program.remoteadmin.205 Что за зверь ? #609580


#0 by raykom
Привет всем и с праздником. Прогонял Куритом сервер под 2008мым R2 В System Volume Information нашел файл A0005116.exe Куррит показывает его статус program.remoteadmin.205. Яндекс чего то вразумительного не сказал. Ясно только что троян. Но как попадает и как действует - не понял. Вот меня интересует вопрос. Что это за зверь и почему он сразу в System Volume Information оказался. А где его оригинал ?
#1 by Злопчинский
убивай нафиг!
#2 by raykom
Дак уже. Но аопросов это не снимает
#3 by raykom
для
#4 by andrewks
"и почему он сразу в System Volume Information оказался" потому, что его удалили "А где его оригинал ?" его удалили и это не троян, а прога для удалённого администрирования. т.е. это не вирус, не троян, это просто прога (возможно, действительно небезопасная), которая может быть использована злоумышленниками
#5 by Jump
Воообще папка System Volume Information предназначена для хранения бэкапов, точек отката системы. Бэкапы делаются по мере изменений, т.е если ты изменишь или удалишь файл который система считает важным, то он автоматом забэкапиться в System Volume Information, чтобы ты мог впоследствии откатить систему.
#6 by raykom
Понятно что для удаленного управления Remoteadmin если. И удалил его кто ? Куррит показал только дубль в System Volume Information Больше вообще ничего не нашел. Так где оригинал то ? Я его не удалял и куррит его не находил. Я знаю для чего эта папка. Отсюда и вопрос. Как эта пидерсия попала сразу туда. Где оригинал ? Почему куррит ничего не нашел.
#7 by Aleksey
Писатель?
#8 by raykom
Читатель ?
#9 by Jump
Невнимательно читаешь. Наличие какого-либо файла в этой папке, означает что оригинал был удален или изменен. Понимаешь? Если бы ты не удалил этот файл он бы не попал в эту папку, а если он попал в эту папку, то логично сделать вывод что оригинал удален.
Тэги: Админ
Ответить:
Комментарии доступны только авторизированным пользователям

В этой группе 1С