Нужна информация по исполн. файлу, кот. мне прислали по почте, в виде, типа, скриншота [not-a-virus:RemoteAdmin.Win32.RMS.r ]

[rprman]

Цель, соб-сно, выяснить ктО и чего хотел, послав мне этот файл. Сам файл в архиве 7z. При распаковке получается .scr
Что он делает. Создает на локальном диске папку, помещает туда картинку, открывает ее. Картинка уже становится нормальной .jpg Но...
Вот результат проверки доктор вебом он лайн этого файла: http://online1.drweb.com/cache/?i=bf...4d9d3b39276084
В C:\Windows\SysWOW64 так же появляется файл ripcserver.dll. CureIt его опознает как Program.RemoteAdmin.569,
CureIt.jpg

что гуглится, вроде, как файл Радмина.
Может он еще чего создает, чего я не нашел с пом. Dr. Weba и NIS2010, последний, кстати ничего не находит.
На моем компе наблюдалось самостоятельное движение мыши, кто-то нажимал Пуск-Мой компьютер-Панель управления и т.д. и, со слов ребенка, чего-то там отключил.
Сам файл могу прислать, я его еще не удалил, все равно систему сносить, хотелось бы разобраться с этими "товарищами".
Логи ниже будут. Только один. AVZ не делал, так как Win x64
hijackthis.log

[Info_bot]

Уважаемый(ая) rprman, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

1) запакуйте сам файл (не архив 7z) а сам .scr в в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
2) Радмин - это утилита для удалённого управления, в гугле есть полная информация о нём.

[rprman]

Посмотрел свой лог и нашел вот это:
TektonIT - R-Server (RManService).
Здесь же на форуме что-то похожее описано. У себя эту службу остановил. Реестр почистил. Все ли на этом?

[regist]

rprman, если хотите заниматься и дальше заниматься самолечением тема будет закрыта !
Хотите чтобы вам помогли сделайте логи по правилам раздела.

[rprman]

Ок, не буду лечить.
А лог один только, по правилам: "Если у Вас 64-разрядная или серверная операционная система, выполнять п.1 данного раздела не следует. Переходите сразу к п.2."

[regist]

два: AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log

[rprman]

hijackthis.log
virusinfo_syscheck.zip

Готово.

[regist]

- Сделайте лог полного сканирования МВАМ.

[rprman]

MBAM-log-2013-03-23 (03-20-57).txt
Под конец MBAM блокировал и отправил в карантин
C:\Windows\SysWOW64\explolerte.exe (Trojan.Agent)

[regist]

Код:

C:\Windows\System32\explolerte.exe
C:\Windows\SysWOW64\explolerte.exe

Пришлите в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

[rprman]

Они удалились. Сначала один (32) затем другой. Пришлось заново запустить Реквизиты ЛК .scr. Файлов в AVZ не нашел. Поэтому скопировал один из них (64) в другую папку упаковал в zip с паролем virus. Заодно присылаю еще один файл folder.scr, который то же появляется при запуске Реквизиты ЛК .scr . Вот, еще скрины Нортона.
NortonFileInsight.jpgNortonFileInsight-01.jpgNortonFileInsight-02.jpgNortonFileInsight-03.jpg

[regist]

Пришлось заново запустить Реквизиты ЛК .scr

сделайте заново логи
AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log + MBAM чтобы видеть актуальную картину.

- - - Добавлено - - -

explolerte.exe - детектируется как not-a-virus:RemoteAdmin.Win32.RMS.r
folder.scr - DrWEB 6.0=Зловред Trojan.Winlock.7879

[rprman]

Главное, что мне хотелось бы знать (далеко не безвозмездно) куда, кому это разрешено? Можно в личку.
avz.jpg

- - - Добавлено - - -

Ок. Давайте так. Я отключаю все антивирусы, активирую вирус и запускаю все выше перечисленные программы, так?

[regist]

активирую вирус

я не понял, какая у вас цель ? вылечиться или ? ... если вылечить всю заразу, то зачем вы хотите в очередной раз себя заразить.

куда, кому это разрешено?

ни к кому-то конкретно, а просто что в системе есть такая возможность. Если вы этого не хотите, то могу отключить скриптом.

[rprman]

Цель - вычислить человека, отследить (ip или еще как), кому предоставляется доступ этим файлом. А систему я буду сносить, менять пароли и т. д. - это однозначно.

[regist]

Цель - вычислить человека, отследить (ip или еще как)

в этом я не могу вам помочь, а вычистить следы от этой заразы, чтобы не пришлось переставлять систему могу помочь. Но если вы уже приняли решение ... Единственное, что могу посоветовать если у вас достачно знаний это отснифить трафик, куда он идёт ... но это всё самостоятельно и к разделу лечения отношения не имеет.

Главное, что мне хотелось бы знать (далеко не безвозмездно) куда, кому это разрешено?

чтобы изменить на запрещено (можете даже на новой системе после того как переставите ибо по умолчанию разрешено) выполните скрипт в AVZ

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RebootWindows(false);
end.

компьютер перезагрузится.

- - - Добавлено - - -

+ для анализа активности файла, можете воспользоваться этим сервисом http://anubis.iseclab.org/

[rprman]

Знаний и времени действительно не достаточно. Тем не менее спасибо за участие, всегда полезно с вами общаться.
5$ отправил.

[rprman]

Черт, эта хрень не удалилась. Она создает свои файлы в других местах. Я полагаю, это руткит.
В общем, у меня две ОС, три винта: на первом стоит ХР, второй разбит на два раздела, на первом из которых стоит вторая ось Win7x64, третий диск целиком архивный, просто диск для хранения. Я снес Win7x64, ХР не трогал (мне его нельзя форматировать, так как у меня купленные некоторые технические программы привязаны к этому диску (MBR или еще к чему, но после форматирования авторизация слетает и приходиться обращаться вновь за паролями, а это не бесплатно).
Проверил комп Cure It - ом, и он опять мне все эти файлы нашел, но уже в других местах. Закрадывается мысль, а не проверить ли (перепрошить) мне еще и БИОС. Понимаю, что эта зараза пролазит во все загрузочные сектора всего, что к компу подключено, что переустановив только одну ось, я эту заразу не вывел. Но больно не хочется трогать ХР, диск допускается почистить, не форматировав его (правда, не знаю кАк, тупо все удалить через, например, ERD командер?)
Сейчас сканирую весь комп (с ХР) gmer-ом, затем прогоню доктором, нортон вообще ничего по этому вопросу не видит, а завтра...
Я прошу помощи с завтрашнего дня, комп этот больше трогать не буду, второй есть для интернета (чистый вроде), и, если вы согласитесь мне помочь, буду как солдат выполнять все ваши команды.

[regist]

в биос она пролезть не может, а по остальному я уже писал выше если хотите, чтобы помогли вылечить сделайте логи согласно правилам (если что ещё успели самостоятельно позапускать тоже прикрепите логи). Если по ходу лечения будете повторно запускать вирус, то понятно и смысла в лечение нет .