# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  "Trojan.Radmin.13" по классификации Dr.WEB'а. Нужна информация.

## h00ch

В последние 2 недели ко мне стали обращаться пользователи с зараженными флэшками. NOD и Kaspersky в упор не видят вируса. CureIt! от Dr.WEB'а вирус находит и классифицирует его название как "Trojan.Radmin.13". Точно знаю, что заражен по крайней мере 1 ПК, с которого вирус и тиражирует себя на флэшки.

В кратце известные мне действия вируса:
все существующие на флэшках папки (пустые или содержащие файлы) удаляются вместе с содержимым и создаются исполняемые файлы (тело вируса) с именами удаленных папок, расширением "ехе" и значком папки. Соответственно пользователь пытается открыть как бы свою папку и визуально ничего не просходит, но происходит заражение ПК.

Информации по данной модификации вируса в интернете я не нашел. Посему обращаюсь за помощью в поиске информации. Буду благодарен за ссылки, рекомендации по выявлению и лечению этой "заразы".

P.S. Если понадобиться, могу приложить файл вируса.

Спасибо!

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

Необходлимо с любого зараженного ПК выполнить все правила раздела "помогите" и создать там тему с логами, тогда можно сказать что-то определенное

----------


## h00ch

В том и проблема - как выявить зараженный ПК - их 100 с лишним. Есть один кандидат. Создам тему в разделе "Помогите". Но эта тема остается открытой - нужна информация.

----------


## Alexey P.

А он наверно не один зараженный, пользователь-то не один к Вам обращается. Вставляйте флешку и смотрите её, к примеру, FAR-ом. Как файл трояна появится - вот и зараженный.

----------


## h00ch

Проблематично обегать все 108 пк с флэшкой. Ладно, что-нибудь придумаем.

----------


## Зайцев Олег

> Проблематично обегать все 108 пк с флэшкой. Ладно, что-нибудь придумаем.


Компьютеры в домене ? Если да, то их можно обегать за 10 минут ...

----------


## h00ch

Компьютеры не в домене. К тому же они находятся в разных концах города.
Нашел информацию на вирусню со схожими симптомами. Буду пробовать.

----------


## Hong

> В последние 2 недели ко мне стали обращаться пользователи с зараженными флэшками. NOD и Kaspersky в упор не видят вируса. CureIt! от Dr.WEB'а вирус находит и классифицирует его название как "Trojan.Radmin.13". Точно знаю, что заражен по крайней мере 1 ПК, с которого вирус и тиражирует себя на флэшки.
> 
> В кратце известные мне действия вируса:
> все существующие на флэшках папки (пустые или содержащие файлы) удаляются вместе с содержимым и создаются исполняемые файлы (тело вируса) с именами удаленных папок, расширением "ехе" и значком папки. Соответственно пользователь пытается открыть как бы свою папку и визуально ничего не просходит, но происходит заражение ПК.


Столкнулся с такой же заразой. Dr.Web определяет файлы "%имя папки%.exe" как "Trojan.Radmin.13". Каспер и нод - не видят вообще.
Причем информация с флэшек никуда не пропадает. На флэшках создается каталог с именем ".." (две точки). Там и находятся все папки со всем содержимым. Это возможно только на носителях с файловой системой FAT (обычно флэшки в нее и отформатированы). Лечить вирус пока не пробовал. А папки с содержимым можно выдернуть, используя например UFS Explorer Professional Recovery.
Удачи..

----------


## Hong

Загрузится с LiveCD и полечить CureIt -ом.
--
ОПИСАНИЕ:
Вирус создает на системном разделе HDD папку ".."? в которой находится файл services.exe (если ФС = FAT32). Если NTFS, то прямо в корне записывается файл ":services.exe" (в начале двоеточие). На флешках создается папка "..", в которую перекочевывают все папки вместе с содержимым. Стандартными средствами винды эти папки увидеть нельзя, равно как и файл ":services.exe". В реестре создаются 3 или 4 записи, где прописан автозапуск вышеуказанного файла.
--

----------


## h00ch

*Hong* Спасибо за информацию.
Кажется в "Касперский" начинают чесаться http://forum.kaspersky.com/index.php...ic=171735&st=0. Отправил *.ехе файлы ESET. Обещали скоро ответить. Dr.WEB и так их детектирует. Но официальной информации по-прежнему катастрофически мало.

Аха! ESET, включив в "Сканирование ПК по требованию"->"Сканирование контекстного меню"->"Методы"->"Потенциально опасное ПО", ESET определяет вирус как "stara.exe - модифицированный Win32/RemoteAdmin потенциально опасная программа". Беда в том, что при включении этой опции ESET начинает срабатывать на некоторые безобидные программы.

----------


## ALEX(XX)

> Беда в том, что при включении этой опции ESET начинает срабатывать на некоторые безобидные программы.


Добавляйте их в исключения

----------


## h00ch

Вот что мне ответили на форуме NOD'а:



> В следующем обновлении внесут а базу как
> 
> stara.exe - Win32/RemoteAdmin.RAdmin.20 potentially unsafe application
> zalio.exe - Win32/RemoteAdmin.RAdmin.20 potentially unsafe application
> 
> Тоесть ловится будет только если включить в ноде(везде!) детектирование потенциально опасное ПО


Будем ждать следующего обновления.

----------


## h00ch

Как вытащить папки с содержимым, которые были заменены *.ехе'шными файлами вируса? Другими словами, как попасть в эту самую папку ".." на флешке?

----------


## pig

По короткому имени. Можно её даже переименовать во что-то более вменяемое.
Смотрите справку по DOS-команде DIR.

----------


## h00ch

Спасибо, попробую. А пока воспользовался программой, которую посоветовали выше UFS Explorer.

----------


## aispam

у меня на двух флэшках короткое имя было одинаковым 
E2E2~1 
переименовал его командой 
ren E2E2~1 WORK
где work новая папка где будут лежать помещенные туда файлы

----------

