Познавательный блог  

Поиск по сайту

Гугль

Архивы

NOD32 определяет файл termsrv.dll от терминалов как вирус

NOD32 определяет файл termsrv.dll от терминалов ка вирус.

Пришел с утра на работу, в предвкушении спокойного дня. Сел за свои сайтецы, статейки, РССки. Проверил все бекапы и эвент лог на серваке. Всё спокойно, бекапы ночью прошли все нормально. Ну, думаю, хороший день. И не успев нажать на кнопку включения чайника, раздаётся телефонный звонок.

— Алло, дружелюбным голосом ответил я.
— Алёша, у нас тут вирус и 1С не работает.

Ну думаю, очередную дрянь на влешке или в интернете зацепили. щас буду интересно её ловить и убивать. Подключаюсь VNC к клиентской машине, и охуеваю, малость.

Файл c:\windows\system32\termsrv.dll заражен непонятно каким вирусом, под названием Agent. Че за херня. Открываю файл, всё в порядке. нормальная DLLка виндового терминала. NOD32 попидорски предлагает удалить файл.

Удалять ничего не будем. В инете ниче не пишут. После долгих и страстных мучений файла, высняется, что с ними всё в порядке.

Спустя полчаса раздаётся еще около 15 звонков с аналогичной проблемой. Как и ожидалось, долбанутый NOD32 начал детектить пропатченые файлики терминала. Ужасно бесит, когда антивирус начинает блокировать кряки, туллы и прочие патчи. Каким образом их вообще это ебёт.

termsrv

Вобщем добавил исключения и всё стало хорошо. Юзерам, который нажали удалить, пришлось восстанавливать эти файлы.

Комментарии

Комментарий от Юрий [ Сентябрь 20, 2010, 12:40 ]

У меня КИС 9 в папке system32 какой-то .dll файл определяет как троян — лечение пишет невозможно а удалить сцуко не может — чаво делать то?

Комментарий от JACK [ Октябрь 5, 2010, 14:46 ]

НОД v.4 кричит, что файл termsrv.dll инфицирован неким — Win32/Spy.Ursnif.A и удолить его не может. Удолил «унлокером» после чего система дала минуту на автозавершение работы виндовс»SamLab 5.1 сборака»
Но проблема в том что после бутания «трей» просто исчез :(, и приложения в трее не отображаются, незнаю что делать, попробую скачать чистый termsrv.dll взамен удолённого.

Комментарий от JACK [ Октябрь 5, 2010, 14:53 ]

Я в шоке ))))) только что постил, терь проверил диск с виндой на наличие нужного файла, и чудо, снова заработал «трэй» непонимаю почему. Этогофайла termsrv.dll я так и не нашёл в установленной системе. Сейчас повторно сканирую тойже нод 4

Комментарий от admin [ Октябрь 5, 2010, 15:45 ]

Винда восстанавливает системные файлы из кеша. Это НЕ ВИРУС. просто добавь его в исключения.

Комментарий от Иван [ Октябрь 12, 2010, 23:48 ]

От себя могу добавить, что были проблемы с системой после удаления этого файла в безопасном режиме. Настраивайте тщательнее свои брандмауэры и файерволлы, а этот файл в исключение!

Комментарий от Петр [ Ноябрь 22, 2010, 18:46 ]

В левом окне коммандера termsrv.dll не нравится ноду, а в правом, с диска другого компа, такой же файл его устраивает. О том, который слева утверждает, что он — Win32/Spy.Ursnif.A . По размерам они одинаковые. Вэбер, касперский, ad-aware не определяют.
На рабочих компах наблюдается картина пожирания ресурсов.Параллельно ломится stuxnet. Видимо действительно лучше заменить подозрительный.

Комментарий от Рома [ Декабрь 2, 2010, 19:26 ]

У меня такая же проблема была с нод32….спосибо за розбируху))

Комментарий от Andrei [ Декабрь 21, 2010, 10:03 ]

спасибо за инфу и коменты! Отключил Нод 32, чтобы не ругался, вырезал из папки на рабочий стол termsrv.dll и с другой OC взял этот файлик и скопировал в папку system32. С рабочего стола удалил капризный файлик, запустил сканирование НОД никаких угроз не обнаружил.

Комментарий от Александр [ Январь 11, 2011, 16:52 ]

Пробовал в инете найти этот самый Spy.Ursnif нашел написано здесь живет этот вирус хотел зайти на этот сайт опять-же вмешивается гений NOD 32 кричит перейдите на домашнюю ну зайти я не решился,интересно пробовал кто-нибудь

Комментарий от Евгений [ Январь 13, 2011, 22:07 ]

Спасибо большое, очень помог Ваш совет!!!

Комментарий от Пётр [ Февраль 25, 2011, 10:43 ]

termsrv.dll вообще то один из системных файликов, и нод совершенно прав сообщая, что кто-то в нём покопался. Более того, не все патчи одинаково полезны, так что если используете крякнутый софт — объясняйте это антивируснику, лень объяснять — не пользуйтесь крякнутым софтом. К тому же можно обойтись и вовсе без антивирусника: фаервол + ограничение по запуску программ, и никаких проблем.

Глупо обвинять антивирус в неправильной работе, он работает совершенно правильно. Проблема не в нём.

Комментарий от NAGor4ik [ Июнь 24, 2011, 13:45 ]

Самое интересное, что ни кто не зрит в корень, почем NOD говорит что Dll-ка заражена и еще вирусом, пусть пишет что она изменена, кто нибудь ответит NOD лжет или нет?

