Страницы
Промо
NOD32 определяет файл termsrv.dll от терминалов как вирус
NOD32 определяет файл termsrv.dll от терминалов ка вирус.
Пришел с утра на работу, в предвкушении спокойного дня. Сел за свои сайтецы, статейки, РССки. Проверил все бекапы и эвент лог на серваке. Всё спокойно, бекапы ночью прошли все нормально. Ну, думаю, хороший день. И не успев нажать на кнопку включения чайника, раздаётся телефонный звонок.
— Алло, дружелюбным голосом ответил я.
— Алёша, у нас тут вирус и 1С не работает.
Ну думаю, очередную дрянь на влешке или в интернете зацепили. щас буду интересно её ловить и убивать. Подключаюсь VNC к клиентской машине, и охуеваю, малость.
Файл c:\windows\system32\termsrv.dll заражен непонятно каким вирусом, под названием Agent. Че за херня. Открываю файл, всё в порядке. нормальная DLLка виндового терминала. NOD32 попидорски предлагает удалить файл.
Удалять ничего не будем. В инете ниче не пишут. После долгих и страстных мучений файла, высняется, что с ними всё в порядке.
Спустя полчаса раздаётся еще около 15 звонков с аналогичной проблемой. Как и ожидалось, долбанутый NOD32 начал детектить пропатченые файлики терминала. Ужасно бесит, когда антивирус начинает блокировать кряки, туллы и прочие патчи. Каким образом их вообще это ебёт.
Вобщем добавил исключения и всё стало хорошо. Юзерам, который нажали удалить, пришлось восстанавливать эти файлы.
Комментарии
| Комментарий от Юрий [ 20 сентября, 2010, 12:40 ] |
У меня КИС 9 в папке system32 какой-то .dll файл определяет как троян – лечение пишет невозможно а удалить сцуко не может – чаво делать то? |
| Комментарий от JACK [ 5 октября, 2010, 14:46 ] |
НОД v.4 кричит, что файл termsrv.dll инфицирован неким – Win32/Spy.Ursnif.A и удолить его не может. Удолил “унлокером” после чего система дала минуту на автозавершение работы виндовс”SamLab 5.1 сборака” |
| Комментарий от JACK [ 5 октября, 2010, 14:53 ] |
Я в шоке ))))) только что постил, терь проверил диск с виндой на наличие нужного файла, и чудо, снова заработал “трэй” непонимаю почему. Этогофайла termsrv.dll я так и не нашёл в установленной системе. Сейчас повторно сканирую тойже нод 4 |
| Комментарий от [ 5 октября, 2010, 15:45 ] |
Винда восстанавливает системные файлы из кеша. Это НЕ ВИРУС. просто добавь его в исключения. |
| Комментарий от Иван [ 12 октября, 2010, 23:48 ] |
От себя могу добавить, что были проблемы с системой после удаления этого файла в безопасном режиме. Настраивайте тщательнее свои брандмауэры и файерволлы, а этот файл в исключение! |
| Комментарий от Петр [ 22 ноября, 2010, 18:46 ] |
В левом окне коммандера termsrv.dll не нравится ноду, а в правом, с диска другого компа, такой же файл его устраивает. О том, который слева утверждает, что он – Win32/Spy.Ursnif.A . По размерам они одинаковые. Вэбер, касперский, ad-aware не определяют. |
| Комментарий от [ 2 декабря, 2010, 19:26 ] |
У меня такая же проблема была с нод32….спосибо за розбируху)) |
| Комментарий от Andrei [ 21 декабря, 2010, 10:03 ] |
спасибо за инфу и коменты! Отключил Нод 32, чтобы не ругался, вырезал из папки на рабочий стол termsrv.dll и с другой OC взял этот файлик и скопировал в папку system32. С рабочего стола удалил капризный файлик, запустил сканирование НОД никаких угроз не обнаружил. |
| Комментарий от Александр [ 11 января, 2011, 16:52 ] |
Пробовал в инете найти этот самый Spy.Ursnif нашел написано здесь живет этот вирус хотел зайти на этот сайт опять-же вмешивается гений NOD 32 кричит перейдите на домашнюю ну зайти я не решился,интересно пробовал кто-нибудь |
| Комментарий от Евгений [ 13 января, 2011, 22:07 ] |
Спасибо большое, очень помог Ваш совет!!! |
| Комментарий от Пётр [ 25 февраля, 2011, 10:43 ] |
termsrv.dll вообще то один из системных файликов, и нод совершенно прав сообщая, что кто-то в нём покопался. Более того, не все патчи одинаково полезны, так что если используете крякнутый софт – объясняйте это антивируснику, лень объяснять – не пользуйтесь крякнутым софтом. К тому же можно обойтись и вовсе без антивирусника: фаервол + ограничение по запуску программ, и никаких проблем. Глупо обвинять антивирус в неправильной работе, он работает совершенно правильно. Проблема не в нём. |
