Re: dnetc.exe

kanikin

Что это за файл? Можно ли его удалить, т.к. грузит процессор на 99%. Простите: комп не мой, поэтому не знаю, откуда он взялся.

Nestor


Worm.Bymer
Worm.Bymer.a (aka "RC5 worm")
Этот червь инфицирует Windows 9x компьютеры, на которых установлена служба доступа к файлам. Он случайно перебирает IP-адреса локальной сети и пробует подключиться к разделяемому ресурсу с именем "C". Если это удается, то червь копирует на удаленный компьютер в каталог "\WINDOWS\SYSTEM\" следующие файлы:
WININIT.EXE 220672 байта (сам червь)
DNETC.EXE 186188 байт (RC5 клиент)
DNETC.INI (файл настроек для RC5 клиента)
Затем червь модифицирует файл WIN.INI на удаленной машине - он добавляет в него строку:
[winodws]
load=c:\windows\system\wininit.exe
Когда удаленная машина перезагрузиться, файл WININIT.EXE запустит файл клиента RC5 в скрытом режиме. В результате на компьютере жертвы оказывается постоянно незаметно работающий клиент программы подбора ключа RC5 (см. http://www.distributed.net), а работающий червь WININIT.EXE продолжает поиск и заражение других компьютеров в сети.

Worm.Bymer.b (aka "RC5 worm")
Этот червь инфицирует Windows 9x компьютеры, на которых установлена служба доступа к файлам. Он случайно перебирает IP-адреса локальной сети и пробует подключиться к разделяемому ресурсу с именем "C". Если это удается, то червь копирует на удаленный компьютер в каталоги "\WINDOWS\Start Menu\Programs\StartUp\" и "\WINDOWS\SYSTEM\" следующие файлы:
MSxxx.EXE ~22016 байт (размер и имя файла могут меняться)
MSCLIENT.EXE 4096 байт
INFO.DLL (текстовый лог-файл)
DNETC.EXE 186188 байт (RC5 клиент)
DNETC.INI (файл настроек для RC5 клиента)
Затем червь модифицирует файл WIN.INI на удаленной машине - он добавляет в него строку:
[windows]
load=c:\windows\system\msxxx.exe
Когда удаленная машина перезагрузиться, файл MSxxx.EXE создаст в ее реестре ключ:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
MSINIT=c:\windows\system\msxxx.exe (filename varies)
Таким образом, червь гарантированно запускается при каждом старте операционной системы. Кроме того, при собственном запуске он запускает файл DNETC.EXE с параметрами "-hide -install". Это приводит к тому, что на компьютере жертвы оказывается постоянно работающий в скрытом режиме клиент программы подбора ключа RC5 (см. http://www.ditributed.net), а работающий червь MSxxx.EXE продолжает поиск и заражение других компьютеров в сети.

так что лишний раз провериться не помешает
а мб это и не вирус, а см. ссылку ниже

Asgard

http://www.distributed.net/
Оставить комментарий
Имя или ник:
Комментарий: