<증상>
서버의 일부 시스템 파일(svchost.exe, csrss.exe 등)의 바이러스 감염 후 나타나는 증상
터미널 접속 > 인증 이후 아래의 화면 뜨며 접속 불가
기타 사용자
원격으로 로그인하려면 원격 데스크톱 서비스를 통해 로그인할 수 있는 권한이 있어야 합니다.
기본적으로 원격 데스크톱 사용자 그룹의 구성원은 이 권한이 있습니다. 현재 속한 그룹에 이 권한이 없거나 원격 데스크톱 사용자 그룹에서 이 권한이 제거된 경우 이 권한을 수동으로 부여 받아야 합니다.
V3로 치료 후 재부팅해도 여전함
바이러스 치료 후 서버 재부팅 시 아래의 minergate 로그인창 팝업됨
이는 위 사항과는 별개 이슈로 아래 링크 참조
http://forum.ad-spider.com/archive/1047 (악성코드 정보)
https://minergate.com/downloads/gui (해당 프로그램 홈페이지)
<해결>
- 시작 > 실행 > gpedit.msc
- 컴퓨터 구성 > Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 > 원격 데스크톱 서비스를 통한 로그온 허용 더블 클릭
- Administrators, Remote Desktop Users 그룹 추가
-
혹시 "원격 데스크톱 서비스를 통한 로그온 거부"에 해당 사용자 그룹이 들어가 있다면 삭제
원래 터미널 접속이 되었는데 바이러스 감염/치료 후에 안 되는 것으로 보아 바이러스가 해당 설정을 건드리는 것으로 추정