Почему произошла замена dll в реестре?

Question

[mdkolpakov]

На хосте есть запись в реестре с CLSID "{fcc2867c-69ea-4d85-8058-7c214e611c97}". "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fcc2867c-69ea-4d85-8058-7c214e611c97}\"

В пути "LocalServer32" должен быть указан системный файл "C:\Windows\System32\tssessionux.dll" (нам так ЛК сказали)

А на нашем одном конкретном хосте, вместо tssessionux.dll указан "%SystemRoot%\system32\authui.dll"

По хешу совпадает, не вредоносный, действительно системный файл.
Но не знаю, в рамках каких процессов могла быть замена одного dll, на другое.

Сам хост, на котором это произошло - терминальник, на котором работают два сотрудника.
Как я понимаю
tssessionux.dll - интерфейс аутентификации для удалённых (RDP/Terminal Services) сессий.
authui.dll - интерфейс аутентификации для локальной консоли пользователя (экран входа).

В каких ситуациях одна dll может в ветке реестра замениться на другую.?

Comments

[Кот Абсолютный]

Начать надо с вопроса - что должно лежать по этому пути?

[mdkolpakov]

Кот Абсолютный, ну ЛК ответили, что должно лежать tssessionux.dll.
Я выборочно посмотрел, на других хостах так и есть. А именно на этом - authui.dll

[mdkolpakov]

Удалось повторить сработку.
Крч подобная активность срабатывает каждый раз, когда один сотрудник, прерывает сессию второго сотрудника на терминальном сервере.

[rPman]

mdkolpakov, потрясающе, это ж какой говнокод там в обработчике авторизации сервера терминалов

[kalapanga]

А можно уточнить - проблема-то в чём? Что-то не работает? Из текста вопроса непонятно.

[mdkolpakov]

kalapanga, хотел спросить, может кто знает, в каких случаях может происходить подобная замена dll. Но комментатор выше ответил, что подозрение на "кривонаписанный" обработчик авторизации сервера терминалов

[Кот Абсолютный]

mdkolpakov, Озвездительно. Я так полагаю, это как раз на то время пока "ждем подтверждения от ...", как только дождались - нужная dll опять на место вертается. Убойная логика.

[kalapanga]

mdkolpakov, если всё работает, то совершенно непонятно, почему Вы считаете это "кривым" действием? В какой документации указано, что в этой ветке должна лежать такая-то dll и никогда не меняться? Пока мы видим только чьи-то безосновательные фантазии.
Я было подумал, что у Вас пользователи залогиниться не могут и Вы причину ищете...

[mdkolpakov]

kalapanga, всё работает как надо, действовали по рекомендациям из ЛК

[VoidVolker]

rPman,

потрясающе, это ж какой говнокод там в обработчике авторизации сервера терминалов

Ну, с пришествием и популяризацией нерохрючева можно забыть о качественном ПО ещё как минимум на пару десятилетий. Сейчас это всё пихают без дела и какого-либо понимания куда попало. Архивы со старым софтом — всё ещё рулят.

[Ziptar]

kalapanga,

почему Вы считаете это "кривым" действие

Потому что при выполнении функции каждый раз перечитывать библиотеку, причем подменяя её через реестр - это говнокод.