1

У меня есть проблема, из-за которой терминал, кажется, не регистрирует события правильно, и иногда кажется, что возникают проблемы со связью через сеть.

Терминал ранее был заражен вирусом, который, по-видимому, «играл» со стандартной групповой политикой в стандартном профиле пользователя. Хотя внешне терминал, кажется, работает нормально, у меня все еще есть ноющее чувство, что оно не совсем вернулось к тому, что было. Он был заражен пользователем, подключившим USB-накопитель, когда компания использовала более старую версию программного обеспечения AV ... обычно за неделю до его обновления.

Я настроил журналы событий для перезаписи по мере необходимости и быть 5056 КБ в максимальном размере. Я также попытался:

  • Отключение службы журнала событий и перезапуск
  • Обновление файлов EVT в каталоге Windows\system32\config
  • Перезапуск службы журнала событий и перезапуск
  • Очистка журнала событий в Сервисах MMC
  • Сброс фильтров по умолчанию в сервисах MMC
  • Использование команды EVENTCREATE удаленно из окна CMD на сервере, чтобы вызвать событие создания события.
Пока единственной успешной операцией является команда EVENTCREATE на удаленном компьютере из окна CMD на сервере. В существующем состоянии единственный раз, когда компьютеру удалось создать события, это когда он перезагружается.

У кого-нибудь есть идеи, как поступить? Я думаю, что возможно обновление папки «Windows \ system32 \ config \ SystemProfile». Я также думаю о запуске такого инструмента, как Malwarebytes, но это может быть немного противоречивым, так как система должна работать в режиме готовности как можно дольше. Я также спрашиваю себя, знает ли кто-нибудь какие-либо инструменты администратора Windows, которые позволяют мне контролировать параметры ведения журнала событий или параметры безопасности по умолчанию, чтобы я мог вернуть его к какому-либо стандарту.

Чего я пытаюсь избежать, так это полной перерисовки терминала. Хотя это вариант, я действительно не хочу брать его, если мне не нужно.

Заранее большое спасибо за любые предложения, которые кто-либо может предоставить.

1 ответ1

0

Во-первых, вы можете найти лучшую поддержку для ServerFault, поскольку ведение журнала обычно более интенсивно используется на серверах, несмотря на то, что конкретная рассматриваемая система является клиентом.

Во-вторых, вы никогда не сможете быть по-настоящему уверены, что избавились от вируса, если не отформатируете систему и не переустановите ее. Если вы знаете точный вирус и точно знаете, что каждый файл был удален, а каждое изменение отменено, тогда, я полагаю, вы можете быть уверены, что он исчез; Я предполагаю, что вы не уверены на 100% в этом случае, поскольку вы не знаем, портит ли этот вирус системный журнал и / или какие изменения он вносит.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .