Как найти/убить программы типа RAdmina?

Вопрос в следующем...
На работе большая корпоративная сеть... есть подозрение что кто-то (админ) иногда палит, что ты делаешь за компом... Фаервол ставить строго на строго запрещено, блокировать все подключения к компу тоже нельзя, типа обмен инфой между юзерами (официально только те папки которые разшарены)... Как можно запалить прогу-шпиона и желательно убить права админа на своём компе есть...

Сообщение отредактировано: doom_mm - 13.04.09, 13:57

Любой менеджер автозагрузки (autoruns, osam, etc.)...

Спасибо завтра потестю на работе...

Цитата doom_mm @ 13.04.09, 13:32

есть подозрение что кто-то (админ) иногда палит

Если админ через радмин на тачке тусуется, то обрати внимание на цвет значка в радмине который в трее если он синий то никто через радмин не лазит на твоей тачке если красный то кто-то залез... два раза щелнеш по нему и увидиш айпишнег того кто лазит...

Цитата Akina

Любой менеджер автозагрузки (autoruns, osam, etc.)...

Если не будет манагера автозагрузки... можно еще так Пуск-выпонить там вводиш msconfig вкладка автозагрузка...

З.Ы. ггнуху смотриш, боишсо шо ацкей одмин попалид

Сообщение отредактировано: Besha - 13.04.09, 16:56

Цитата doom_mm @ 13.04.09, 13:32

Любой менеджер автозагрузки (autoruns, osam, etc.)...

Тогда надо знать врага в лицо

doom_mm
Можно проверить каким антивирем и в опциях поставить птичку на потенциально опасные программы.

Цитата doom_mm @ 13.04.09, 13:32

Фаервол ставить строго на строго запрещено,

Цитата doom_mm @ 13.04.09, 13:32

права админа на своём компе есть...

Какой удивительный у вас админ

Цитата

Если не будет манагера автозагрузки... можно еще так Пуск-выпонить там вводиш msconfig вкладка автозагрузка...

Эта шняга показывает очень мало программ, которые запускаются напрямую...

Цитата

З.Ы. ггнуху смотриш, боишсо шо ацкей одмин попалид

Если бы смотрел гнуху я бы и не парился, пускай там зад..чица, а когда обмениваешься конфиденциальной информацией, пароли, номера счетов и многое другое, не очень бы хотелось, чтобы кто-то кроме меня их знал, к тому же админ это ведь такая должность с которой можно человека уволить, а он начнёт потом всем пакастить, а все шишки достанутся мне.

Цитата

Какой удивительный у вас админ

Для мониторинга происходящего на компе не обязательно юзать всем известный RAdmin, есть много способов, в том числе и вирусы

Цитата

Можно проверить каким антивирем и в опциях поставить птичку на потенциально опасные программы.

Ничего не нашел.


Результат следующий: Отключил загрузку довольно большого числа не известных мне и проге программ, также нескольких непонятных драйверов... (при перезагрузке они не загрузились)

...Спасибо всем за помощь, надеюсь это то что я искал.

Сообщение отредактировано: doom_mm - 14.04.09, 15:23

Цитата doom_mm @ 14.04.09, 15:14

Отключил загрузку довольно большого числа не известных мне и проге программ, также нескольких непонятных драйверов... (при перезагрузке они не загрузились)

...Спасибо всем за помощь, надеюсь это то что я искал.

Если у вас грамотный админ и жёсткая политика (вряд ли, но вдруг) - то ты нашёл себе приключений...

Цитата doom_mm @ 13.04.09, 13:32

Вопрос в следующем...
На работе большая корпоративная сеть... есть подозрение что кто-то (админ) иногда палит, что ты делаешь за компом... Фаервол ставить строго на строго запрещено, блокировать все подключения к компу тоже нельзя, типа обмен инфой между юзерами (официально только те папки которые разшарены)... Как можно запалить прогу-шпиона и желательно убить права админа на своём компе есть...

да, поддерживаю про интересного админа у Вас на работе
все очень просто....Radmin запускается как служба (в службах посмотрите и все поймете),
в трее его может и не быть...а вот в запущенных процессах r_server.exe так это
обязательно
может у Вас вообще все просто (если такой интересный админ).... посмотрите
разрешено у Вас удаленное управление рабочим столом ...

Цитата mr.Neo @ 14.04.09, 20:06

все очень просто....Radmin запускается как служба (в службах посмотрите и все поймете), в трее его может и не быть...а вот в запущенных процессах r_server.exe так это обязательно

В данном случае Radmin - это категория, а не конкретный инструмент.
PS. Можно организовать удалённое наблюдение так, что ни один из вышеуказанных методов не обнаружит его.

Цитата doom_mm @ 14.04.09, 15:14

Цитата

Какой удивительный у вас админ

Для мониторинга происходящего на компе не обязательно юзать всем известный RAdmin, есть много способов, в том числе и вирусы

речь идет про то, что выданы права локального администратора, притом устный запрет на установку файрвола. Это глупо. Либо не давать прав, либо причслять пользователя к "надежным" - но все затраты времени по установке и настройке его рабочего места - это сугубо его задача. У нас так сделано - хочешь сам админить - админь, но и не жалуйся потом. Хочешь чтобы эти проблемы за тебя решали - сиди, молчи и не мешайся. У одного недавно все парва отняли, потому что этот умник додумался на виртуальной машине, введенной в AD поднять DHCP - сервер. К чему это привело думаю объяснять не стоит...

Цитата @@@ @ 15.04.09, 05:25

додумался на виртуальной машине, введенной в AD поднять DHCP - сервер

*ROFL* Если не секрет, сколько времени потребовалось на поиск?

Да быстро нашли... А вот сколько ушло на т очтобы понять что где то есть второй DHCP не знаю, я здесь не админ

Цитата Akina @ 15.04.09, 05:06

В данном случае Radmin - это категория, а не конкретный инструмент.

netstat -abn покажет тебе всех использующих сеть, дальше перебором по именам процессов. Когда выцепишь подозрительных, тогда и ищи где и как они запускаются.

Каким образом можно очень быстро в большой сети заметить что на одной из машин кто-то поставил фаервол?
Прибежал сисоп поругался и напомнил про политику компании... Может ему эти фаерволы и мешают спокойно лазить по компам?