Скорее всего это серверная часть Remote Administrator (RAdmin) — утилиты для удалённого управления компьютером по сети.

При этом остаётся вероятность, что за тобой никто не следит — просто кто-то (может быть, ты), установил на компьютер RAdmin. При установке могли поставится и серверная и клиентская части.

Enkryptor я точно ничего такого не устанавливала. а можно это как-то проверить - следят или нет?

проверте- пуск программы
Remote Administrator
там выберете настройки сервера и поменяйте пароль.. вот и всё.. следить не смогут.
или просто удалите программу через панель управления.

можно это как-то проверить - следят или нет?

Как правило, можно. Имеет смысл проверить, работает ли на твоём компьютере RAdmin. Если окажется, что он не запущен, то скорее всего никакой слежки не было. Нет опасности в том, что просто ещё один файл лежит в system32.

Я думаю, проще это выяснить, посмотрев журнал HijackThis — techsupport.diary.ru/p49734180.htm

выберете настройки сервера и поменяйте пароль.. вот и всё.. следить не смогут.

я так понял, вопрос был ещё и в том, как узнать — следил ли кто-нибудь или нет

Enkryptor
а никак, если логи сессий не включены.
по умолчанию сервер при установке ставится, и включается при перезагрузке.
доказать факт слежки нереально.

никак, если логи сессий не включены.

Не совсем так. Вполне можно доказать, что слежки не было. Например, если окажется, что RAdmin на данной системе и вовсе не был запущен.

пуск / выполнить
\WINDOWS\system32\r_server.exe /setup
в окне давите на "options" и устанавливаете опции
галки "USE LOG FILE" (например, c:\logfile.txt, посматривайте его потом) и "ASK USER PERMISSION" поставьте. начните типа наблюдение, кто за вами там следит

Да, можно так. Но опять же, это актуально только в случае, если сервер запускается при старте Windows.

...Сегодня копалась в списке процессов и обратила внимание на процесс "r_server"....

Мда, действительно.

Я тут вспомнил — радмин входит в комплект Zver CD. Так что ещё это может быть он.
В любом случае, нужен ответ от velve — журнал HijackThis и комментарий насчёт Zver CD.

velve, не будете отвечать?

всем огромное спасибо за помощь!

Hellraiser-ru как только проверю, залезает ко мне кто-нибудь или нет, удалю )

Enkryptor ага, Zver CD v.7.10.3. простите за глупый вопрос, а если он входит в комплект, это значит, что он запускается автоматически?
Лог:
Scan saved at 2:07:29, on 27.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\VDOTool\TBPanel.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\LClock\LClock.exe
C:\program files\VolumeControl\volume.exe
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Program Files\Download Master\dmaster.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\r_server.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\utorrent.exe
C:\Program Files\Flock\flock.exe
C:\WINDOWS\explorer.exe
C:\Program Files\avz4\avz4\avz.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\HiJackThis\HijackThis.exe

TIMEKILLER "вести Event Log" отметила, а "вести протокол надо"? и еще один вопрос, если можно: "ASK USER PERMISSION" - это он уменя будет спрашивать,когда кто-то попытается ко мне подсоединиться?

techsupport простите, меня не было дома все это время.


зы: решила проверить комп AVZ, и вот что он нашел: C:\WINDOWS\System32\r_server.exe - программа прослушивает опасный порт № TCP - Remote Admin - подозрение эвристического анализа.

"вести Event Log" отметила, а "вести протокол надо"? - не существенно
и еще один вопрос, если можно: "ASK USER PERMISSION" - это он уменя будет спрашивать,когда кто-то попытается ко мне подсоединиться? - YES

ага, Zver CD v.7.10.3. простите за глупый вопрос, а если он входит в комплект, это значит, что он запускается автоматически?

Да, именно так. Во всех сборках Windows Zver CD открыт доступ через Radmin Viewer по дефолтному порту с паролем 12345678.
virusnet.info/forum/showthread.php?t=2401
www.google.ru/search?q=radmin+zvercd

Журнал HijackThis у тебя выложен не полностью, но он уже не нужен — и так всё ясно.

Варианта решения проблемы два - переустановить винду на нормальную MSDN или как временное решение устновить фаерволл и принудительно закрыть данный порт

ну ещё радмин удалить можно вообще-то...
вообще, там скорее всего файрволл уже блокирует все входящие подключения, в т.ч. радминовские

velve, файрволл ("брандмауэр windows") ведь включен?

TIMEKILLER спасибо )

Enkryptor о, ясно... спасибо ) можно еще пару вопросов?
я так поняла, что порт этот лучше заблокировать в любом случае. это надо в сетевом экране каспера выбрать "правила для пакетов" и в новом правиле запретить все входящие и исходящие TCP соединения, а в графе "локальный порт" прописать 4899?
и еще одна проблема - Remote Administrator у меня отказывается удаляться. в "установке и удалении программ" его нет, а если в его собственном меню выбираю деинсталляцию, он говорит, что она успешно завершена, а сам работает, как работал. погуглила - советуют отключить процесс в диспетчере задач и удалить папку, или через Uninstall Tool, но потом надо почистить реестр, а я этого делать не умею ( или это необязательно?

блин, не заметила, что не все скопировала (

файерволл выключен, насколько я помню мне его товарищ, собиравший мне комп, специально выключенным оставил, зачем - не знаю. но, судя по всему, лучше включить, да?

Сэр Дьявол как только будет время - переустановлю сразу же. просто я никогда еще сама винду не переустанавливала, надо немного свободного времени, чтобы разобраться )

Чтобы ответить на твой вопрос, нужно знать, какой файрволл у тебя установен. "Каспер" это что? (напиши полное название продукта, например "Kaspersky Internet Security 2010")

Enkryptor файрволл - брандмауэр Windows, Каспер - Kaspersky Internet Security 7.0

В комплекте KIS 7 есть файрволл (если, конечно, он там у тебя не выключен). Давно уже кстати KIS 2009 и KIS 2010, семёрку не продают уже.

KIS 2010 в бете, и глючный, лучше пока не ставить

Enkryptor это "Сетевой экран", да? у меня там стоит "минимальная защита". и, собственно, там я и пыталась проделать вот это:
это надо в сетевом экране каспера выбрать "правила для пакетов" и в новом правиле запретить все входящие и исходящие TCP соединения, а в графе "локальный порт" прописать 4899

значит, надо будет обновиться... мне седьмой в прошлом году тот самый товарищ ставил, говорил, что это самая надежная из версий.

velve, в каком смысле "самая надёжная"? не падает? или лучше всех других ловит вирусы? менее уязвима? если второе или третье, то такое мнение более чем странно; см. предпоследнюю строчку эпиграфа

KIS 2010 в бете, и глючный

Сэр Дьявол, это не так, стабильный KIS 2010 (билд 9.0.0.463) давно продаётся в западных странах
в России продажи задерживались по инициативе отдела маркетинга (уж не знаю, зачем)
www.kaspersky.com/kis_latest_versions

Enkryptor, на русскоязычном сайте он тоже имеется, Вопрос в том, что когда сей продукт числился в форуме в стадии беты (причем эта же сборка) у нее был один очень неприятный глюк, портивший все желание иметь с ней дело. При использовании быстрого переключение пользователей под управлением win xp, происходит тотальное зависание (есть карртинка рабочего стола и все), ни ДЗ, ни AntiFreeze, не отвечают на запросы. Для меня это крайне критично. Собственно я писал об этом на форуме, но видимо на меня не обратили внимания.