Комментарий от eclipse [ Сентябрь 20, 2011, 13:46 ]

сто лет этой фигне уже. Ставили с сборки ZverCD вот и все. не чего страшного тут нет. Найдите где нибудь лицензионную XP`ку и тупо скопируйте из нее этот фаил и так-же тупо замените его у себя и будет вам счастье ))))

Комментарий от crockus [ Сентябрь 27, 2011, 08:33 ]

У меня тоже НОД ругался, проблему решил следующим образом:в дистрибутиве в папке I386 берем файл TERMSRV.DL_ копируем его в свою system32, переименовав в termsrv.dll, на вопрос заменить говорим да. Кстати размер termsrv.dll который был в системе 250 кВ а в дистрибутиве 138 кВ, вывод НОД ругался не зря!!!

Комментарий от Nesterka [ Октябрь 13, 2011, 11:50 ]

Проблема решена с помощью Панды — гадость удалена, комп чист и как-будто даже стал побыстрее. NOD удалён, однако по завершении общей проверки будет снова восстановлен, потому что всё равно пока лучший!

Комментарий от orda12 [ Декабрь 13, 2011, 22:18 ]

Ребята! Сильно не переживайте,этот сустем32(c:\windows\system32\termsrv.dll) переделаный КГБ чтоб отставлять на вашем ПК базу опосещении на сайтах(тоесть-кгде был,что качал,что писал,не нормальбное)
Заносим отот путь c:\windows\system32\termsrv.dll
в антивирусе,настройки — исключение!
А иногда,после посещения сайтов,заходим в Файловый менеджер («C:\Program Files\Total Commander\Totalcmd.exe»)
и нажимаем синию звездочку(Скрытые элементы)потом в диске С:\ ПОЯВЛЯЕССЯ System Volume Information
удаляем,всё,что есть там,это левый КЭШ,КОТОРЫЙ НЕ УПРОВЛЯЕТСЯ ПОЛЬЗОВАТЕЛЕМ,ПРИ НАЛИЧИИ ПОДРоБНОГО ФАЙЛА (termsrv.dll)
Этот файл перешитый Хакерами,чтоб не рыгулировал Кэшем!
Если кто может,то можно перекодировать этот файл.
Удачи ребята!
И мой вам совет!
Старайтесь использовать крупный шрифт в ваших браузерах,Хакеры-профессионалы,всегда надеют очки,так-как зрение от времени ухудшается,и мелкие буквы лучше им видны,чем крупные,поэтому им приходится смотреть на искосую(глаза в верх,очки на нос).

Комментарий от Женя [ Декабрь 30, 2011, 08:17 ]

У меня тоже только не агент а усф какой то но если в искл. доюавить…..SVHOST.EXE полностью грузит процессор!!!

Комментарий от Игорь [ Июнь 19, 2012, 01:27 ]

За этим файлом наблюдаю года 3 .. Эта приблуда пришла вместе с образом XP Samlab .. На других ОС такого нет… Решается при помощи патча Терминалов При прохождении патча он выкидывет свой типа правильный , хотя НОД тоже отрыгивается на него.. Спасает только исключение в НОДе.. Кого эта вещь сильно напрягает стелите SERVER 2003 R2. Решает окончательно проблему.. Ну а без рыбы и рак рыба…Это типа ХР.. больше проблем не наблюдал не с локальными ресурсами при входе не с буфером обмена.. так что считаю что это НЕ проблема

Комментарий от Игорь [ Июнь 19, 2012, 01:30 ]

И еще совет !!Всегда имейте копию сего чуда.. Достаточно вернуть его в папку SYSTEM32 и всё тип топ

Комментарий от Саша [ Август 1, 2012, 20:34 ]

Пропатчин rdp, для снятия ограничений мелкософта. Дает возможность подключится нескольким юзерам в терминале одновременно.

Комментарий от Андрей [ Ноябрь 13, 2012, 21:50 ]

РЕбята. Если бы НОД один ркгался еще норм. А то уже 14ть. на вирус тотал вэб молчит и каспер. А на сайте вэба сразу ругается.

Комментарий от termsrv.dll [ Январь 14, 2014, 20:08 ]

не пишите в паблик что у вас нод стоит. Если его поставить на калькулятор он там тоже найдет кучу вирусов — сам придумал сам обиделся — ей богу как тёлка(эстонская тока).

Комментарий от admin [ Январь 15, 2014, 20:56 ]

спасибо КЭП, твой комментарий как всегда в тему

Комментарий от Andrei [ Март 16, 2014, 20:44 ]

Всем привет! Провозился с этой проблемой два дня, переустанавливал винду и антивирусы… ЭТО 100% ВИРУС! NORD 32 Отличный антивирус. Не может удалить так как вирус в системном файле! Вирус размножается с огромной скоростью,приводит к огромным тормазам винды и инета. Смысл вируса заключается в зборе данных пользователей, пороли, посещенные сайты, в дальнейшем создает второго администратора-пользователя и получает доступ ко всей информации в компе. НЕ ВЗДУМАЙТЕ ОТКЛЮЧАТЬ NORD 32 он хоть блокирует размножение этого вируса, лечит зараженные вирусом файлы. Пришел к выводу: Вирус попадает на комп (в моем с лучие при установки винды xp sp3 SamLab.ws) Удалить его возможно только путем замены дома вируса-termsrv.dll. Кто пользуется виндой SamLab.ws будьте осторожны особенно с денежными переводами в интернете, и важной документацией. NOD 32 работает на ура!!!

Написать комментарий








Страницы

Свежие записи

Гугль

Мета

Счетчики


Rambler's Top100

Рубрики

  Разработка и дизайн — StvPromo.ru