Впервые тут? Зарегистрироваться | Забыли пароль?

Войти через loginza
Закрыть панель

22

Янв

2010

Вирус Win32/Spy.Ursnif.A

Распечатать статью Разместил: spider. Рубрика: уязвимости | 53 коммент. »

Сегодня обнаружил новый вирус Win32/Spy.Ursnif.A
Как видно из таблички ниже — Ни Касперский, ни Dr.Web, ни Avira его не распознают. Nod32 его увидел , но вылечить не смог. А так же не смог даже удалить. По сайту Virustotal.com его признают вирусом 13 из 41 антивируса, а значит игнорировать такую угрозу просто глупо.
Я нашел чистую незараженную Dll-ку. Выкладываю здесь.
termsrv.dll
Распакуйте архив в папку c:\windows\system32 в безопастном режиме или загрузившись с любого загрузочного диска имеющего доступ к системным папкам.

Файл termsrv.dll получен 2010.01.21 18:51:51 (UTC)
Антивирус Версия Обновление Результат
a-squared 4.5.0.50 2010.01.21 Riskware.Win32.Ursnif!IK
AhnLab-V3 5.0.0.2 2010.01.21 -
AntiVir 7.9.1.146 2010.01.21 -
Antiy-AVL 2.0.3.7 2010.01.21 -
Authentium 5.2.0.5 2010.01.21 -
Avast 4.8.1351.0 2010.01.21 -
AVG 9.0.0.730 2010.01.21 -
BitDefender 7.2 2010.01.21 Backdoor.Generic.247076
CAT-QuickHeal 10.00 2010.01.21 -
ClamAV 0.94.1 2010.01.21 -
Comodo 3659 2010.01.21 UnclassifiedMalware
DrWeb 5.0.1.12222 2010.01.21 -
eSafe 7.0.17.0 2010.01.20 -
eTrust-Vet 35.2.7250 2010.01.21 -
F-Prot 4.5.1.85 2010.01.20 -
F-Secure 9.0.15370.0 2010.01.21 Backdoor.Generic.247076
Fortinet 4.0.14.0 2010.01.21 W32/Patched.E!tr
GData 19 2010.01.21 Backdoor.Generic.247076
Ikarus T3.1.1.80.0 2010.01.21 VirTool.Win32.Ursnif
Jiangmin 13.0.900 2010.01.21 -
K7AntiVirus 7.10.951 2010.01.20 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2010.01.21 -
McAfee 5867 2010.01.20 potentially unwanted program Patched Termsrv
McAfee+Artemis 5867 2010.01.20 potentially unwanted program Patched Termsrv
McAfee-GW-Edition 6.8.5 2010.01.21 -
Microsoft 1.5302 2010.01.21 VirTool:Win32/Ursnif.B
NOD32 4791 2010.01.20 Win32/Spy.Ursnif.A
Norman 6.04.03 2010.01.20 -
nProtect 2009.1.8.0 2010.01.21 -
Panda 10.0.2.2 2010.01.21 Trj/CI.A
PCTools 7.0.3.5 2010.01.21 -
Prevx 3.0 2010.01.21 -
Rising 22.31.03.04 2010.01.21 -
Sophos 4.50.0 2010.01.21 -
Sunbelt 3.2.1858.2 2010.01.21 -
Symantec 20091.2.0.41 2010.01.21 -
TheHacker 6.5.0.8.157 2010.01.21 -
TrendMicro 9.120.0.1004 2010.01.21 -
VBA32 3.12.12.1 2010.01.20 -
ViRobot 2010.1.21.2148 2010.01.21 -
VirusBuster 5.0.21.0 2010.01.20 -
Дополнительная информация
File size: 295936 bytes
MD5…: cdb13f1e48540e19f4b961e77904f168
SHA1..: c9da870e74b7caf003ff3672a7c3227cd332befa
SHA256: 1d716c779a7524d1f1523c55903cb773de7c62437291474bb1dd619441ab0068
ssdeep: 6144:nc51EYcaOzaJ9cBIGxIK7zjL38kY0caPQ/6JnS3f2LntmNwTrAM:nc70aOz
a4xIOjLbPQiJnRtcU
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x219fd
timedatestamp…..: 0x480381e3 (Mon Apr 14 16:10:11 2008)
machinetype…….: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0×1000 0x3f7ca 0x3f800 6.62 3b17550ec0b93633ac198889c1011bf6
.data 0×41000 0×9838 0×1200 5.40 5d65a3663dd1e46550c681e04de1361f
.rsrc 0x4b000 0x40d4 0×4200 3.98 c31aca52a9a4ad92327931e329286723
.reloc 0×50000 0x32ee 0×3400 6.19 c59c84e9cda7289330e30d991fa19248

( 17 imports )
> msvcrt.dll: wcscpy, wcscmp, _except_handler3, _wcsnicmp, wcscat, swscanf, wcsncpy, wcslen, wcsncat, swprintf, wcsrchr, memmove, _snwprintf, wcschr, sprintf, qsort, strncpy, gmtime, time, mktime, _mbslen, mbstowcs, __3@YAXPAX@Z, __2@YAPAXI@Z, free, _initterm, malloc, _adjust_fdiv, _ftol, _snprintf, strncmp, iswdigit, _wcsupr, wcstok, _wtol, _stricmp, __CxxFrameHandler, _purecall, _wcsicmp
> ntdll.dll: NtOpenProcessToken, NtQueryInformationToken, RtlLengthSid, RtlCopySid, NtAllocateVirtualMemory, NtFreeVirtualMemory, RtlAcquireResourceShared, NtDelayExecution, DbgBreakPoint, RtlPrefixUnicodeString, NtResetEvent, NtWaitForMultipleObjects, RtlInitializeGenericTable, RtlDeleteCriticalSection, NtOpenProcess, NtQueryVirtualMemory, RtlLookupElementGenericTable, RtlCompareMemory, RtlInsertElementGenericTable, RtlDeleteElementGenericTable, RtlInitializeResource, NtCreateEvent, NtDuplicateObject, NtQuerySystemTime, RtlEqualSid, RtlAdjustPrivilege, RtlInitializeCriticalSection, NtTerminateProcess, RtlLengthRequiredSid, NtReleaseMutant, NtWaitForSingleObject, NtCreateMutant, NtQueryInformationProcess, NtDuplicateToken, NtSetInformationThread, RtlpNtEnumerateSubKey, NtRequestPort, NtConnectPort, NtSetEvent, RtlEnterCriticalSection, RtlAllocateHeap, NtOpenThreadToken, NtReplyPort, NtCompleteConnectPort, NtAcceptConnectPort, NtCreateSection, NtReplyWaitReceivePort, RtlFreeUnicodeString, NtCreatePort, RtlAnsiStringToUnicodeString, RtlInitAnsiString, RtlQueryRegistryValues, NtDeviceIoControlFile, RtlExtendedLargeIntegerDivide, RtlConvertExclusiveToShared, RtlConvertSharedToExclusive, RtlDeleteResource, NtRequestWaitReplyPort, RtlFreeHeap, RtlLeaveCriticalSection, RtlAcquireResourceExclusive, RtlReleaseResource, RtlInitUnicodeString, NtOpenKey, NtQueryValueKey, NtClose, VerSetConditionMask, RtlCreateEnvironment, RtlSetProcessIsCritical, DbgPrint, NtQuerySystemInformation, NtSetTimer, NtCreateTimer, RtlCopySecurityDescriptor, RtlNtStatusToDosError, RtlDeleteAce, RtlGetAce, RtlQueryInformationAcl, RtlGetDaclSecurityDescriptor, RtlMapGenericMask, RtlSubAuthoritySid, RtlInitializeSid, RtlCreateUserSecurityObject, RtlSetDaclSecurityDescriptor, RtlAddAccessAllowedAce, RtlCreateAcl, RtlCreateSecurityDescriptor, RtlWriteRegistryValue, RtlCreateRegistryKey, RtlLengthSecurityDescriptor, RtlSetGroupSecurityDescriptor, RtlGetGroupSecurityDescriptor, RtlGetOwnerSecurityDescriptor, NtSetSecurityObject, NtQuerySecurityObject, NtOpenSymbolicLinkObject, NtQueryDirectoryObject, NtCreateDirectoryObject, RtlFreeSid, RtlAllocateAndInitializeSid, RtlIntegerToUnicodeString, RtlAppendUnicodeToString, NtQueryMutant
> ICAAPI.dll: IcaOpen, IcaStackCallback, IcaStackConnectionWait, IcaStackConnectionRequest, IcaStackConnectionAccept, _IcaStackIoControl, IcaStackUnlock, IcaStackReconnect, IcaStackTerminate, IcaChannelClose, IcaStackIoControl, IcaPushConsoleStack, IcaChannelOpen, IcaChannelIoControl, IcaStackConnectionClose, IcaStackClose, IcaClose, IcaIoControl, IcaStackOpen, IcaStackDisconnect
> SHELL32.dll: SHGetFolderPathA
> SETUPAPI.dll: SetupDiGetDeviceRegistryPropertyA, SetupDiGetClassDevsA, SetupDiEnumDeviceInfo, SetupDiDestroyDeviceInfoList
> SHLWAPI.dll: PathAppendA
> WINTRUST.dll: CryptCATAdminCalcHashFromFileHandle, CryptCATAdminEnumCatalogFromHash, CryptCATCatalogInfoFromContext, CryptCATAdminReleaseCatalogContext, CryptCATAdminReleaseContext, WTHelperProvDataFromStateData, WTHelperGetProvSignerFromChain, CryptCATAdminAcquireContext, WinVerifyTrust
> RPCRT4.dll: RpcServerInqDefaultPrincNameW, RpcServerRegisterAuthInfoW, RpcServerRegisterIfEx, RpcBindingToStringBindingW, RpcServerListen, RpcImpersonateClient, I_RpcBindingIsClientLocal, RpcRevertToSelf, RpcServerUseProtseqEpW, I_RpcBindingInqLocalClientPID, RpcStringFreeW, RpcRaiseException, RpcSsContextLockExclusive, NdrServerCall2, RpcServerRegisterIf, RpcStringBindingParseW