| Комментарий от [ 24 июня, 2011, 13:45 ] |
Самое интересное, что ни кто не зрит в корень, почем NOD говорит что Dll-ка заражена и еще вирусом, пусть пишет что она изменена, кто нибудь ответит NOD лжет или нет? |
| Комментарий от eclipse [ 20 сентября, 2011, 13:46 ] |
сто лет этой фигне уже. Ставили с сборки ZverCD вот и все. не чего страшного тут нет. Найдите где нибудь лицензионную XP`ку и тупо скопируйте из нее этот фаил и так-же тупо замените его у себя и будет вам счастье )))) |
| Комментарий от [ 27 сентября, 2011, 08:33 ] |
У меня тоже НОД ругался, проблему решил следующим образом:в дистрибутиве в папке I386 берем файл TERMSRV.DL_ копируем его в свою system32, переименовав в termsrv.dll, на вопрос заменить говорим да. Кстати размер termsrv.dll который был в системе 250 кВ а в дистрибутиве 138 кВ, вывод НОД ругался не зря!!! |
| Комментарий от Nesterka [ 13 октября, 2011, 11:50 ] |
Проблема решена с помощью Панды – гадость удалена, комп чист и как-будто даже стал побыстрее. NOD удалён, однако по завершении общей проверки будет снова восстановлен, потому что всё равно пока лучший! |
| Комментарий от orda12 [ 13 декабря, 2011, 22:18 ] |
Ребята! Сильно не переживайте,этот сустем32(c:\windows\system32\termsrv.dll) переделаный КГБ чтоб отставлять на вашем ПК базу опосещении на сайтах(тоесть-кгде был,что качал,что писал,не нормальбное) |
| Комментарий от Женя [ 30 декабря, 2011, 08:17 ] |
У меня тоже только не агент а усф какой то но если в искл. доюавить…..SVHOST.EXE полностью грузит процессор!!! |
| Комментарий от Игорь [ 19 июня, 2012, 01:27 ] |
За этим файлом наблюдаю года 3 .. Эта приблуда пришла вместе с образом XP Samlab .. На других ОС такого нет… Решается при помощи патча Терминалов При прохождении патча он выкидывет свой типа правильный , хотя НОД тоже отрыгивается на него.. Спасает только исключение в НОДе.. Кого эта вещь сильно напрягает стелите SERVER 2003 R2. Решает окончательно проблему.. Ну а без рыбы и рак рыба…Это типа ХР.. больше проблем не наблюдал не с локальными ресурсами при входе не с буфером обмена.. так что считаю что это НЕ проблема |
| Комментарий от Игорь [ 19 июня, 2012, 01:30 ] |
И еще совет !!Всегда имейте копию сего чуда.. Достаточно вернуть его в папку SYSTEM32 и всё тип топ |
| Комментарий от Саша [ 1 августа, 2012, 20:34 ] |
Пропатчин rdp, для снятия ограничений мелкософта. Дает возможность подключится нескольким юзерам в терминале одновременно. |
| Комментарий от Андрей [ 13 ноября, 2012, 21:50 ] |
РЕбята. Если бы НОД один ркгался еще норм. А то уже 14ть. на вирус тотал вэб молчит и каспер. А на сайте вэба сразу ругается. |
| Комментарий от [ 14 января, 2014, 20:08 ] |
не пишите в паблик что у вас нод стоит. Если его поставить на калькулятор он там тоже найдет кучу вирусов – сам придумал сам обиделся – ей богу как тёлка(эстонская тока). |
| Комментарий от [ 15 января, 2014, 20:56 ] |
спасибо КЭП, твой комментарий как всегда в тему |
| Комментарий от Andrei [ 16 марта, 2014, 20:44 ] |
Всем привет! Провозился с этой проблемой два дня, переустанавливал винду и антивирусы… ЭТО 100% ВИРУС! NORD 32 Отличный антивирус. Не может удалить так как вирус в системном файле! Вирус размножается с огромной скоростью,приводит к огромным тормазам винды и инета. Смысл вируса заключается в зборе данных пользователей, пороли, посещенные сайты, в дальнейшем создает второго администратора-пользователя и получает доступ ко всей информации в компе. НЕ ВЗДУМАЙТЕ ОТКЛЮЧАТЬ NORD 32 он хоть блокирует размножение этого вируса, лечит зараженные вирусом файлы. Пришел к выводу: Вирус попадает на комп (в моем с лучие при установки винды xp sp3 SamLab.ws) Удалить его возможно только путем замены дома вируса-termsrv.dll. Кто пользуется виндой SamLab.ws будьте осторожны особенно с денежными переводами в интернете, и важной документацией. NOD 32 работает на ура!!! |
Написать комментарий