raserv.exe - что это?
 

Увидал у себя в процессах этот файл, лежит в system32, это системный файл или троян?

Вероятно трой.
В вынь ХРеновой, таких файлов вроде быть не должно.
Рекомендую прибить процесс и переименовать файл.
А потом посмотреть, что из этого получится.
Ещё было бы интересно взглянуть на этот файл. Кинь на мыло, если не больше мега. Кинь в архиве под паролем 123.
мыло karpych@msn.com

raserv.exe -- RasAgent 9K (Service logs all dialup/RAS-Connections)

Убил процесс, удалил файл, перезагрузился он опят висит в процессах, раньше небыло.

Файл кинул в обменик, пас 123 http://ex.imho.ws/upcent/index.php?a...ame=raserv.rar

у меня этого файла нет ни в 98, ни в w2k, ни в XP.

У меня не может найти библиотеку
ADMDLL.dll
После чего вылетает. Антивирус и фаер подозрительно молчат...

а это не - Rasdial.exe ?
V@nya
при попытке запустить просит admdll.dll. время создания у него шибко подозрительное. название admdll.dll - тоже :(
добавлено
запустил поиск по всей своей базе дисков в WhereIsIt - raserv не найден.
(у меня практически все лежит на дисках не архивированым, так что вариант, что он может гденидь в архиве сидеть, отпадает)

admdll.dll это dll radmin'а похоже это радмин засунули мне, но как он сам восстанавливается?

я юзаю radmin. ни того, ни другого файла в сети не нашел. ни на своей машине (с которой управляю, ни на той, которой управляю)
а в ее свойствах можно написать чего угодно.

Plague
Это файлы одной из версий Radmin: у самого Каспер когда-то их отлавливал ;)
Нужны для работы серверной части.

V@nya
Хороший вопрос... есть трои. которые сами восстанавливаются... но у Радмина такого нет :idontnow:

А восстанавливаются они из dllcashe, как и положено приличным (и неприличным) программам. Мелкософт удобную вещь сделал для восстановления невинно убиенных файлов, а так же хорошо написанных троянов.

ADMDLL.dll + raserv.exe eto 100% radmin, nedumuju 4to voztanavlivajutsia iz
dllcashe.. ubit` neslozhno prosto steret` ves` nenuzhnyj soft iz startupa..
P.S. raserv.exe propisyvaetsia kak servis. Poprobuj pois4i v registrah Radmin 2.0

в dllcache его нет, не удаляется собака.

V@nya
Попробуй прочесать систему антивирем: Каспер и Вэб Радмина уже засекают.
dll'ки все удалил?

А что если вообще не удалять, а вручную отредактировать этот файл.

CEO
exe'шник? :confused:

А что? Инициалы Майкла Зелински забить :)

CEO, не вышло, после перезагрузки опять целый.

V@nya
Стало быть, в системе есть ещё один файл, с которого он восстанавливается. Правда, этот файл отличается от того: например, зашифрован алгоритмом xor.
А грузится он через dll, которая стартует вместе с шеллом.
Как-то про это читал

Просто для справки. Это состав RAdmina из официального файла справки, который идет вместе с программой:
- Client (Radmin.exe)
- Server (r_server.exe)
- Driver (raddrv.dll)
Далее, антивирусы не возражают против устанвки RAdmina. Просто, потому что это не троян, а софт (и очень неплохой) для удаленного администрирования. Удаляется он простым анинсталлом. Если антивирсы на него ругаются, то это не оригильная версия программы. А иначе все антивири должны ругаться на Microsoft Terminal Service, Remote Desktop Connection и прочие проги для удаленного администрирования.
А этот raserv.exe, ИМХО, трой какой-нибудь самописный и не выкладывавшийся для широкой публики. Может на базе того же RAdmina написаный.

FantomIL
Каспер с расширенными базами ругается на него как на risk-ware:Backdoor.Radmin

V@nya
Кстати. попробуй Каспером с расширенными базами систему прочесать :rolleyes:

Interceptor, я тут с тобой спорить не могу, так как Каспером не пользовался никогда в жизни. Но со стороны Касперского это просто идиотизм, ИМХО. Тогда уж надо и все другие софтиы для удаленного администрирования обзывать бэкдорами.

Ты будешь смеяться, но Каспер с расширенными базами так и делает... :biggrin:

Borland,
круто. Я тихо сползаю со стула.
Теперь по поводу этого файла:
После переписки с разработчиками выяснилось, что файл admdll.dll принадлежит RAdmin-у. А вот raserv.exe так назывался исполняемый файл его сервера в первых тестовых версиях. Так что это RAdmin.
А для того чтобы его убрать надо набрать в консоли r_server.exe /uninstall
Это для сегодняшнего RAdminа.
V@nya,
попробуй набрать raserv /uninstall - для удаления, или raserv /setup - чтоб вызвать окно инсталятора и удалить оттуда. Может сработает, если они механизмы установки\удалеия не меняли. Ну или напиши raserv ? - чтобы получить справку о консольных командах.

FantomIL raserv /setup я пробовал запускать - 0 внимания, да и оргинальный радмин сам на может восстанавливаться. Короче скачал я SP2, снёс винду и поставил всё начисто, теперь проблем НЕТ!

Истина такова, если процесс, который вы видите впервые у себя запущен от имени пользователся, то даже если это не троян то можно убрать, нечего страшного не случится. Но если этот system то врят ли трой, я еще не видел не одного троя который мог бы запускаться от имени систем