Entonces, tengo un servidor HP proliant con Windows Server 2012 instalado, todo funcionó bien hasta que el fin de semana pasado se cortó la energía durante un par de horas. Estaba conectado a una fuente de alimentación externa, pero la batería no era lo suficientemente potente como para seguir funcionando. Bueno, ya que ese servidor de Windows no funciona como debería. Se inicia perfectamente hasta el momento en que debería tener una pantalla de inicio de sesión. Es solo una pantalla negra sin nada. CTRL ALT DEL no funciona. No puedes hacer nada que haga que aparezca algo, solo una pantalla negra. Sin embargo, creo que Windows se está ejecutando, simplemente no es visible porque puedes ver todo en la red, puedes hacer ping y cosas como esta. El segundo problema que tengo es que RDP no funciona, no puedes iniciar sesión mediante ningún otro método que conozca, como powershell remoto o regedit de red, ya que ninguno de ellos estaba configurado para ejecutarse. Intenté ejecutar Chkdsk y sfc a través del DVD de instalación, pero cuando me gustaría ver cuáles son las particiones utilizadas a través de "diskpart", no hay nada visible. ¿Alguna idea de qué hacer?
PD: intenté encontrar un arranque seguro pero no está allí. Además, no conozco las especificaciones del servidor ni los ajustes configurados, ya que no es mi trabajo y no soy la persona indicada para eso. (Ese tipo fue despedido y no dejó notas ni nada)
Lo siento por mi ingles.
Edit1: creo que los servicios RDP o las claves de registro están dañados, por eso no funciona y no puedes iniciar sesión
Edit2: la reparación de inicio no hace absolutamente nada
Edit3: está bien, descubrí que al mismo tiempo que el servidor estaba en línea, un usuario inició sesión a través de RDP con Outlook y Firefox abiertos. Entonces tal vez no sea un problema de Windows, pero podría ser algún tipo de virus. Escaneé carpetas de red con bytes de malware y la seguridad inteligente más reciente de Eset, pero estaban claras. Entonces, ¿podría ser que los archivos del sistema se corrompieran debido al malware?
Respuesta1
Busque este archivo "C:\Windows\SysWOW64\lsassw86s.exe" (o esa carpeta o System32 para ver el archivo agregado recientemente.
Se agregó el domingo en nuestro servidor.https://www.virustotal.com/es/file/23c6139eef0be9f1c89d409aff9e06b9c9f8b25f742250b3d578a23771cff012/analysis/1507617932/.
Sólo voy a limpiarlo... También HP Blade, W2012R2.
También existía un servicio llamado "Administrador de cuentas de seguridad de Windows".
Respuesta2
Sí, sucedió debido al malware tal como dijo Random IT Guy. No estoy seguro de si la última persona que se conectó abrió el correo infectado o si lo descargó a través de RDP a nuestro servidor desde su PC, pero lo que teníamos que hacer era cargar los controladores raid a través de CMD, luego verificar los servicios y el registro, buscar malware usando malwarebyte y eset (virus). desactivó Eset, monitor de cliente y firewall) y también cambió el puerto RDP. Ten cuidado. Usamos el puerto 3389 para rdp, lo cambié y ahora también bloqueé la cuenta de la persona que causó eso, hasta que se revise su PC. Espero que esto no te pase :)