# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  Win32.Spy.Ursnif, решение проблемы с заражённым termsrv.dll

## FireSnow

Всем привет! Столкнулся вот сам с такой бедой: ESET нашёл на компе заражённый вирусом Win32.Spy.Ursnif файл termsrv.dll (C:\WINDOWS\system32\termsrv.dll). В попытках разобраться зашёл на ваш форум, вот в эту тему:
http://virusinfo.info/showthread.php?t=49520

Тема старая и давно закрыта, а решения проблемы там как такового нет, мол, не заражен файл и всё тут. Однако я смог разобраться с проблемой сам и решил отписаться тут, возможно, это кому-то поможет.

Суть проблемы такова:
termsrv.dll - это файл Службы сервера терминалов Windows. Он грузится автоматически, поэтому всегда занят операционной системой и его удаление/лечение невозможно. Чтобы справиться с этим, нам надо отключить эту службу. Для этого входим в Windows с правами администратора и кликаем на иконке "Мой компьютер" правой кнопкой мыши. В появившемся меню выбираем пункт "Службы". Если его там нет, заходим в Панель управления -> Администрирование -> Службы.

В открывшемся окне в списке служб ищем "Службы терминалов" (это главная служба) и "Совместимость быстрого переключения пользователей" (это подчинённая служба). Остановить эти службы при помощи функции "Стоп" у вас, скорее всего не выйдет, поэтому двойным кликом открываем свойства обеих служб и там в графе "Тип запуска" выбираем "Отключено" (запомните при этом, какое состояние было выставлено у каждой из служб - "Авто" или "Вручную"). Тем самым предотвращается запуск данных служб при загрузке Windows. Засчёт этого файл termsrv.dll освобождается для восстановительных операций.

Перезапускаем Windows. Находим диск с дистрибутивом установленной у вас версии Windows (с учётом версии установленного сервис-пака). На диске с Windows в папке I386 находим файл TERMSRV.DL_. Это архив с нужным нам файлом. Переименовываем его расширение в TERMSRV.zip и извлекаем из архива чистый termsrv.dll.

Заходим в папку Windows\system32 и заменяем чистым файлом файл, заражённый вирусом (копировать -> вставить -> подтвердить замену файла). После этого ещё раз проверяем систему на наличие вирусов и если теперь всё чисто, то опять запускаем остановленные службы.

Спасибо за внимание, успехов!  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Torvic99

А теперь прочитав "Правила" и выполнив то что в них написано можно создать тему в "Помогите!".

----------


## PavelA

> Тема старая и давно закрыта, а решения проблемы там как такового нет, мол, не заражен файл и всё тут.


Извините, но Вы содержание карантина видели? Решение в этой теме в конце написано тоже, что и у Вас:


> Замена файла с "чистой" системы.

----------