> KERNEL32.dll: GetLocalTime, GetDiskFreeSpaceA, GetDateFormatW, FileTimeToSystemTime, InitializeCriticalSection, GetVersion, CreateMutexW, GetModuleHandleA, InterlockedExchange, OutputDebugStringA, GetProcessAffinityMask, SetThreadAffinityMask, ResumeThread, GetExitCodeThread, GetSystemInfo, GetLogicalDriveStringsA, GetDriveTypeA, GetVolumeInformationW, GetVolumeInformationA, GlobalMemoryStatus, lstrlenA, lstrcpyA, GetFileSize, WriteFile, SetFilePointer, ReadFile, CreateFileA, HeapAlloc, HeapFree, CompareFileTime, CreateWaitableTimerW, SetWaitableTimer, FormatMessageW, LeaveCriticalSection, GetSystemDefaultLCID, SystemTimeToFileTime, LoadLibraryExA, GetVersionExA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetCurrentThreadId, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, DelayLoadFailureHook, lstrcpynW, GetACP, MultiByteToWideChar, SetLastError, lstrlenW, LocalFree, LocalAlloc, GetProcessHeap, DisableThreadLibraryCalls, DebugBreak, Sleep, CloseHandle, CreateProcessW, GetCurrentProcessId, IsDebuggerPresent, GetVersionExW, ResetEvent, SetEvent, VerifyVersionInfoW, CreateEventW, GetLastError, ReleaseMutex, UnmapViewOfFile, MapViewOfFile, OpenFileMappingW, WaitForMultipleObjects, OpenEventW, OpenMutexW, InterlockedDecrement, CreateThread, CreateFileW, GetSystemDirectoryW, GetSystemTime, GetComputerNameA, GetSystemTimeAsFileTime, UnregisterWait, WaitForSingleObject, InterlockedIncrement, lstrcpyW, ExitThread, QueryDosDeviceW, ProcessIdToSessionId, IsBadReadPtr, IsBadWritePtr, OpenProcess, GetComputerNameW, FreeLibrary, GetProcAddress, LoadLibraryW, GetProfileStringW, GetTickCount, RegisterWaitForSingleObject, lstrcatW, lstrcmpiW, GetProfileIntW, GetWindowsDirectoryW, SetThreadPriority, GetCurrentThread, LocalSize, GetCurrentProcess, PulseEvent, GetComputerNameExW, WideCharToMultiByte, InitializeCriticalSectionAndSpinCount, EnterCriticalSection, DeleteCriticalSection
> USER32.dll: GetCursorPos, wvsprintfA, BroadcastSystemMessageA, wsprintfA, GetSystemMetrics, wsprintfW, ExitWindowsEx, LoadStringW, MessageBeep, GetMessageTime
> Secur32.dll: GetUserNameExW
> WS2_32.dll: -, -, -, getaddrinfo, -, -
> ADVAPI32.dll: GetSidSubAuthorityCount, GetSidSubAuthority, AccessCheckAndAuditAlarmW, AllocateAndInitializeSid, SetEntriesInAclW, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegEnumKeyW, DeregisterEventSource, CryptAcquireContextW, CryptCreateHash, CryptImportKey, CryptVerifySignatureW, CryptDestroyKey, CryptDestroyHash, CryptReleaseContext, AddAce, GetAce, GetAclInformation, GetUserNameA, CryptHashData, RegisterServiceCtrlHandlerW, GetSidIdentifierAuthority, IsValidSid, GetTokenInformation, EqualSid, LookupAccountSidW, RegSetValueExW, CryptGenRandom, RegisterEventSourceW, ReportEventW, SetServiceBits, RegOpenKeyW, GetUserNameW, SetServiceStatus, RegOpenKeyExW, GetSecurityDescriptorDacl, LsaDelete, LsaSetSecret, LsaClose, LsaOpenSecret, LsaCreateSecret, LsaOpenPolicy, LsaFreeMemory, LsaQuerySecret, GetEventLogInformation, LsaQueryInformationPolicy, RegQueryValueExW, RegCloseKey, LogonUserW, AddAccessAllowedAce, InitializeAcl, GetLengthSid, OpenThreadToken, CheckTokenMembership, MakeSelfRelativeSD, MakeAbsoluteSD, IsValidSecurityDescriptor, ElfReportEventW, ElfRegisterEventSourceW, I_ScSendTSMessage, RegNotifyChangeKeyValue, RegCreateKeyExW, RegQueryValueExA, RegOpenKeyExA, GetCurrentHwProfileA, RegEnumKeyExA, RegEnumKeyExW, LsaStorePrivateData, LsaNtStatusToWinError, LsaRetrievePrivateData, RegDeleteValueW, OpenProcessToken
> CRYPT32.dll: CertCloseStore, CertCreateCertificateContext, CertOpenStore, CertDuplicateCertificateContext, CertFreeCertificateContext, CertGetIssuerCertificateFromStore, CertVerifySubjectCertificateContext, CryptExportPublicKeyInfo, CertEnumCertificatesInStore, CertFindExtension, CertVerifyCertificateChainPolicy, CertComparePublicKeyInfo, CryptDecodeObject, CryptVerifyCertificateSignature, CryptBinaryToStringW
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -
> AUTHZ.dll: AuthzFreeResourceManager, AuthziAllocateAuditParams, AuthziInitializeAuditParamsWithRM, AuthziInitializeAuditEvent, AuthziLogAuditEvent, AuthzFreeAuditEvent, AuthziFreeAuditParams, AuthzInitializeResourceManager, AuthziInitializeAuditEventType, AuthziFreeAuditEventType
> mstlsapi.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -

