Главная Вход в систему Регистрация
Задать вопрос Консультации Пользователи Форум
О системе Помощь
Задать вопрос экспертам
Консультация № 141982
22.08.2008, 16:04
0.00 руб.
0 11 2
Компьютеры Программное обеспечение
Сегодня заметил в трее новую пиктограмму (зелёный глобус):



При наведении мыши всплывает вышеприведённый хинт. При вызове контекстного меню, предлагается либо скрыть значок, либо запустить программу (по всей видимости). В то же время, в в Диспетчере задач наблюдается процесс rlvknlg.exe , который, как выяснилось, непосредственно связан с вышеуказанной программой.
Вопрос: что это такое и откуда взялось?? Из интернета в последнюю неделю приходит только почта с русфака и ещё нескольких адресов (остальные удаляются с сервера, без доставки на компьютер). Установлен антивирус Dr. Web 4.44, обновляется регулярно по собственному желанию. Проверка дисков ничего не показала..
К компьютеру доступ имею только я.

Полюбовался я этой пиктограммкой, потом "убил" процесс rlvknlg.exe . Пиктограммка исчезла. Но не надолго. Буквально через 10-15 секунд всё возвратилось на круги своя..

Обсуждение

Неизвестный
22.08.2008, 16:19
общий
это ответ
Здравствуйте, SHERRY!
Это троян
посмотрите ссылки

Приложение:
http://www.pcpitstop.com/libraries/process/i/rlvknlg.exe.html
http://www.processlibrary.com/directory/files/rlvknlg
Неизвестный
22.08.2008, 16:24
общий
Здравствуйте, SHERRY!
Нашел информацию что rlvknlg.exe - это Trojan/Backdoor. Обычно размещается в каталогах C:\Windows\System32 и C:\Windows.
Цитата: Ernst'n'Young поддерживает создателей бот-сетей RelevantKnowledge?
Недавно в списке рассылки Bugtraq было опубликовано сообщение, содержащие описание adware RelevantKnowledge. Эта программа распространяется в качестве бесплатного приложения к ряду продуктов, но в отличии от других подобных утилит не деинсталлируется стандартными средствами Windows. По заявлению исследователей программа ведет себя как типичный «бот»: она перехватывает клавиатуру и мышь, собирает информацию из окон программ и сохраняет их на сервере www.relevantknowledge.com. Кроме того, adware перенастраивает межсетевой экран Windows и запускает на машине proxy-сервер, используемый для удаленного контроля и обновления.
Вызывает удивление, что разработчики этой явно троянской программы на своем сайте заявляют, что программа может отсылать на их сервер такую информацию на сообщения электронной почты, пароли, номера кредитных карт. Причем это никак не нарушает «прайваси» пользователей, поскольку состояние их системы периодически оценивают ведущие аудиторы компании Ernst & Young. Авторы сообщения задают риторический вопрос: что надо сделать, чтобы легально зарегистрировать своего «бота». Судя по информации на основной странице сайта, в настоящий момент этим вредоносным кодом заражено около двух миллионов компьютеров, что позволяет говорить об обнаружении крупнейшей бот-сети в истории.
Аналогичные программы уже не раз привлекали внимание специалистов в области безопасности. Так в 2005 университетом Корнелла году был опубликован анализ программного обеспечения Marketscore весьма похожего на описываемую программу.
В настоящее время процедура обнаружения RelevantKnowledge была добавлена в продукты ведущих производителей антивирусного ПО.

