raserv.exe - что это?

[V@nya]

Увидал у себя в процессах этот файл, лежит в system32, это системный файл или троян?

[Карпыч]

Вероятно трой.
В вынь ХРеновой, таких файлов вроде быть не должно.
Рекомендую прибить процесс и переименовать файл.
А потом посмотреть, что из этого получится.
Ещё было бы интересно взглянуть на этот файл. Кинь на мыло, если не больше мега. Кинь в архиве под паролем 123.
мыло karpych@msn.com

[CEO]

raserv.exe -- RasAgent 9K (Service logs all dialup/RAS-Connections)

[V@nya]

Убил процесс, удалил файл, перезагрузился он опят висит в процессах, раньше небыло.

Файл кинул в обменик, пас 123 http://ex.imho.ws/upcent/index.php?a...ame=raserv.rar

[Plague]

у меня этого файла нет ни в 98, ни в w2k, ни в XP.

[Карпыч]

У меня не может найти библиотеку
ADMDLL.dll
После чего вылетает. Антивирус и фаер подозрительно молчат...

[Plague]

Цитата:

CEO:
RasAgent 9K (Service logs all dialup/RAS-Connections)

а это не - Rasdial.exe ?
V@nya
при попытке запустить просит admdll.dll. время создания у него шибко подозрительное. название admdll.dll - тоже
добавлено
запустил поиск по всей своей базе дисков в WhereIsIt - raserv не найден.
(у меня практически все лежит на дисках не архивированым, так что вариант, что он может гденидь в архиве сидеть, отпадает)

[V@nya]

admdll.dll это dll radmin'а похоже это радмин засунули мне, но как он сам восстанавливается?

[Plague]

Цитата:

V@nya:
admdll.dll это dll radmin'а

я юзаю radmin. ни того, ни другого файла в сети не нашел. ни на своей машине (с которой управляю, ни на той, которой управляю)
а в ее свойствах можно написать чего угодно.

[Interceptor]

Plague
Это файлы одной из версий Radmin: у самого Каспер когда-то их отлавливал
Нужны для работы серверной части.

V@nya

Цитата:

но как он сам восстанавливается?

Хороший вопрос... есть трои. которые сами восстанавливаются... но у Радмина такого нет

[SinClaus]

А восстанавливаются они из dllcashe, как и положено приличным (и неприличным) программам. Мелкософт удобную вещь сделал для восстановления невинно убиенных файлов, а так же хорошо написанных троянов.

ADMDLL.dll + raserv.exe eto 100% radmin, nedumuju 4to voztanavlivajutsia iz
dllcashe.. ubit` neslozhno prosto steret` ves` nenuzhnyj soft iz startupa..
P.S. raserv.exe propisyvaetsia kak servis. Poprobuj pois4i v registrah Radmin 2.0

[V@nya]

в dllcache его нет, не удаляется собака.

[Interceptor]

V@nya
Попробуй прочесать систему антивирем: Каспер и Вэб Радмина уже засекают.
dll'ки все удалил?

[CEO]

Цитата:

не удаляется собака.

А что если вообще не удалять, а вручную отредактировать этот файл.

[Interceptor]

CEO

Цитата:

А что если вообще не удалять, а вручную отредактировать этот файл.

exe'шник?

[SinClaus]

А что? Инициалы Майкла Зелински забить

[V@nya]

CEO, не вышло, после перезагрузки опять целый.

[Interceptor]

V@nya
Стало быть, в системе есть ещё один файл, с которого он восстанавливается. Правда, этот файл отличается от того: например, зашифрован алгоритмом xor.
А грузится он через dll, которая стартует вместе с шеллом.
Как-то про это читал

[FantomIL]

Просто для справки. Это состав RAdmina из официального файла справки, который идет вместе с программой:
- Client (Radmin.exe)
- Server (r_server.exe)
- Driver (raddrv.dll)
Далее, антивирусы не возражают против устанвки RAdmina. Просто, потому что это не троян, а софт (и очень неплохой) для удаленного администрирования. Удаляется он простым анинсталлом. Если антивирсы на него ругаются, то это не оригильная версия программы. А иначе все антивири должны ругаться на Microsoft Terminal Service, Remote Desktop Connection и прочие проги для удаленного администрирования.
А этот raserv.exe, ИМХО, трой какой-нибудь самописный и не выкладывавшийся для широкой публики. Может на базе того же RAdmina написаный.