Люди!!!
Подскажите, как защититься от радмина!
У нас в сети он ну очень распространён...
Запихивают во все файлы (ехе), и ложат в папку C:/windows/system32/Explorer.exe, как системный файл... я его вижу, когда он выдаёт справку о том, как запускать его из командной строки.
Проблема не в том, чтоб его удалить, проблема в том, чтоб как-то навсегда его ограничить навсегда (он использует своё порт, какой назначит хозяин, и имя файла с расположением может меняться...)
Есть какие-то программы, позволяющие находить его где угодно?
:sos:

Ответ до ужаса банален... Большинство антивирусов "палят" его как вирус... Просто дай антивию (если он есть) сделать своё дело... Есть еще пара вариантов, но ты сначала опиши ситуацию подробнее (какие права есть у твоего пользователя, какая версия RAdmin).

он вроде как в реестре хранит инфу про себя, можно установить его и запустить r_server /setup, потом поставить пароль и ограинчения по IP, ну и лог включить в файл.

Vinni_incorp, Такой файрвол как Outpost, да в принципе как и любой другой, проверяет файл и его права доступа не по его названию, а по его содержимому ))), так что добавь Radmin.exe в карантин и все будет хорошо.

у меня стоит каспер-антивир и керио-фаирвол
они его не палят!
Как можно добавить его (радмин) в базу...?
и ещё лажа в том, что он старой версии и возле часов не отображается... + каждый может настроить его на определённый порт, назвать как захочит (Explorer.exe), и кинуть куда хотит.
а запускать несколько радминов помоему можно....
получается если я запущу свой, это не помешает работать чужому...

Скорее всего ответ в том, чтоб добавить его в базу плохих программ каспера или керио.... только как?

Мда... Грохни нафиг свой Керио (кстати, классный файр... был... до появления Agnitum Outpost Firewall PRO 4.0)...
Так вот, у Агнитума есть модуль Anti-SPYWare, который Радмина палит... А вот как с антивирем разобраться... DrWEB палит... Остальные тоже, по-моему...

ставь оутпост и пароль на изменение параметров ... блокируй нафиг и никаких проблем.

Скорее всего ответ в том, чтоб добавить его в базу плохих программ каспера или керио.... только как?
Керио ни разу не видел даже, но думаю, что как у всех уважающих себя файроволов должен быть список разрешенных и запрещенных программ.
В Agnitum Outpost Firewall PRO это сделать можно так:
Параметры-Приложения Далее будут "Запрещенные приложения" "Пользовательский уровень" "Доверенные приложения". Выбираешь "Запрещенные приложения"-Добавить и ищешь Radmin.exe в папке радмина, далее рекомендую добавить все .exe из этой директории.
Не помешает заглянуть в настройку "Anti-Leak" там будет довольно таки примитивный интерфейс с вопросами о действии в тех или иных случаях. Но нас должна волновать вкладка "Исключения" вдруг там уже прописалась "ненужная" нам программа типа Radmin, так ее в срочном порядке необходимо удалить из этого списка. Также, для профилактики, выбрав любой .exe внизу мы увидим описание действий, если стоит "наследовать", то необходимо внимательно посмотреть, на что стоит наследование действия. Например: у меня стоит наследование в программе Cain.exe /модуль программы Cain&Abel/ на "критические значения реестра" это было бы плохо, если программа была бы мне плохо знакома, данный вид наследования предполагает, что все критические значения, которые вносит программа в реестр, файрволом воспринимается как "Так оно и должно быть" и если у меня Cain подцепит /целенаправлено заразят/ троян, который не палится, и тот внесет изменения в реестр, файрвол схавает эти изменения, даже не пикнув.
Также не помешает заглянуть и в "Компоненты". Настроив под себя уровень безопасности. У меня стоит на максимуме, дабы я был всегда в курсе, что у меня обновляется, что запрашивает второстепенный доступ в сеть, и что собирается сделать программа в сети.

