Здравствуйте, techsupports people.
Хочу задать интересный вопрос (для меня ^.^): как определить, что в системе скрыто поставлен Radmin, и как от него избавиться? Сразу - спасибо.
Хочу задать интересный вопрос (для меня ^.^): как определить, что в системе скрыто поставлен Radmin, и как от него избавиться? Сразу - спасибо.
-
-
05.01.2009 в 04:19-
-
05.01.2009 в 05:04-
-
05.01.2009 в 06:06-
-
05.01.2009 в 08:03-
-
05.01.2009 в 08:17-
-
05.01.2009 в 08:20Нормальный ответ. V@iperAnry, хочешь получить подробный ответ - задавай подробный вопрос.
Сомневаюсь, Что в процессах он будет отображаться.
Не сомневайся а закрой все программы и покажи скриншот дерева процессов в Process Explorer'е и журнал HijackThis.
-
-
05.01.2009 в 08:30"Свойства протокола TCP/IP, относящегося к подключению по локальной сети - Дополнительно - Параметры - Фильтрация TCP/IP - Свойства."
По моему дешево, сердито, и формально радмин мы какбэ и не трогали
"по умолчанию Radmin использует 4899 порт"
techsupport , да, я слегка неверно выразился, не гугля. Плохой я.
-
-
05.01.2009 в 09:32Control Panel -> Administrative tools -> Services
избавиться
Иметь права администратора.
-
-
05.01.2009 в 12:03раздел автозапуска и службы .
имхо самый простой вариант узнать что есть в системе.
-
-
05.01.2009 в 13:17Действительно, если вопрос стоит только о RAdmin - надо смотреть процессы и сервисы))
Но ведь есть масса других популярных программ удаленного администрирования и мониторинга, включая разнообразные кейлоггеры.
-
-
05.01.2009 в 14:48это не сработает, если нет прав администратора
V@iperAnry, пожалуйста, ответьте на наводящие вопросы
-
-
05.01.2009 в 16:45www.securitylab.ru/forum/forum17/topic15836/mes...
Можно поискать противоядия против всего, что они тут пишут. Но как по мне, лучше работать с портами, а не выискивать приложения.
это не сработает, если нет прав администратора
Я просмотрел?(( Разве было упомянуто, что нет прав? Я тупой, ни на что не способный, ничтожный эникейщмк:'(
В таком случае нужно использоваться фаерволом. Встроенным. Запретить неизвестные и подозрительные приложения.
Но ведь есть масса других популярных программ удаленного администрирования и мониторинга, включая разнообразные кейлоггеры.
Универсальное средство избежать слежки - отформатировать винт трижды. Вы спросили об Радмине. Определитесь же.
-
-
05.01.2009 в 17:15наверное тут сидят админы, боящиеся огласки этого процесса
ps: (не уверен нащет прав админа) установите radmin себе на комп дома, возьмите с собой на работу ссылку Remote Administrator Settings (свойство ярлыка) и редактируйте свойства рабочего скрытого радмина (IP фильтры, просмотр по соглашению[предпочтительней])
-
-
05.01.2009 в 17:41Все не так просто, как кажется.
Если мы переименуем процесс, то никакие ярлыки нам не помогут.
И потом, мы не знаем, о какой версии радмина идет речь. В 2 и в 3 там все немного по другому.
V@iperAnry , к сожалению, дает мало информации, мы вынуждены блуждать.
Господа, я надеюсь, что не кажусь слишком заносчивым и высокомерным? Если это так, то прошу прощения.
-
-
05.01.2009 в 17:45а в процессах смотрится банальной сортировкой по CPU (палим пока комп простаивает, process explorer можно безпалевно сузить и сунуть вниз экрана, сделав расширение экрана 1280)
в ярлыке соответственно все соотнести
ps читайте "горе от ума"
-
-
05.01.2009 в 17:57Да вы просто гений. Только вы забываете, что версия 2.1011 и версия 2.1012 будут иметь разные размеры файлов.
И потом, размер файлов нельзя привязать к размеру занимаемой памяти в диспетчере задач.
а в процессах смотрится банальной сортировкой по CPU (палим пока комп простаивает, process explorer можно безпалевно сузить и сунуть вниз экрана, сделав расширение экрана 1280)
Сие недоступно пониманию моего сирого мозга. svhosts работает и при простое, или что вы пытались щас сказать?