( 1 exports )
ServiceMain
RDS…: NSRL Reference Data Set
-
sigcheck:
publisher….: __________ __________
copyright….: (c) __________ __________. ___ _____ ________.
product……: ____________ _______ Microsoft_ Windows_
description..: ______ _______ __________
original name: termsrv.exe
internal name: termsrv.exe
file version.: 5.1.2600.5512 (xpsp.080413-2111)
comments…..: n/a
signers……: -
signing date.: -
verified…..: Unsigned
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
 

-
Написать автору | Все записи этого автора: | Подписаться на RSS

 
Комментариев: 53 для записи Вирус Win32/Spy.Ursnif.A
  1. MalVik (14 марта 2010 в 23:29)

    Спасибо большое! Проблема сразу исчезла! :)

  2. 2Bo (31 марта 2010 в 20:39)

    Spider спасибо за решение проблемы!Американцы мучаются на форумах как его извести)

  3. Дамир (3 мая 2010 в 15:27)

    Ты очень помог:0спасибо:)я ничего не понимаю в компах,но даже это я смог сделать:)

  4. richiune (4 мая 2010 в 19:42)

    Spasybo tebe dorogoi, a to zhalko xorosh antivir, no rugaetsa.
    sorry, to est rugalsa.

  5. sanya (11 мая 2010 в 19:55)

    Действительно, спасибо — кучу форумов прочел — но только у тебя получилось!

  6. Listad (18 мая 2010 в 20:14)

    Большое спасибо. Работает нормально.

  7. Ареке (24 мая 2010 в 19:15)

    Спасибо!

  8. Cobra (10 июня 2010 в 8:36)

    СПАСИБО за termsrv.dll

  9. Василий Юрьевич (17 июля 2010 в 9:57)

    Благодарю за простой способ решения,всё ок. Побольше бы таких альтруистов!

