.
Ругается на службу "Shell Software Detection". Что это?

UPD. Брандмауэр включал-выключал, роли и компоненты удалял-ставил, обновления сносил-ставил - результат нулевой.

AleckNW, не должно быть такой зависимости, по идее.
Выложите содержимое (в Regedit -> меню Файл -> Экспорт) раздела реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDPDR

Оно там есть. А должно быть?

windows classic shell давно стоит?

ну или как вариант http://www.bleepingcomputer.com/star...exe-16331.html

С самого начала.

shellsd.exe
Касперский молчит. На вирустотале екзешник не палится.

а какая ошибка при попытке подключения по рдп?

все службы стартовали нормально (которые автоматически должны запускаться)?

ну кроме этой Shell Software Detection

AleckNW, параметр DependOnService по умолчанию должен быть равен RDBSS.
А у вас почему-то shellsd.
Исправьте.

Petya V4sechkin, огромное человеческое спасибо. Удаленка заработала.
Зато пропал рабстол у админа и не стартует вебсервер.

Что это было? Откуда подцепилось? Оно все так же висит в службах, но не стартует.

Но таки похоже на вирус.

Смотрите, что нового в журналах событий.

Petya V4sechkin, плиз, посмотрите еще пару веток, в которых эта шняга прописалась.

AleckNW, точно вирус.
Удалите параметр DependOnService в ветках:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssmbios
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\swenum

А эту ветку удалите целиком:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\shellsd

Советую создать тему в разделе форума Лечение систем от вредоносных программ, выполнив эти инструкции.

вывод: касперский - шляпа.

iluffka, Касперский тут ни при чем, если даже VirusTotal его не определяет.
Потому что вирус свежий (вчера/сегодня скомпилирован и выпущен "в свободное плавание").
А как, вы думаете, пополняются антивирусные базы? Так и пополняются: пользователи сообщают о проблеме в тех. поддержку, например в Лабораторию Касперского, там анализируют код и добавляют сигнатуру в базу.

Оно вернулось. Создал тему про вирус http://forum.oszone.net/showthread.php?p=2293579
На голом сервере такого файла и службы нет.

Я такие вещи отсылаю или через Личный кабинет на сайте Касперского, или на newvirus[собака]kaspersky.com -- упаковав в архив с паролем virus (в сопроводиловке указать только признаки вирусной активности, либо вообще почему файл заинтересовал; при этом пароле файл сначала проходит автоматическую обработку; вроде бы желательно чтобы в теме письма упоминалось слово "троян").

Они принимают образчики подозрительных программ и от пользователей, не являющихся пользователями продуктов Касперского -- но если у вас есть там есть личный кабинет, тем более от фирмы, то обработка происходит быстрее (из практики: при отправке через личный кабинет бывает что уже через час зловред попадает в антивирусные базы -- при анонимной же отправке до суток не считая выходных).

Как-то раз отправил им анонимно дюжину подозрительных файлов, предположительно частей одного трояна -- оставив эти образцы у себя в отдельном каталоге. Половина файлов из этого каталога была почикана на следующий же день -- а остальные в итоге тоже были почиканы, но через месяц: периодически по одному-два. Возможно что при отправке через кабинет отнеслись бы повнимательней сразу. :)

mwz, отправил на newvirus еще 18 января. Пришел автоответ These files are in process и все.
Личного кабинета нет, сервак не мой, я помогаю людям разобраться с ситуацией.