[HellFire_MZ]

dascon, чуть подробнее
1. С какой ОС заходите в среду Terminal Server?
2. Давно пора обновиться до SP2.
3. Можно взять клиента от самого сервера, он там помоему поновее чем в стандартной ХП.

[dascon]

1. Пробовал и с XP и с самого Win2k3 (т.е. на самом сервере)
2. Обновлюсь...
3. Клиентом от сервера и пользуюсь

Главное, что три дня работало все нормально. А на четвертый - такой баг.
За эти три дня на сервер поставил только Acrobat Reader, UPSMON (для PCM UPS) и NOD 2.7. Сейчас все снес, но проблема не исчезла.

[HellFire_MZ]

1. Что в логах по этому поводу пишется?
2. Не пробовали сносить терминальный сервер и заново поднять его?
Если есть проблемы с терминальными лицензиями, то их можно сбросить.

[Pili]

dascon, скачайте HijackThis, распакуйте и запустите HijackThis, нажмите на кнопку "Do a system scan and save a logfile", выложите полученный лог.

[dascon]

Цитата:

Что в логах по этому поводу пишется?

Только в "Безопасность" появляются записи:
1) Попытка входа выполнена: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: u2
Исходная рабочая станция: SERVER
Код ошибки: 0x0
2) Попытка входа с явным указанием учетных данных:
Вошедший пользователь:
Пользователь: SERVER$
Домен: WORKGROUP
Код входа: (0x0,0x3E7)
Код GUID: -
Были использованы учетные данные пользоваиеля:
Целевой пользователь: u2
Целевой домен: SERVER
Целевой код GUID: -

Имя целевого сервера: localhost
Данные целевого сервера: localhost
Код процесса вызывающего: 3184
Адрес сети источника: 192.168.0.99
Порт источника: 1038
3) Успешный вход в систему:
Пользователь: u2
Домен: SERVER
Код входа: (0x0,0x141573)
Тип входа: 10
Процесс входа: User32
Пакет проверки: Negotiate
Рабочая станция: SERVER
Код GUID: -
Имя вызывающего пользователя: SERVER$
Домен вызывающего: WORKGROUP
Код входа вызывающего: (0x0,0x3E7)
Код процесса вызывающего: 3184
Промежуточные службы:-
Адрес сети источника: 192.168.0.99
Порт источника: 1038
4) Выход пользователя из системы:
Пользователь: u2
Домен: SERVER
Код входа: (0x0,0x141573)
Тип входа: 10

Цитата:

Не пробовали сносить терминальный сервер и заново поднять его?

Пробовал. Удалил - установил роль. Не помогло.

Цитата:

Если есть проблемы с терминальными лицензиями, то их можно сбросить

Проблем, вроде, нет. Сейчас выдано 8 временных лицензий. Может их удалить? И как это сделать? Потому как есть еще и постоянные, "на устройство".

Цитата:

запустите HijackThis, нажмите на кнопку "Do a system scan and save a logfile", выложите полученный лог

Код:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:40:53, on 27.01.2008
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP2 (6.00.3790.3959)
Boot mode: Normal

Running processes:
C:\Documents and Settings\dascon\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\system32\lserver.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\program\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://u1.server/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ??????
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGet Deluxe\IEBar.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [MSConfig] "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-3680505747-4162811673-3487234745-1013\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'u2')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O8 - Extra context menu item: &??????? ? Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ?????????? ????????? - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'c:\documents and settings\dascon\windows\system32\mswsock.dll' missing
O15 - ESC Trusted Zone: http://view.atdmt.com
O15 - ESC Trusted Zone: http://pagead2.googlesyndication.com
O15 - ESC Trusted Zone: http://deluxe.reget.com
O15 - ESC Trusted Zone: http://download.reget.com
O15 - ESC Trusted Zone: http://www.reget.com
O15 - ESC Trusted Zone: http://www.reget.ru
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.ya.ru
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O15 - ESC Trusted IP range: http://192.168.0.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{444257B8-D004-4FB8-B34D-45A7DB473F62}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{444257B8-D004-4FB8-B34D-45A7DB473F62}: NameServer = 192.168.0.1
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe

--
End of file - 4312 bytes

[Pili]

dascon, лог hijackthis делали из терминальной сессии? Если да (скорее всего так), то надо с консоли или хотя бы из radmin, если нет - то вирусы, кстати radmin сами ставили? PCHealth\HelpCtr\Binaries\MSConfig.exe - можно из автозагрузки убрать (пофиксить в HJT, если что, можно восстановить через HJT)

[HellFire_MZ]

Цитата dascon:

Проблем, вроде, нет. Сейчас выдано 8 временных лицензий. Может их удалить? И как это сделать? Потому как есть еще и постоянные, "на устройство". »

HTML код:

1) останавливаем службу лицензирования терминала net stop termservlicensing
2) удаляем C:\WINDOWS\system32\LServer\TLSLic.edb
3) запускаем службу net start termservlicensing
4) запускаем licmgr.exe
5) вводим маркер лицензий
6) останавливаем службу net stop termservlicensing
7) создаем копию C:\WINDOWS\system32\LServer\
на случий повторного сброса (остановить службу и заменить копией оригинал)
8) запускаем службу net start termservlicensing

[dascon]

Pili, лог делал через Remote Administrator (radmin)

В процессах вируса не обнаруживается. NOD тоже ничего не нашел. Попробую другими.

[Pili]

dascon, лог лучше с консоли сделать, через radmin не знаю как, через терминалку пути меняются (тогда HJT глючит), это я об этом:

Цитата:

C:\Documents and Settings\dascon\WINDOWS\System32\smss.exe

и

Цитата:

c:\documents and settings\dascon\windows\system32\mswsock.dll