Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Нужна информация по исполн. файлу, кот. мне прислали по почте, в виде, типа, скриншота [not-a-virus:RemoteAdmin.Win32.RMS.r ] (заявка № 135628)

  1. #1
    Junior Member Репутация
    Регистрация
    06.01.2011
    Сообщений
    12
    Вес репутации
    26

    Нужна информация по исполн. файлу, кот. мне прислали по почте, в виде, типа, скриншота [not-a-virus:RemoteAdmin.Win32.RMS.r ]

    Цель, соб-сно, выяснить ктО и чего хотел, послав мне этот файл. Сам файл в архиве 7z. При распаковке получается .scr
    Что он делает. Создает на локальном диске папку, помещает туда картинку, открывает ее. Картинка уже становится нормальной .jpg Но...
    Вот результат проверки доктор вебом он лайн этого файла: http://online1.drweb.com/cache/?i=bf...4d9d3b39276084
    В C:\Windows\SysWOW64 так же появляется файл ripcserver.dll. CureIt его опознает как Program.RemoteAdmin.569,
    CureIt.jpg

    что гуглится, вроде, как файл Радмина.
    Может он еще чего создает, чего я не нашел с пом. Dr. Weba и NIS2010, последний, кстати ничего не находит.
    На моем компе наблюдалось самостоятельное движение мыши, кто-то нажимал Пуск-Мой компьютер-Панель управления и т.д. и, со слов ребенка, чего-то там отключил.
    Сам файл могу прислать, я его еще не удалил, все равно систему сносить, хотелось бы разобраться с этими "товарищами".
    Логи ниже будут. Только один. AVZ не делал, так как Win x64
    hijackthis.log
    Последний раз редактировалось rprman; 22.03.2013 в 01:30.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,461
    Вес репутации
    342
    Уважаемый(ая) rprman, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    1) запакуйте сам файл (не архив 7z) а сам .scr в в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
    2) Радмин - это утилита для удалённого управления, в гугле есть полная информация о нём.

  5. #4
    Junior Member Репутация
    Регистрация
    06.01.2011
    Сообщений
    12
    Вес репутации
    26
    Посмотрел свой лог и нашел вот это:
    TektonIT - R-Server (RManService).
    Здесь же на форуме что-то похожее описано. У себя эту службу остановил. Реестр почистил. Все ли на этом?

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    rprman, если хотите заниматься и дальше заниматься самолечением тема будет закрыта !
    Хотите чтобы вам помогли сделайте логи по правилам раздела.

  7. #6
    Junior Member Репутация
    Регистрация
    06.01.2011
    Сообщений
    12
    Вес репутации
    26
    Ок, не буду лечить.
    А лог один только, по правилам: "Если у Вас 64-разрядная или серверная операционная система, выполнять п.1 данного раздела не следует. Переходите сразу к п.2."

  8. #7

  9. #8
    Junior Member Репутация
    Регистрация
    06.01.2011
    Сообщений
    12
    Вес репутации
    26

  10. #9

  11. #10
    Junior Member Репутация
    Регистрация
    06.01.2011
    Сообщений
    12
    Вес репутации
    26
    MBAM-log-2013-03-23 (03-20-57).txt
    Под конец MBAM блокировал и отправил в карантин
    C:\Windows\SysWOW64\explolerte.exe (Trojan.Agent)

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Код:
    C:\Windows\System32\explolerte.exe
    C:\Windows\SysWOW64\explolerte.exe
    Пришлите в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

  13. #12
    Junior Member Репутация
    Регистрация
    06.01.2011
    Сообщений
    12
    Вес репутации
    26
    Они удалились. Сначала один (32) затем другой. Пришлось заново запустить Реквизиты ЛК .scr. Файлов в AVZ не нашел. Поэтому скопировал один из них (64) в другую папку упаковал в zip с паролем virus. Заодно присылаю еще один файл folder.scr, который то же появляется при запуске Реквизиты ЛК .scr . Вот, еще скрины Нортона.
    NortonFileInsight.jpgNortonFileInsight-01.jpgNortonFileInsight-02.jpgNortonFileInsight-03.jpg

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Цитата Сообщение от rprman Посмотреть сообщение
    Пришлось заново запустить Реквизиты ЛК .scr
    сделайте заново логи
    AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log + MBAM чтобы видеть актуальную картину.