  10. саня (15 августа 2010 в 14:09)

    че т о у меня не фига не удаляется…..я как захлжу в ту папку ..мне вообще ни че делать не удается

  11. Spider (16 августа 2010 в 8:12)

    Вероятнее всего Вы пытаетесь удалить его прямо в Виндовс. Так не выйдет. перезагрузите компьютер в безопастном режиме (клавиша F8 при загрузке). И попробуйте еще раз.

  12. Серега (23 августа 2010 в 8:07)

    Респект автору, помог очень сильно

  13. лена (7 сентября 2010 в 15:49)

    ООООООООООООООООООООООООООООчень ООООООООООООООООООООгромное спасибо.ВЕЩЬ!!!!!!!Реальная помощь знающего человека.Спасибо +40

  14. Александр (15 октября 2010 в 18:27)

    большое спасибо. все гениальное — просто!

  15. igor (20 октября 2010 в 8:28)

    спасибо большое!проблема решена:)

  16. Серж (8 ноября 2010 в 20:52)

    После того как это проделал НОД 32 уже не обнаруживает по моему вирус ,наверно помогло, спасибо

  17. Андрей (10 ноября 2010 в 11:50)

    Спасибо помогло, а из любопытства спросить хачу чем вредит этот вирус компу?

  18. Авторська Лабораторія Люби Заграй (17 ноября 2010 в 22:59)

    У лабораторії Камбриджа нарешті знайшли засіб від звичайної застуди…

    I found your entry interesting thus I’ve added a Trackback to it on my weblog :)…

  19. Серга (23 ноября 2010 в 15:16)

    Спасибо просто ОГРОМНОЕ

  20. Серга (24 ноября 2010 в 7:33)

    Вопросик: комп стал выключаться на 50 процентов дольше-это от замены файла или что-то другое?

  21. Петя (26 ноября 2010 в 12:57)

    Это гон!

  22. катя (26 ноября 2010 в 14:21)

    А если в итерете звука нет , а на компе есть это тже может быть от этого вируса ?

  23. Serg (9 декабря 2010 в 15:43)

    Ты настоящий мужик.

  24. AntonS (9 декабря 2010 в 20:30)

    Не знаю как у кого, а у меня из-за этого вируса вообще было невозможно работать. Загрузка ЦП была постоянно под 100%. Элементарное открытие Word превращалось в целую историю, я уже не говорю про что то другое. )))

  25. AntonS (9 декабря 2010 в 20:31)

    Spyder, огромное тебе спасибо!!! )))

  26. GALL (11 декабря 2010 в 6:13)

    ОГРОМНОЕ СПАСИБО, УЖЕ ГОД НАВЕРНОЕ МУЧАЛАСЬ С ЭТИМ ФАЙЛОМ

  27. Spider (19 декабря 2010 в 12:38)

    Нет, это вряди из-за этого — так как Вы поставили на "место" родную системную библиотеку.

  28. Spider (19 декабря 2010 в 12:39)

    Скорее всего — нет. Посмотрите статью http://spider.bsyteam.net/306

  29. Spider (19 декабря 2010 в 12:40)

    Spider, а так незачто :)

  30. ALEX (27 декабря 2010 в 19:12)

    ОГРОМНОЕ СПАСИБО. СРАЗУ ВИДНО ЗНАЮЩЕГО ЧЕЛОВЕКА. ТАК ДЕРЖАТЬ!!!!!!!!!!!!!!!

  31. Света (3 января 2011 в 2:06)

    вобще не получается, уже 100 раз делала

  32. Никита (3 января 2011 в 11:31)

    В настройках нода можно просто добавить файл в исключения в расширенных настройках

  33. Света (3 января 2011 в 11:55)

    а можно по подробней расписать как это сделать, а то я не очень в этом

  34. Spider (4 января 2011 в 8:31)

    просто перечитайте внимательно. Заменять файл нужно в безопасном режиме системы.

  35. Spider (4 января 2011 в 8:32)

    Конечно — давайте учить девушек плохому :) В данном частном случае , конечно можно внести исключение, но давайте не будем учить поступать шаблонно. Нашел вирус — зачем лечить ?Пусть живет, добавим в исключения и будем разводить, как домашнее животное :)

  36. AbsenteR (17 января 2011 в 17:01)

    Спасибо ! помогло !

  37. Артур (24 января 2011 в 10:55)

    Спасибо всё круто помогло

  38. Алексей (4 февраля 2011 в 18:19)

    Спасибо большое!