В www.viruslist.com он записан как not-a-virus:Server-Proxy.Win32.MarketScore.i
На processlibrary.com рекомендуют удалить rlvknlg.exe. Мне кажется, что нужно вопсользоваться их советом
Неизвестный
22.08.2008, 16:24
общий
это ответ
Здравствуйте, SHERRY!
Нашел информацию что rlvknlg.exe - это Trojan/Backdoor. Обычно размещается в каталогах C:\Windows\System32 и C:\Windows.
Цитата: Ernst'n'Young поддерживает создателей бот-сетей RelevantKnowledge?
Недавно в списке рассылки Bugtraq было опубликовано сообщение, содержащие описание adware RelevantKnowledge. Эта программа распространяется в качестве бесплатного приложения к ряду продуктов, но в отличии от других подобных утилит не деинсталлируется стандартными средствами Windows. По заявлению исследователей программа ведет себя как типичный «бот»: она перехватывает клавиатуру и мышь, собирает информацию из окон программ и сохраняет их на сервере www.relevantknowledge.com. Кроме того, adware перенастраивает межсетевой экран Windows и запускает на машине proxy-сервер, используемый для удаленного контроля и обновления.
Вызывает удивление, что разработчики этой явно троянской программы на своем сайте заявляют, что программа может отсылать на их сервер такую информацию на сообщения электронной почты, пароли, номера кредитных карт. Причем это никак не нарушает «прайваси» пользователей, поскольку состояние их системы периодически оценивают ведущие аудиторы компании Ernst & Young. Авторы сообщения задают риторический вопрос: что надо сделать, чтобы легально зарегистрировать своего «бота». Судя по информации на основной странице сайта, в настоящий момент этим вредоносным кодом заражено около двух миллионов компьютеров, что позволяет говорить об обнаружении крупнейшей бот-сети в истории.
Аналогичные программы уже не раз привлекали внимание специалистов в области безопасности. Так в 2005 университетом Корнелла году был опубликован анализ программного обеспечения Marketscore весьма похожего на описываемую программу.
В настоящее время процедура обнаружения RelevantKnowledge была добавлена в продукты ведущих производителей антивирусного ПО.

В www.viruslist.com он записан как not-a-virus:Server-Proxy.Win32.MarketScore.i
На processlibrary.com рекомендуют удалить rlvknlg.exe. Мне кажется, что нужно вопсользоваться их советом
Неизвестный
22.08.2008, 16:26
общий
2 Максимов Михаил Юрьевич: а было лень кратко написать о чем речь в тех страницах?
Неизвестный
22.08.2008, 16:28
общий
Вбил в поиск на диске имя процесса, и приобалдел: указанный файл мирно покоится в папке Program Files, не имеет привычного для своего рода
аттрибута "Скрытый". С ним в одной папке ещё следующие файлы:

rk.bin
rloci.bin
rlls.dll
sporder.dll
rlservice.exe
rlvknlg.exe
Неизвестный
22.08.2008, 16:30
общий
2 ualife: У человека проблема, которую надо решать, есть готовые решения, уже описанные в интернете, надо только следовать инструкциям. Ссылки на них и даны
Неизвестный
22.08.2008, 16:30
общий
Цитата: ualife
2 Максимов Михаил Юрьевич: а было лень кратко написать о чем речь в тех страницах?

Не нужно ссориться. Мне не составило труда прочесть указанные экспертом странички
Неизвестный
22.08.2008, 16:32
общий
Вбил в поиск на диске имя процесса, и приобалдел: указанный файл мирно покоится в папке Program Files, не имеет привычного для своего рода
аттрибута "Скрытый".

Посмотрите мой ответ. Поймете почему так.
Неизвестный
22.08.2008, 16:37
общий
У человека проблема, которую надо решать, есть готовые решения, уже описанные в интернете, надо только следовать инструкциям. Ссылки на них и даны

Они вообще-то на английском. Многие посетители не знают английского. То, что SHERRY знает английский язык - это плюс. Но если бы он не знал английского языка, то Вы бы получили 1.
Не нужно ссориться. Мне не составило труда прочесть указанные экспертом странички

См. выше
Неизвестный
22.08.2008, 16:47
общий
Что будете делать?
Неизвестный
22.08.2008, 16:54
общий
Первым делом - отключил Сеть. Промотрел реестр и нашёл там раздел с настройками сей софтины HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831}
В частности, оказалось, что её можно удалить следующей командой:
C:\program files\relevantknowledge\rlvknlg.exe -bootremove -uninst:RelevantKnowledge , о чём по гласит параметр UninstallString

Точно не был уверен, посему перезагрузился в безопасном режиме, поудалял файлы программы и почистил реестр. Проблема, вроде бы, решена. Всем спасибо за внимание и за информацию!
Форма ответа