    - - - Добавлено - - -

    explolerte.exe - детектируется как not-a-virus:RemoteAdmin.Win32.RMS.r
    folder.scr - DrWEB 6.0=Зловред Trojan.Winlock.7879

  15. #14
    Junior Member Репутация
    Регистрация
    06.01.2011
    Сообщений
    12
    Вес репутации
    26
    Главное, что мне хотелось бы знать (далеко не безвозмездно) куда, кому это разрешено? Можно в личку.
    avz.jpg

    - - - Добавлено - - -

    Ок. Давайте так. Я отключаю все антивирусы, активирую вирус и запускаю все выше перечисленные программы, так?

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Цитата Сообщение от rprman Посмотреть сообщение
    активирую вирус
    я не понял, какая у вас цель ? вылечиться или ? ... если вылечить всю заразу, то зачем вы хотите в очередной раз себя заразить.

    Цитата Сообщение от rprman Посмотреть сообщение
    куда, кому это разрешено?
    ни к кому-то конкретно, а просто что в системе есть такая возможность. Если вы этого не хотите, то могу отключить скриптом.

  17. #16
    Junior Member Репутация
    Регистрация
    06.01.2011
    Сообщений
    12
    Вес репутации
    26
    Цель - вычислить человека, отследить (ip или еще как), кому предоставляется доступ этим файлом. А систему я буду сносить, менять пароли и т. д. - это однозначно.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Цитата Сообщение от rprman Посмотреть сообщение
    Цель - вычислить человека, отследить (ip или еще как)
    в этом я не могу вам помочь, а вычистить следы от этой заразы, чтобы не пришлось переставлять систему могу помочь. Но если вы уже приняли решение ... Единственное, что могу посоветовать если у вас достачно знаний это отснифить трафик, куда он идёт ... но это всё самостоятельно и к разделу лечения отношения не имеет.


    Цитата Сообщение от rprman Посмотреть сообщение
    Главное, что мне хотелось бы знать (далеко не безвозмездно) куда, кому это разрешено?
    чтобы изменить на запрещено (можете даже на новой системе после того как переставите ибо по умолчанию разрешено) выполните скрипт в AVZ

    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RebootWindows(false);
    end.
    компьютер перезагрузится.

    - - - Добавлено - - -

    + для анализа активности файла, можете воспользоваться этим сервисом http://anubis.iseclab.org/

  19. #18
    Junior Member Репутация
    Регистрация
    06.01.2011
    Сообщений
    12
    Вес репутации
    26
    Знаний и времени действительно не достаточно. Тем не менее спасибо за участие, всегда полезно с вами общаться.
    5$ отправил.

  20. #19
    Junior Member Репутация
    Регистрация
    06.01.2011
    Сообщений
    12
    Вес репутации
    26
    Черт, эта хрень не удалилась. Она создает свои файлы в других местах. Я полагаю, это руткит.
    В общем, у меня две ОС, три винта: на первом стоит ХР, второй разбит на два раздела, на первом из которых стоит вторая ось Win7x64, третий диск целиком архивный, просто диск для хранения. Я снес Win7x64, ХР не трогал (мне его нельзя форматировать, так как у меня купленные некоторые технические программы привязаны к этому диску (MBR или еще к чему, но после форматирования авторизация слетает и приходиться обращаться вновь за паролями, а это не бесплатно).
    Проверил комп Cure It - ом, и он опять мне все эти файлы нашел, но уже в других местах. Закрадывается мысль, а не проверить ли (перепрошить) мне еще и БИОС. Понимаю, что эта зараза пролазит во все загрузочные сектора всего, что к компу подключено, что переустановив только одну ось, я эту заразу не вывел. Но больно не хочется трогать ХР, диск допускается почистить, не форматировав его (правда, не знаю кАк, тупо все удалить через, например, ERD командер?)
    Сейчас сканирую весь комп (с ХР) gmer-ом, затем прогоню доктором, нортон вообще ничего по этому вопросу не видит, а завтра...
    Я прошу помощи с завтрашнего дня, комп этот больше трогать не буду, второй есть для интернета (чистый вроде), и, если вы согласитесь мне помочь, буду как солдат выполнять все ваши команды.

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    в биос она пролезть не может, а по остальному я уже писал выше если хотите, чтобы помогли вылечить сделайте логи согласно правилам (если что ещё успели самостоятельно позапускать тоже прикрепите логи). Если по ходу лечения будете повторно запускать вирус, то понятно и смысла в лечение нет .

  • Уважаемый(ая) rprman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Нужна информация об Trojan.Win32.Delf.mng
      От ademant в разделе Описания вредоносных программ
      Ответов: 1
      Последнее сообщение: 30.05.2009, 14:43
    2. вирусы файлф типа wind32.exe, w32sys4, w32sys2 и т.д
      От AMD в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 05:44
    3. Ответов: 2
      Последнее сообщение: 04.02.2009, 21:04

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01026 seconds with 17 queries