Да, просто можно пересмотреть все 40 процессов process explorer, проанализировать подключаемые библиотеки, и т.д.
ps читайте "горе от ума"
Да вы хам.
-
-
05.01.2009 в 18:02за хамство - сорри, надо просто пробовать, иначе будет паранойа
-
-
05.01.2009 в 20:15Не надо блуждать, просто подождите реакции. Если реакции не будет, я предупреждаю пользователя а потом прописываю бан (см. эпиграф).
-
-
05.01.2009 в 22:14Так. Начнем по порядку.
Город. Сетка. Комп - личный, домашний. Права администратора есть. Каким то образом комп друга взломали. И кто-то получал полный доступ через Radmin. Это точно Radmin, т.к. этот "кто-то" потом признался, что именно он немного "шалил"...
Вот и вспомнилась подобная тема, так как избавиться от этой напасти получалось ток Format'ом.
Итак.
посмотрите в процессах - не вариант. процесс можно и переименовать.
пуск-выполнить-msconfig
раздел автозапуска и службы .
имхо самый простой вариант узнать что есть в системе. - как именно называется служба? автозапуск, думаю, тоже не вариант)
"Свойства протокола TCP/IP, относящегося к подключению по локальной сети - Дополнительно - Параметры - Фильтрация TCP/IP - Свойства."
это не сработает, если нет прав администратора - права есть... что примерно надо прописать? может литературу подскажете?
Да, просто можно пересмотреть все 40 процессов process explorer, проанализировать подключаемые библиотеки, и т.д. довольно проблематично.. может просто не хватить знаний всех наименований процессов...
Кстати, у пострадавшео стоял outpost. Не помогло
Я хотел бы просто узнать как определить что радмин скрыто установлен, и как с этим бороться?
p.s. прошу прощения за неполнцю информацию вначале
-
-
06.01.2009 в 00:14я бы предложил разобрать на конкретном примере
-
-
06.01.2009 в 00:30-
-
06.01.2009 в 00:31-
-
06.01.2009 в 00:36может просто не хватить знаний всех наименований процессов...
Достаточно знать компанию-производитель (Famatech) - насколько мне известно, сменить атрибуты, вкомпиленные в исполняемый файл, не так-то просто. А поле Company procexp показывать умеет.
ЗЫ и если установлен radmin, то в настройках Windows Firewall прописывается для него исключение. Дальнейшие действия понятны?
-
-
06.01.2009 в 00:46На счет антивирусов позволю не согласиться,-ничто не идеально, и базы всегда приходится обновлять)
-
-
06.01.2009 в 00:48сам тоже
в настройках Windows Firewall
это если данная штука включена
-
-
06.01.2009 в 00:49Но мы убиваем только процесс, а что делать с автозапуском?
-
-
06.01.2009 в 00:54-
-
06.01.2009 в 00:57-
-
06.01.2009 в 03:19Не думаю. В конце концов, добавление исключения - это добавление ключей в реестр, не более:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List - для приложений, которым разрешается передача данных (там же вместо StandardProfile еще есть DomainProfile)
и
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List - для открытых портов (аналогично, есть еще DomainProfile)
И я сильно сомневаюсь, что установщик radmin проверяет, запущен ли сервис windows firewall. Да и нелогично это - не добавлять ключ, если firewall отключен, потому как а вдруг потом включат? Впрочем, это можно элементарно проверить - можете заняться, если очень хочется.
V@iperAnry, пока что не за что. Для справки: если в данном сообществе дают советы, то предполагается, что этим советам пробуют следовать и сообщают о реальном результате, а не отвечают "может да, может нет, а может не поможет, а еще какие варианты?" - не попробовав ни единого предложенного решения. В настоящий момент вся дискуссия выглядит как разговор ни о чем. Был предложен десяток _возможных_ решений без какого бы то ни было вменяемого фидбека.
-
-
06.01.2009 в 08:02Именно так. V@iperAnry, если ты так и не начнёшь вести диалог, доступ к сообществу будет для тебя закрыт.
А Что ты имеешь ввиду Под конкретным примером?
То, о чём я писал до этого - выложи дерево процессов, список автозагрузки, можно журнал HijackThis.
По теме - радмин это не троян и не hacktool, это инструмент администрирования. Антивирусы его детектируют, но не удаляют. Файрволл он сам не выключает по той же причине (и вообще никак сам не вредит).