Как определить присутствие Teamviewer на компьютере

Discussion in 'Болталка' started by fl00der, 21 Feb 2013.

  1. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,172
    Likes Received:
    305
    Reputations:
    86
    Есть один комп, надо проверить, не был ли там несанкцианировано установлен там тимвьюер (вроде есть какие-то сборки со скрытой установкой).
     
    _________________________
  2. Artanis

    Artanis New Member

    Joined:
    17 Sep 2011
    Messages:
    35
    Likes Received:
    4
    Reputations:
    1
    Очень просто.
    1) Поискать скрытые сборки
    2) Установить в виртуальной машине, использовать программы для анализа изменений в системе.
    3) Не забывать про службы.
     
  3. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,172
    Likes Received:
    305
    Reputations:
    86
    Ну я наверно потому и спросил что мне хотелось бы услышать готовое решение, я более чем уверен, что до меня эта проблема вставала перед многими и ее решили.
    В службах вроде нет ниче подозрительного.
     
    _________________________
  4. Alex24

    Alex24 Member

    Joined:
    5 Sep 2010
    Messages:
    389
    Likes Received:
    56
    Reputations:
    19
    Ставишь это - http://www.anvir.net/
    И внимательно изучи каждый процесс и автозагрузку - а конкретнее Свойства,Продукт и Компания.
    как пример пишут юзеры:
    И помним про такую фичу,как ФАЕРВРОЛ.
     
    #4 Alex24, 21 Feb 2013
    Last edited: 21 Feb 2013
  5. Artanis

    Artanis New Member

    Joined:
    17 Sep 2011
    Messages:
    35
    Likes Received:
    4
    Reputations:
    1
    Если и так, службы переименованы, exe тоже, пути другие. Но порт, порт на котором висит exe должен быть тот же, соединяться он должен с теми же серверами TeamViewer.

    Sysinternals -> tcpview
     
  6. Alex24

    Alex24 Member

    Joined:
    5 Sep 2010
    Messages:
    389
    Likes Received:
    56
    Reputations:
    19
    Или же изучи все процессы сквозь Process Explorer
     
  7. [anonimo]

    [anonimo] New Member

    Joined:
    12 Aug 2012
    Messages:
    65
    Likes Received:
    2
    Reputations:
    0
    Если хорошо скрыт то хрен найдешь. (с) Очевидиц
     
  8. b3

    b3 Moderator

    Joined:
    5 Dec 2004
    Messages:
    2,005
    Likes Received:
    867
    Reputations:
    198
    Проверить все открытые порты логично же
     
    _________________________
  9. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,172
    Likes Received:
    305
    Reputations:
    86
    Просто человек который за этим компом сидел сказал что у него в трее появилась какая-то синяя иконка, ессно всплыв.подсказку он не глянул, в контекстном меню было "стоп" и "Выход", но стоп было недоступно, а вот выход доступно, ну он и нажал.
    Я просто подумал, что это мог быть ТВ, больше ниче в голову не пришло, но все проверил порты и как тут советовали автозагрузку и процессы и ниче подозрительного не обнаружил.
     
    _________________________
  10. Atomikdddsss

    Atomikdddsss Banned

    Joined:
    8 Dec 2011
    Messages:
    219
    Likes Received:
    13
    Reputations:
    2
    Sowtware Restriction policy,запрети всё что не нужно.Или СКлинер скачай и удали из автозапуска все тимы,радмины и т.п ***ню.
     
  11. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,172
    Likes Received:
    305
    Reputations:
    86
    Да и в автозагрузке нихуя подозрительного нет и в процессах тоже.
    Ну комп тот не мой так что так радикально нет возможности поступать.
    Интересно че эт за херня была, вроде и винду сносить парится не охото, но и так оставлять тоже не варик.
     
    _________________________
  12. Atomikdddsss

    Atomikdddsss Banned

    Joined:
    8 Dec 2011
    Messages:
    219
    Likes Received:
    13
    Reputations:
    2
    Может брандмаузер виндоус проснулся xD или обновление винды вылетело :D
     
  13. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,172
    Likes Received:
    305
    Reputations:
    86
    Да чот на обновление не похоже, оно золотое же такое, а то вроде синее и два пункта было стоп и выход. Всю голову уж сломал и ничего похожего не установлено, аш самому интересно.
     
    _________________________
  14. cleric.80

    cleric.80 Elder - Старейшина

    Joined:
    28 Mar 2008
    Messages:
    535
    Likes Received:
    225
    Reputations:
    13
    почта работает ? аська не угнали.. скайп на месте.. ничего сверхестественного не было ? значит вам почудилось...
    а может уже и удалили. Если было проникновение то с какой то целью.. что на том пк можно "взять" ? все на месте - значит твой друг параноик.
    Вот по аналогии с радмином, в журнале виндовс (не помню где)остается запись про все соединения и удалить тот файл не просто..
     
  15. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,172
    Likes Received:
    305
    Reputations:
    86
    Че за журнал интересно.
    Ну чтобы причудилось, что появился значок и он нажал правую кнопку и "выход" это вряд ли, все-таки чел вроде в адеквате.
    Вроде ниче не пропало да и какой-то конкретной цели проникать не вижу.
    Удалили вряд ли, раз он нажал выход, потом сразу завершил работу потом я уже смотрел.
     
    _________________________
  16. cleric.80

    cleric.80 Elder - Старейшина

    Joined:
    28 Mar 2008
    Messages:
    535
    Likes Received:
    225
    Reputations:
    13
    http://www.oszone.net/10680 может тут найдешь..
    вспомнил статью про скрытый радмин - там говорилось в конце как замететать следы - там как раз про етот файл журнала речь шла что мол там можно узнать IP
    подключавшегося ..
    Windows\System32\config\ расширение *.evt
    на WIN 7 не нашел.. на ХР помню был..
     
    #16 cleric.80, 22 Feb 2013
    Last edited: 22 Feb 2013
  17. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,172
    Likes Received:
    305
    Reputations:
    86
    Что-то все эти evt-файлы изменены кто год назад, кто два, не похоже, что данные в них сильно свежие.
     
    _________________________
  18. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,172
    Likes Received:
    305
    Reputations:
    86
    Как это ни странно, я нашел причину появления того значка в трее. Это программа Rings Skyper - флудер скайпа, которую человек запустил и забыл об этом.
     
    _________________________
  19. InDuStRieS

    InDuStRieS Banned

    Joined:
    15 Mar 2009
    Messages:
    567
    Likes Received:
    253
    Reputations:
    32
    Ярлыки попробуй на рабочем столе посмотреть
     
Loading...