-
Junior Member
- Вес репутации
- 49
Win32.Spy.Ursnif, решение проблемы с заражённым termsrv.dll
Всем привет! Столкнулся вот сам с такой бедой: ESET нашёл на компе заражённый вирусом Win32.Spy.Ursnif файл termsrv.dll (C:\WINDOWS\system32\termsrv.dll). В попытках разобраться зашёл на ваш форум, вот в эту тему:
http://virusinfo.info/showthread.php?t=49520
Тема старая и давно закрыта, а решения проблемы там как такового нет, мол, не заражен файл и всё тут. Однако я смог разобраться с проблемой сам и решил отписаться тут, возможно, это кому-то поможет.
Суть проблемы такова:
termsrv.dll - это файл Службы сервера терминалов Windows. Он грузится автоматически, поэтому всегда занят операционной системой и его удаление/лечение невозможно. Чтобы справиться с этим, нам надо отключить эту службу. Для этого входим в Windows с правами администратора и кликаем на иконке "Мой компьютер" правой кнопкой мыши. В появившемся меню выбираем пункт "Службы". Если его там нет, заходим в Панель управления -> Администрирование -> Службы.
В открывшемся окне в списке служб ищем "Службы терминалов" (это главная служба) и "Совместимость быстрого переключения пользователей" (это подчинённая служба). Остановить эти службы при помощи функции "Стоп" у вас, скорее всего не выйдет, поэтому двойным кликом открываем свойства обеих служб и там в графе "Тип запуска" выбираем "Отключено" (запомните при этом, какое состояние было выставлено у каждой из служб - "Авто" или "Вручную"). Тем самым предотвращается запуск данных служб при загрузке Windows. Засчёт этого файл termsrv.dll освобождается для восстановительных операций.
Перезапускаем Windows. Находим диск с дистрибутивом установленной у вас версии Windows (с учётом версии установленного сервис-пака). На диске с Windows в папке I386 находим файл TERMSRV.DL_. Это архив с нужным нам файлом. Переименовываем его расширение в TERMSRV.zip и извлекаем из архива чистый termsrv.dll.
Заходим в папку Windows\system32 и заменяем чистым файлом файл, заражённый вирусом (копировать -> вставить -> подтвердить замену файла). После этого ещё раз проверяем систему на наличие вирусов и если теперь всё чисто, то опять запускаем остановленные службы.
Спасибо за внимание, успехов!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А теперь прочитав "Правила" и выполнив то что в них написано можно создать тему в "Помогите!".
-
-
Сообщение от
FireSnow
Тема старая и давно закрыта, а решения проблемы там как такового нет, мол, не заражен файл и всё тут.
Извините, но Вы содержание карантина видели? Решение в этой теме в конце написано тоже, что и у Вас:
Замена файла с "чистой" системы.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-