Скрытый RAdmin

нет, жертва заходит на сайт (айпи сразу записался в лог), и редиректит на ссылку с установщиком

 

В первом посте есть скрипт на редерект, только куда его писать я не знаю(чайник в php)

 

просто замени ссылку, что непонятного. хотя там и так редиректит на вэбфайл с радмином этим.

 

доверие тут месяцами получаешь

 

Теперь вопрос противоположного плана, как эту заразу удалить с зараженного компа

 

Мало ли просто интересно стало

 

перезалить на другой файл-хостинг кто-нить может?)

 

http://www.rapidshare.ru/684050
http://depositfiles.com/files/5588560

 

протестил снифером, при запуске никуда ниче не отсылалося))))

Можно вот на счет IP попонятнее... непойму где он отображаться должен?

 

Интересно было наблюдать за жертвой.Но когда я увидел что в процессах у него r_serv я охренел.Он его завершил и я отрубился.Как такое может быть?Предполагаю что у него свой радмин,однако хреново что при его отключение отключается и мой.

 

r_serv - это сервер радмина. что тебя удивило?
это ж не вьюер

 

я понимаю что это сервер,но когда я запускаю этот трой,если его можно так назвать,у меня в процессах ничего не появляется.

 

на сервере в файле log.txt

 

Да вот напрочь отказывается туда что либо записываться.
на index.php и на log.txt поставил параметр 777

 

индекс - 644
лог - 666

 

У меня все IP лежат в log.txt

 

так чё ни кто не знает как убить эту заразу

 

в процессах и в windows/где-то там

 

Посмотри автозапуск здесь (XP):
1) пуск->выполнить->regedit->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run b и на всякий RunOnce
2) либо пуск->выполнить->msconfig->автозапуск.
если там ничего не найдет, ставь каспера он должен все найти.

 

Каспер не найдёт, это не трой прога.