Здравствуйте!Проблема заключается в следующем:Вчера переустановил Comodo Firewall сегодня включаю комп и Comodo ругнулся на файл rutserv.exe начал искать его и нашел на C:\Users\Константин\AppData\Local\Temp штук 20(файлы установлены 25.08.2011г.).Погуглил Я и выяснилось что это программа Remote Manipulator System(для удаленного администрирования компьютеров) но я такую не устанавливал.Зашел в Службы действительно запущена такая служба TektonIT-R-Server.У меня стоит антивирус Avira AntiVir Premium 10.0.0.132 и Comodo Firewall 5.5.195786.1383 при сканировании ничего не находят.Вышел на какой то хакерский форум и там вычитал что прога(скрытую сборку Remote Manipulator System)http://ns1.xaknet.ru/thread20202.html? для шпионства,вирусами и Firewallами не распазнается как опасная.Хотелась бы прежде чтолибо предпринимать посоветоваться с Вами как лучше мне поступить и что сделать и действительно я правильно понял что запустилась она с какой либо установленной мной программой.И стоит ли мне это все удолять(если да то как полностью удолить)<br>Помогите если можете!
P.S.Проверка AVZ длилась 3 часа и встала на 99% и замерла.
Последний раз редактировалось Константи; 02.09.2011 в 12:20.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Щас попробую!
А что с этой службой TektonIT-R-Server делать?
Не сталкивались с этой прогой Remote Manipulator System?
Мне интересно как она ко мне попала
Все запустил!
В том то и дело что понятия не имею откуда она взялась!
А выше если пройдете по ссылке так там вообще инструкция как этой прогой:
Вот кусок от туда
1. Полностью скрытая установка (экран не моргает в отличии от Радмина)
2. После запуска установщик самоудаляется.
3. Все файлы сборки скрыты/системны, жертве будет сложнее что-то заметить
4. Все сохраненные пароли компьютера отправляются к Вам на почту (а именно от Mozilla/Opera/IE/Chrome и много много чего другого, впредь до клиента от PokerStars). Мы будем использовать программу Multi Password Recovery v.1.2.5 (новая v.1.2.6 сильно палится).
5. Вам на почту дополнительно отправляется IP, но он нам не понадобится скорее всего, так как мы будем использовать Internet-ID(для обхода NAT - неизвестно что там у "жертвы")
6. Вес будет ~2,8мб, но я обычно создаю даунлоадер ~500кб (скачивает Вашу сборку с сервера, устанавливает, и самоудаляется)
7. Не палится никакими антивирусами (раньше ругался на него Касперский, теперь удалили из баз. Также Антивирусы могут кричать на Multi Pass Recovery, я использовал версию 1.2.5, отличий от 1.2.6 почти нет, но палится гораздо меньше)
Вот я по этому здесь Тему и открыл!
Добавлено через 1 час 47 минут
Ладно все разобрался!Может кому пригодится:
1.Вначале остоновил сервис TektonIT R-Server
пуск>выполнить>services.msc выключить TektonIT R-Server
2.В реестре на ветках
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es
удолить папки RManService и перезагрузиться
Потом через поиск найти остатки-файлы rutserv.exe и удолить
P.SюНу и почистить прогой(наподобие CCleaner) реестр.
Шпионы всегда где-то рядом
Последний раз редактировалось Константи; 02.09.2011 в 21:05.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от миднайт
