zp blog

事件起由：

    公司业务部门一台阿里云服务器（Windows Server 2008 R2 标准版 SP1 64位中文版）最近很卡经常需要人工重启，我瞄了账号密码上去看了看，不看不知道，裤子都被人拔干净了，都变成肉鸡的服务端了。随后通知他们杀毒，用的360（实话实说我没黑它），到了晚上他们打电话给我，说是杀完毒重启后远程不上了，但服务器上业务可以用，第一感觉可能是360把运程给关了，然后让他们联系阿里，请阿里协助开通一下远程，后来阿里说可以通过网页控制台登录，由于各种原因，这事就变成了我来处理（唉~，一帮忙就变成了你的事）

通过阿里网页控制台顺利登进了系统，然后右击计算机属性看运程连接，咦~ 开着的。然后netstat -an看了一下端口，没有3389。什么情况？上网搜了搜，试了试类似的修改，比如改组策略，没效果。由于很晚了，又考虑到只是影响远程，业务不受影响，我就睡了。

第二天由于事比较多，我就跟那同事讲了一下：昨晚远程没打得开，你联系一下阿里帮忙开一下吧。阿里工单处理速度还是挺快的，要了账号密码，时不时发个消息询问能不能重启，能不能关闭杀毒软件等等。期间我也时不时的会上去看看，也想知道到底是哪的问题，并发现了服务列表里没有Remote Desktop Services服务，也试了网上的多个解决办法都没用，在工单里也告诉了阿里的人。 但是 但是 但是 经过他们两天的努力，最后告诉我修复不了，建议保存数据重装系统！！！  

接到了重装系统的噩耗，坐不住了，毕竟是有业务部署在上面的，总不能因为我一时多管闲事发现被黑，然后让杀个毒，杀出祸吧，唉~

昨晚一到家就开始各种搜索，各种尝试，最后发现注册表里HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\没有TermService，此时确定可能是木马感染这条注册表然后杀毒软件直接把它给干了。

故障问题：

    体现：各种开启3389运程桌面都打开了，但是就是不见3389端口监听。

    表象：服务列表里缺失 Remote Desktop Services   （另外两个Remote Desktop …… 都在）

    根源：注册表里缺失 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService

解决方法：

    因为是系统服务，找个相同版本系统，导出它的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService然后导入到这台电脑上，然后重启就OK了。

提示：不管你之前操作了什么，如果没有效果请还原操作前的状态，不然就是你找到问题根源，也无力回天了。