вобщем, я понял, что надо делать - снести керио и каспера, и поставить оутпост и др.веб.
Но спрашивал я не о том, как занести канкретный файл в список исключений, а как найти его в системе не по названию файла, не по порту, а по содержимому.
Вообщем, я понял, спасибо за советы!
Премного благодарен.
:)

Vinni_incorp, если еще интересно, его палит Symantec Antivirus и автоматом кидает в карантин, на себе знаю (у меня правда ситуация другая была - я его сам ставил :))

Ещё есть идейка... если там версия серва 2.x и нужно что либо сделать не очень сложное, то в режиме DoS экран у админа просто чёрный) ещё по школе помню... cmd+alt-enter... хехе)
Так же отследить все действия проги(ам) помогут нам утилиты от дядюшки Бллла: >>ТуТ<< (http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/Regmon.mspx) + >>ТуТ<< (http://www.microsoft.com/technet/sysinternals/utilities/filemon.mspx) + >>ТуТ<< (http://www.microsoft.com/technet/sysinternals/utilities/processmonitor.mspx)
P.S. Сносить вредный файл можно >>ЭтиМ<< (http://ccollomb.free.fr/unlocker/unlocker1.8.5.exe)

Vinni_incorp, а тебе что етот файл скидывают на комп ?

Vinni_incorp, а тебе что етот файл скидывают на комп ?

Его впиховают во все (новинки) программы в сети...

Надо просто качать из проверенных источнегов файлы, и не будет никаких проблем.
Или можно еще сделать так:
Заходим Панель Управления->Администрирование->Службы и там отключаем Radmin нафиг. Теперь он не сможет запускматься автоматичсески.

У него может быть доменная политика (у нас в конторе сие практикуют)
Идея вот в чем:
1. Ты логинишся и RadMin ставится и запускается автоматом - спасения нет ИМХО! (если ты не админ или "приближенный")
2. Symantec его дейчтвительно давит! А вот если symantec корпоративный - опять политика.
3. если домен есть - смотри 1 и 2

Мы лечили это - админ+пиво=отсутствие политики домена на наших компах!:)

Насчет -
Надо просто качать из проверенных источнегов файлы, и не будет никаких проблем.
Или можно еще сделать так:
Заходим Панель Управления->Администрирование->Службы и там отключаем Radmin нафиг. Теперь он не сможет запускматься автоматичсески.


Как, где и что можно скачать чтобы тебе взвесили Radmina хотябы 1 раз?
Отключить в сервисе? ххххм Доброй охоты маугли...
Речь явно идет о домене и нифига ты с этим не поделаешь, пока этого админ не захочет.
Отключи его в сервисах и при первом логине получешь опять включение - автомат, прежний пароль radmina!
Вывод один - будь на короткой ноге с админом (целовать его в ... никто не заставляет) просто все разводится...

з.ы.
Если нечего скрывать - radmina бояться нечего!:)

Нужно в файерволе закрыть порт 4899. Все будет пучком. Для доменных пользователей, если админ не лох, от радмина не спастись.

Нужно в файерволе закрыть порт 4899. Все будет пучком. Для доменных пользователей, если админ не лох, от радмина не спастись.

Дело в том, что радмин использует разные порты (как назначит хозяин).
А сканировать комп чаждые N-часов не пойдёт, я на работе... а комп дома...
Мне необходимо узнать, как добавить прогу в список "плохих" программ.
Заходил на официальный форум Радмина, там вообще ничего не отвечают...
Вообщем, я не могу контролировать по порту... папке... службе... т.к. нахожусь в далеке от своего компа...
Спасибо за помощь! :)

А "хозяин" радмина сидит все время за 1 компом сети? Его IP в том же сегменте что и твой или как?
Если ответы на все вопросы ДА, то можно просто подправить у тебя ARP-таблицу и с его компа твой вобще никак не будет видиться

Дело в том, что радмин использует разные порты (как назначит хозяин).
А сканировать комп чаждые N-часов не пойдёт, я на работе... а комп дома...
Мне необходимо узнать, как добавить прогу в список "плохих" программ. а что мешает, настроить firewall на запрет приложения, при установке radmin ставит клиента, вот посмотреть как этот клиент в процессах называется, и запретить в firewall на запуск этого приложения, (не работал с Radminom), а вот в СВое Время DAME WAre намучался, пока не внес в firewall описание процесса и его дочерних процессов на блокировку,и все по любому порту ломится, ну а у меня в файере прописан процесс , он сразу его на корню рубит, и коннекта нет, и сервис не инсталируется (поствь KIS -7 ) он это хорошо умеет делать...Удачи!!!!

