Привет всем и с праздником.
Прогонял Куритом сервер под 2008мым R2
В System Volume Information нашел файл A0005116.exe Куррит показывает его статус program.remoteadmin.205.

Яндекс чего то вразумительного не сказал. Ясно только что троян. Но как попадает и как действует - не понял.

Вот меня интересует вопрос. Что это за зверь
и почему он сразу в System Volume Information оказался. А где его оригинал ?

убивай нафиг!

(0)Дак уже. Но аопросов это не снимает

(2)для (1)

"и почему он сразу в System Volume Information оказался" потому, что его удалили "А где его оригинал ?" его удалили

и это не троян, а прога для удалённого администрирования. т.е. это не вирус, не троян, это просто прога (возможно, действительно небезопасная), которая может быть использована злоумышленниками

(0)Воообще папка System Volume Information предназначена для хранения бэкапов, точек отката системы.
Бэкапы делаются по мере изменений, т.е если ты изменишь или удалишь файл который система считает важным, то он автоматом забэкапиться в System Volume Information, чтобы ты мог впоследствии откатить систему.

(4)Понятно что для удаленного управления Remoteadmin если.

И удалил его кто ? Куррит показал только дубль в System Volume Information

Больше вообще ничего не нашел. Так где оригинал то ? Я его не удалял и куррит его не находил.

(5)Я знаю для чего эта папка. Отсюда и вопрос. Как эта пидерсия попала сразу туда. Где оригинал ? Почему куррит ничего не нашел.

(6) Писатель?

(7)Читатель ?

(6)Невнимательно читаешь.
Наличие какого-либо файла в этой папке, означает что оригинал был удален или изменен. Понимаешь?
Если бы ты не удалил этот файл он бы не попал в эту папку, а если он попал в эту папку, то логично сделать вывод что оригинал удален.