Как защититься от Radmina?

[Vinni_incorp]

Люди!!!
Подскажите, как защититься от радмина!
У нас в сети он ну очень распространён...
Запихивают во все файлы (ехе), и ложат в папку C:/windows/system32/Explorer.exe, как системный файл... я его вижу, когда он выдаёт справку о том, как запускать его из командной строки.
Проблема не в том, чтоб его удалить, проблема в том, чтоб как-то навсегда его ограничить навсегда (он использует своё порт, какой назначит хозяин, и имя файла с расположением может меняться...)
Есть какие-то программы, позволяющие находить его где угодно?

[miLord Corwin]

Ответ до ужаса банален... Большинство антивирусов "палят" его как вирус... Просто дай антивию (если он есть) сделать своё дело... Есть еще пара вариантов, но ты сначала опиши ситуацию подробнее (какие права есть у твоего пользователя, какая версия RAdmin).

[Paxa1]

он вроде как в реестре хранит инфу про себя, можно установить его и запустить r_server /setup, потом поставить пароль и ограинчения по IP, ну и лог включить в файл.

[Deementor]

Vinni_incorp, Такой файрвол как Outpost, да в принципе как и любой другой, проверяет файл и его права доступа не по его названию, а по его содержимому ))), так что добавь Radmin.exe в карантин и все будет хорошо.

[Vinni_incorp]

у меня стоит каспер-антивир и керио-фаирвол
они его не палят!
Как можно добавить его (радмин) в базу...?
и ещё лажа в том, что он старой версии и возле часов не отображается... + каждый может настроить его на определённый порт, назвать как захочит (Explorer.exe), и кинуть куда хотит.
а запускать несколько радминов помоему можно....
получается если я запущу свой, это не помешает работать чужому...

Скорее всего ответ в том, чтоб добавить его в базу плохих программ каспера или керио.... только как?

[miLord Corwin]

Мда... Грохни нафиг свой Керио (кстати, классный файр... был... до появления Agnitum Outpost Firewall PRO 4.0)...
Так вот, у Агнитума есть модуль Anti-SPYWare, который Радмина палит... А вот как с антивирем разобраться... DrWEB палит... Остальные тоже, по-моему...

[SeeD]

ставь оутпост и пароль на изменение параметров ... блокируй нафиг и никаких проблем.

[Deementor]

Цитата: Скорее всего ответ в том, чтоб добавить его в базу плохих программ каспера или керио.... только как?

Керио ни разу не видел даже, но думаю, что как у всех уважающих себя файроволов должен быть список разрешенных и запрещенных программ.
В Agnitum Outpost Firewall PRO это сделать можно так:
Параметры-Приложения Далее будут "Запрещенные приложения" "Пользовательский уровень" "Доверенные приложения". Выбираешь "Запрещенные приложения"-Добавить и ищешь Radmin.exe в папке радмина, далее рекомендую добавить все .exe из этой директории.
Не помешает заглянуть в настройку "Anti-Leak" там будет довольно таки примитивный интерфейс с вопросами о действии в тех или иных случаях. Но нас должна волновать вкладка "Исключения" вдруг там уже прописалась "ненужная" нам программа типа Radmin, так ее в срочном порядке необходимо удалить из этого списка. Также, для профилактики, выбрав любой .exe внизу мы увидим описание действий, если стоит "наследовать", то необходимо внимательно посмотреть, на что стоит наследование действия. Например: у меня стоит наследование в программе Cain.exe /модуль программы Cain&Abel/ на "критические значения реестра" это было бы плохо, если программа была бы мне плохо знакома, данный вид наследования предполагает, что все критические значения, которые вносит программа в реестр, файрволом воспринимается как "Так оно и должно быть" и если у меня Cain подцепит /целенаправлено заразят/ троян, который не палится, и тот внесет изменения в реестр, файрвол схавает эти изменения, даже не пикнув.
Также не помешает заглянуть и в "Компоненты". Настроив под себя уровень безопасности. У меня стоит на максимуме, дабы я был всегда в курсе, что у меня обновляется, что запрашивает второстепенный доступ в сеть, и что собирается сделать программа в сети.

[Vinni_incorp]

вобщем, я понял, что надо делать - снести керио и каспера, и поставить оутпост и др.веб.
Но спрашивал я не о том, как занести канкретный файл в список исключений, а как найти его в системе не по названию файла, не по порту, а по содержимому.
Вообщем, я понял, спасибо за советы!
Премного благодарен.

[czukowski]

Vinni_incorp, если еще интересно, его палит Symantec Antivirus и автоматом кидает в карантин, на себе знаю (у меня правда ситуация другая была - я его сам ставил )

[DCRM]

Ещё есть идейка... если там версия серва 2.x и нужно что либо сделать не очень сложное, то в режиме DoS экран у админа просто чёрный) ещё по школе помню... cmd+alt-enter... хехе)
Так же отследить все действия проги(ам) помогут нам утилиты от дядюшки Бллла: >>ТуТ<< + >>ТуТ<< + >>ТуТ<<
P.S. Сносить вредный файл можно >>ЭтиМ<<

[zloysobaka]

Vinni_incorp, а тебе что етот файл скидывают на комп ?

[Vinni_incorp]

Цитата: Сообщение от zloysobaka Vinni_incorp, а тебе что етот файл скидывают на комп ?

Его впиховают во все (новинки) программы в сети...

[hickname]

Надо просто качать из проверенных источнегов файлы, и не будет никаких проблем.
Или можно еще сделать так:
Заходим Панель Управления->Администрирование->Службы и там отключаем Radmin нафиг. Теперь он не сможет запускматься автоматичсески.

[Bear_Kz]

У него может быть доменная политика (у нас в конторе сие практикуют)
Идея вот в чем:
1. Ты логинишся и RadMin ставится и запускается автоматом - спасения нет ИМХО! (если ты не админ или "приближенный")
2. Symantec его дейчтвительно давит! А вот если symantec корпоративный - опять политика.
3. если домен есть - смотри 1 и 2

Мы лечили это - админ+пиво=отсутствие политики домена на наших компах!

Насчет -

Цитата: Сообщение от hickname Надо просто качать из проверенных источнегов файлы, и не будет никаких проблем. Или можно еще сделать так: Заходим Панель Управления->Администрирование->Службы и там отключаем Radmin нафиг. Теперь он не сможет запускматься автоматичсески.

Как, где и что можно скачать чтобы тебе взвесили Radmina хотябы 1 раз?
Отключить в сервисе? ххххм Доброй охоты маугли...
Речь явно идет о домене и нифига ты с этим не поделаешь, пока этого админ не захочет.
Отключи его в сервисах и при первом логине получешь опять включение - автомат, прежний пароль radmina!
Вывод один - будь на короткой ноге с админом (целовать его в ... никто не заставляет) просто все разводится...

з.ы.
Если нечего скрывать - radmina бояться нечего!