А "хозяин" радмина сидит все время за 1 компом сети? Его IP в том же сегменте что и твой или как?
Если ответы на все вопросы ДА, то можно просто подправить у тебя ARP-таблицу и с его компа твой вобще никак не будет видиться

У меня ип - 192,168,5,16 у него - (не точный - не знаю) 192,168,3,3

Добавлено через 2 минуты
а что мешает, настроить firewall на запрет приложения, при установке radmin ставит клиента, вот посмотреть как этот клиент в процессах называется, и запретить в firewall на запуск этого приложения, (не работал с Radminom), а вот в СВое Время DAME WAre намучался, пока не внес в firewall описание процесса и его дочерних процессов на блокировку,и все по любому порту ломится, ну а у меня в файере прописан процесс , он сразу его на корню рубит, и коннекта нет, и сервис не инсталируется (поствь KIS -7 ) он это хорошо умеет делать...Удачи!!!!

программа может ставиться под любым именем (бывает Explorer.exe) в папке C:/Windows/system32/Explorer.exe, а может и в другой папке под другим именем...

У меня ип - 192,168,5,16 у него - (не точный - не знаю) 192,168,3,3 а компы в домене завязаны? и как ip раздается статика или DHCP ? он случаем админом сети не является?

ип присваивается при подключении, люди приходят и ставят тебе ип, выбирается из свободных ип ... 192.168. и твой ай-пи , а админом он не является!
:)

Мне необходимо узнать, как добавить прогу в список "плохих" программ.

Я тебе предлагал вариант в ПМ... Похоже, что тебе это не надо... Тогда не парь мозги людям...

+++ Хм... а почему ПМ? Это форум же) раскрываем в темах ВСЕ варианты, а то только флуда будет больше...

Не с целью нафлудить я это написал!
Меня действительно интересует вопрос, как недобавляя на свой комп Радмин можно его занести в списки исключений!
Думаю многим будет интересно тут почитать...

Vinni_incorp, Если у тебя есть (судя по посту о установке/удалении программ) админские права на свой комп - просто добавь в групповую политику запуска приложений ограничение на данный файл по хэш'у. Тогда не важно как он будет называться. Винда не даст его запустить. Дистанционное удаление/переустановка тоже ничего не даст. Удаленному админу просто будет приходить сообщение об ошибке запуска службы на удаленном компе. Я так делал...

Я тебе предлагал вариант в ПМ... Похоже, что тебе это не надо... Тогда не парь мозги людям...

+++ Хм... а почему ПМ? Это форум же) раскрываем в темах ВСЕ варианты, а то только флуда будет больше...

Извини, что не скинул Вам программу, т.к. её у меня нет возможности скинуть. Выхожу на форум с рабочего компа... а дома нет инета.... да и дома не держу радмин! Ещё раз извиняюсь!

PS: используют старые версии программы, которые не отображаються в трее.

При чем здесь трей? Прога отлично видит все запущенные в системе приложения и может убить любое из них (ну... почти любое... любое, кроме того, которое имеет идентификатор 0)... Но тебе же не будет в кайф из списка ловить Радмина?! Вот мне и нужны его exe`шники, чтобы выловить сигнатуры и прописать куда надо...

P.S.: Для несведующих в программировании: идентификатор 0 имеет сама Система... Завершить её работу системными методами крайне проблематично и деструктивно (эт уже в итоге)... Да и смысла я в этом не вижу... Не прикольно... (намного прикольнее бахнуть загрузочный сектор... или так еще кое что...)

ProcessExplorer покажет не только имя запущенного в фоновом режиме файла, но и укажет его истинную принадлежность и месторасположение.
Хотя, судя по сумбурным описаниям, именно ты и являешься тем лицом, кто расставляет радмин сервер. Извини, если ошибся.

При чем здесь трей? Прога отлично видит все запущенные в системе приложения и может убить любое из них (ну... почти любое... любое, кроме того, которое имеет идентификатор 0)... Но тебе же не будет в кайф из списка ловить Радмина?! Вот мне и нужны его exe`шники, чтобы выловить сигнатуры и прописать куда надо...