  39. Женя (7 февраля 2011 в 20:55)

    Ты лучший, ПОМОГЛО !!!!!!!!!!!!!!

  40. Гена (23 февраля 2011 в 22:41)

    Большое человеческое СПАСИБО.Перечитал кучу форумов -все бесполезно.А твой метод помог.

  41. Олег (18 марта 2011 в 15:47)

    МАЛАДЦА!!! парился с этим вирусом, я его и так и сяк, и тем антивирем и этим, а его ничего не берёт…
    А тут такой коротенький гайд — 10 минут и всё, нет ненависного!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    АВТОРУ МЕГАБЛАГОДАРНОСТЬ

  42. Анастасия (24 марта 2011 в 15:45)

    Огромное спасибо))

  43. Ленуся (11 августа 2011 в 9:52)

    ПРЕОГРОМНЕЙШЕЕ СПАСИБИЩЕЕЕЕЕ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

  44. Александр (14 августа 2011 в 10:35)

    Сначала в Victoria надо включить функцию-Eraiser, а не Remap, а то он будет зараженые сектора помечать как битые,тем самым сжирается емкость.Затем если диск не делится на 2,3 раздела, то надо взять gparted в liveCD Ubuntu и делить диск на мелкие партиции,как бы искать его. В конце концов он у меня стал делиться соответственно рабочим и короче на 3 Гига .

  45. Spider (14 августа 2011 в 19:56)

    С последним комментарием по Victoria согласен. Вот только при чем здесь эта прога к вирусному файлу ?
    Его действия гораздо проще. Никуда он не прописывается. Удалить Вы его не можете, так как он используется системой. Ни Виктория, ни другие программы Вам тут не помогут. Для удаления достаточно перегрузиться в безопасный режим (Safe mode) или загрузиться в любой live-дистрибутив. Далее достаточно заменить зараженный файл оригиналом или взять в этой статье.

  46. Александр (15 августа 2011 в 5:58)

    Всё это фигня! Работать комп будет до следующей установки Винды.А когда ставиш новую, он опять вылазиет. И если его опять удалить, например Unlockerом,то он опять будет работать до установки новой Винды.а диск остается
    заражёным хотя это и не мешает. Unlocker и в небезопасном режиме его удалит, да будет тебе известно.А насчёт прописываться, так он может записаться в Smoc, настройки BIOS, и тогда на комп вообще ничего не поставиш пока не замкнёш контакты.А раз так, тогда почему этой заразе не записаться в таблицу жестака-прошивку. Я бы эту заразу поставил бы на 1-е место а не 13-е.Ну да ладно если мой метод не нравится, то пользуйтесь своими.

  47. Spider (15 августа 2011 в 8:36)

    termsrv.exe — это Terminal Server Service. Приложение отвечающее за удаленный доступ к компу. Почему антивирусы находят в нем вирус ? Да потому, что сама длл-ка в основном встречается на различных "сборках" винды, где она "пропатчена". Что делает патч. Полностью саму длл-ку я не разбирал, но судя по отзывам в интернете — а)увеличивает количество возможных подключений. б)разрешает подключаться неавторизованым клиентам. Никаких записей в таблицу БИОСа она не пишет (возможно это делает другой вирус ?). Анлокером удалить конечно можно, но после этого 99% винда выпадет в синий экран (БСоД). Поэтому рекомендовано не удалять, а заменять данный файл оригиналом.

  48. Celebrity Blog (22 октября 2011 в 21:04)

    Super Website…

    [...] that is the end of this article. Here you’ll find some sites that we think you’ll appreciate, just click the links over[...]…

  49. URL (1 января 2012 в 13:02)

    … [Trackback]…

    [...] Read More here: spider.bsyteam.net/791 [...]…

  50. Nin2816 (9 января 2012 в 23:30)

    Спасибо, все сработало, Nod 32 не ругается. А предыдущий файлик-то был больше по размеру.

  51. volodikilla (19 января 2012 в 15:42)

    премного благодарен..все класс..

  52. Александр (1 февраля 2012 в 8:21)

    Hiren`s bootCD/свой производитель/low level formater.и будет счастье!

  53. Spider (1 февраля 2012 в 10:43)

    Александр, — отличный совет. А Вы сами пробовали ?
    На этот саркастический комментарий поясню — суть данных действий сводится к тому, что вся информация на данном диске будет стерта. Включая установленную ОС, программы и данные пользователя.