Спасибо, конечно за старания помочь, серьёзно большое спасибо! Но у меня дома нет инета. А выхожу на форум я с рабочего компа... Ещё раз большое спасибо!

PS: используют вроде (в реестре посмотрел) радмин версий 3.0 и 1.1 ... но точно не уверен. Если сделаеш такую прогу, может кому она пригадиться, ну а я не смогу её принести домой ... :cry:

Я вот тут подумал... Я тебе её сюды выложу, с инструкцией... Те exe`шники, которые нужно подавить, надо будет просто положить ей в одну папочку... Так и мне проще, и Вам...

Запихивают во все файлы (ехе), и ложат в папку C:/windows/system32/Explorer.exe, как системный файл...

Что то я немного не понял:
По сети тебе ложат радмина в C:/windows/system32/Explorer.exe?
Или кто-то еще имеет физический доступ к машине?

Повторяю в 10 раз. В любой новой программе в сети (инета нет!) загнан рАдмин. Ты запускаеш инсталяху... и он ложиться в папку, какую захочет (в данном случае c:/windows/...), использует свои порты, свои пароли... прописывается в автозагрузке... обнаружить можно только тогда, когда посмотриш в реестре автозагрузок и в диспетчере задач. Мне такие методы не подходят, думал, что кто-то знает как прописать его в базу блокируемых по содержанию в Каспрерского или Керио.

Vinni_incorp,
Deementor писал:
Керио ни разу не видел даже, но думаю, что как у всех уважающих себя файроволов должен быть список разрешенных и запрещенных программ.
В Agnitum Outpost Firewall PRO это сделать можно так:
Параметры-Приложения Далее будут "Запрещенные приложения" "Пользовательский уровень" "Доверенные приложения". Выбираешь "Запрещенные приложения"-Добавить и ищешь Radmin.exe в папке радмина, далее рекомендую добавить все .exe из этой директории.
Не помешает заглянуть в настройку "Anti-Leak" там будет довольно таки примитивный интерфейс с вопросами о действии в тех или иных случаях. Но нас должна волновать вкладка "Исключения" вдруг там уже прописалась "ненужная" нам программа типа Radmin, так ее в срочном порядке необходимо удалить из этого списка. Также, для профилактики, выбрав любой .exe внизу мы увидим описание действий, если стоит "наследовать", то необходимо внимательно посмотреть, на что стоит наследование действия. Например: у меня стоит наследование в программе Cain.exe /модуль программы Cain&Abel/ на "критические значения реестра" это было бы плохо, если программа была бы мне плохо знакома, данный вид наследования предполагает, что все критические значения, которые вносит программа в реестр, файрволом воспринимается как "Так оно и должно быть" и если у меня Cain подцепит /целенаправлено заразят/ троян, который не палится, и тот внесет изменения в реестр, файрвол схавает эти изменения, даже не пикнув.
Также не помешает заглянуть и в "Компоненты". Настроив под себя уровень безопасности. У меня стоит на максимуме, дабы я был всегда в курсе, что у меня обновляется, что запрашивает второстепенный доступ в сеть, и что собирается сделать программа в сети.
ты это пробовал?

в cmd набери
netstat -a -n
по всем подозрительным портам в гугле можно спросить

Удали сервис Radmin с компа, установи какой нибудь нормальный файерволл (Outpost или Kaspersky AntiHacker), настрой его так, чтобы он выдавал сообщения тогда когда какая нибудь прога ломится в сеть или пытается принять пакет. Закрой доступ к скрытым шарам Admin$, printers$, C$, D$ ...
Добавьте или измените следующие значения:

Операционная система Параметр Тип Значение
Windows 2000 Server AutoShareServer REG_DWORD 0
Windows 2000 Professional AutoShareWks REG_DWORD 0

Однако, этот метод не уберёт sharing с IPC$. Для того что бы полностью избавиться от всех административных шарингов, создайте BAT или CMD файлик следующего содержания, и вставьте его в автозагрузку.

net share c$ /delete
net share d$ /delete
net share e$ /delete
.
.
net share admin$ /delete


Батник делает на некоторое время шары доступными при загрузке, пока не стартанут сервисы.
Или лучше создай reg файл следующего содержания:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters]
"AutoShareWks"=dword:00000000

Отрубить "Отложенные задания" и "Принтеры и факсы".
Удали в реестре раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\explorer\
RemoteComputer\NameSpace\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}.
Он отвечает за использование Планировщика Заданий на удаленном доступе(там же можно снять с доступа принтер, удалив его ключ).

И админ со своими кривыми программами больше не сунется, т.к в основном все программы удаленного администрирования (Dameware, Radmin) для установки сервисов используют шару Admin$ для установки своего сервиса
Есть еще шара IPS$, но её удаление приведет к остановке службы Сервер.

COMODO - сразу вякнул что преложение пытается че то сделать!
NOD - удалил как вреданосную прогу

Интересно, а есть ли ломаный радмин, который посылает наблюдателю какую-то картинку (или фильм:) , в то время когда на экране совсем не то? Кто знает?

нету

olkost, это можно очень легко организовать. Достаточно знать язык программирования...

Насёт фильма, это, конечно, сложновато... Причём сложно не в плане написания, а в плане системных ресурсов... Обманывая таким способом наблюдателя ты очень сильно нагрузишь систему. Но вот передать картинку, или просто перехватить пакет еще до сервера и отправить ответ: "Неправильный пароль" довольно легко.

P.S.: "Учиться, учиться и еще раз учиться" -- В. И. Ленин.

Даже обычный виндовый брандмауэр палит Radmina
У меня стоит Symantec Client Security - ваще проМблем нету!!!

Чет странное твориться... И действительно! За каким человеку надо городить огород. Проверил... Outpost палит. И даже не в том дело. Переведи outpost в режим запрещения. и усе.

а ты ваще уверен что это именно Радмин? и почему ты решил, что это именно он?

Ia recomenduiu nod32+comodo firewall [bezplatnii i ocen' horosii].

Интересно, а есть ли ломаный радмин, который посылает наблюдателю какую-то картинку (или фильм:) , в то время когда на экране совсем не то? Кто знает?

При 2-х мониторах в win радмин версий 2.x отображает толька ОСНОВНОЙ.
работай на втором, картинку на первом :-)

способов больше чем волос на голове, посмотри какие порті используются у тебя, каким пользуется радмин, потом закрой его даже в брандмауере


П.С Выдергивай сетевой кабель кагда видишь что тебя палят:)

всем привет
немного отходя от первоначальной сути вопроса,а возможно ли проц r_server.exe переименовать?чтоб чел не мог его в процессах палить и удалять?и если да,то как это делается?
спасибо за ранее

migean, http://www.nowa.cc/showpost.php?p=1134946&postcount=46 почитайте

Его впиховают во все (новинки) программы в сети... Если "враги" такие хитровые****е, то уже клеили- бы какой-нибудь трой полноценный, а то "не два не полтора" и не вирус толком- и не честно как-то)

А в качестве полумеры думаю можно в реестре запретить запуск этой дряни и в мастдайном брадмауере закрыть порт на котором она сидит.
Хотя вообще конечно такие вещи нада решать корректной настройкой нормального фаэра :arr:

Abai, спасиб,для начала оч туманно и муторно,решил оставить всё как есть)))

бороться с Radmin просто....поставил ZoneAlarm он по любому спрашивает как только происходит соединение говориш прибить и всё..по умолчанию radmin юзает порт 4899 прибить его и всё...Так же можно послушать порт каторые активны и которые ожидают подключение...команда netstat + ключи их не помню так как под линуксом сижу..И последний вариант но как альтернатива...Поставить самому серверную часть и сгенерить пароль по максимому символов даже если пробьються пароль даже из 8 символов сломать сложно который не несёт никакой логики..

поменяй настройки радмина в реестре, в части дозволенных сессий айпи. наложи запрет на ветку всем, кроме система.

Я борюсь с радмином элементарно просто.
После загрузки компа пишу в командной строке:
r_server /stop
И все!

ну тогда проще всего написать скрипт и прикрутить его к авторану..устанеш каждый раз писать в консоле команду.Хотя если через выполнить команда сохраняется.Но это гимор очень не удобно.

Так я через выполнить и запускаю. А если все же надо, чтобы админы в компьютер зашли (что-то по работе сделать, например), то пишу:
r_server /start