عينة اخرى بتاريخ يوم 7-7

White Man · 7 يوليو 2014

السلام عليكم ورحمة الله

عينة اخرى بتارخ يوم 7-7 مكونة من 38 ملف خبيث

[hide]www29.zippyshare.com/v/52450833/file.html

PASS : INFECTED

[/hide]

رابط اخر من مشرفنا الغالى عبد الحق

[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]

imadeddine wissam · 8 يوليو 2014

السلام عليكم اخي شكراا على مواضيعك
ثانيا ارجوا في المرات القادمة ان ترفع العينات على مركز الخليج أحسن
هذا
الموقع ممل جدا 13 ميغا بنصف ساعة

شكراا لك ومتابع دوماا لجديدك ..تحياتي لك اخوك عماااد

ABDELHAK AS · 8 يوليو 2014

imadeddine wissam قال:
السلام عليكم اخي شكراا على مواضيعك
ثانيا ارجوا في المرات القادمة ان ترفع العينات على مركز الخليج أحسن
هذا
الموقع ممل جدا 13 ميغا بنصف ساعة
شكراا لك ومتابع دوماا لجديدك ..تحياتي لك اخوك عماااد

...ولا يهمك اخي امهلني 5 دقائق لارفع لك العينة على الخليج ....بعد ادن اخي الصغير

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

طبعا ..

imadeddine wissam · 8 يوليو 2014

ABDELHAK AS قال:
...ولا يهمك اخي امهلني 5 دقائق لارفع لك العينة على الخليج ....بعد ادن اخي الصغير
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
طبعا ..

شكرا ياغالي الله يخليك

ABDELHAK AS · 8 يوليو 2014

...هدا هو رابطك اخي ...enjoy
[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]

White Man · 8 يوليو 2014

imadeddine wissam قال:
السلام عليكم اخي شكراا على مواضيعك
ثانيا ارجوا في المرات القادمة ان ترفع العينات على مركز الخليج أحسن
هذا
الموقع ممل جدا 13 ميغا بنصف ساعة
شكراا لك ومتابع دوماا لجديدك ..تحياتي لك اخوك عماااد

من عينى يا غالى

White Man · 8 يوليو 2014

ABDELHAK AS قال:
...ولا يهمك اخي امهلني 5 دقائق لارفع لك العينة على الخليج ....بعد ادن اخي الصغير
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
طبعا ..

الموضوع موضوعك اخى الغالى والكبير

imadeddine wissam · 8 يوليو 2014

ABDELHAK AS قال:
...هدا هو رابطك اخي ...enjoy
[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
[/hide]

amr saad قال:
من عينى يا غالى

شكرااا لكما ياغالييين

ABDELHAK AS · 8 يوليو 2014

imadeddine wissam · 8 يوليو 2014

◄ kaspersky بدون تشغيل للملفات

White Man · 8 يوليو 2014

الوحش السلوفاكى التهم العينة بالكامل

الفحص :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

المتبيقى :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

الحجز :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

كالعادة يتألق السلوفاكى الناعم

PrinceOfPersia · 8 يوليو 2014

واااااااااااااااو عاش السلوفاكي

جهوا · 8 يوليو 2014

emsisoft

المتبقي

MR.BRAIN · 8 يوليو 2014

نتيجة الكاسبر سمول اوفيس سكيورتي و بتاريخ 8-7 2014

المكتشف بفحص النقرة اليمنى

الباقي

دمتم بود

MagicianMiDo32 · 8 يوليو 2014

المكافي 2

المكتشف مش المتبقي

MagicianMiDo32 · 8 يوليو 2014

amr saad قال:
الوحش السلوفاكى التهم العينة بالكامل

الفحص :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

المتبيقى :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

الحجز :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

كالعادة يتألق السلوفاكى الناعم

ياااه
دا كله اكتشاف بالهيروستيك

MagicianMiDo32 · 8 يوليو 2014

الشيخ مكافي

بالفحص أكتشف 2 !!!!!>> كتير قوي عليه دول مش صح

وبمجرد فتح مجلد العينة
أشتغل المدفع الرشاش

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

والمتبقي 9 ب !!

وبالتشغيل

عطبت الملفات لمنعها من الاكسيس بروتيكشن

كود:

الملف الاولسكربتة vbs
يحاول تشغيل نفسه مع بدء التشغيل عن طريق التعديل على الريجستري 
04/07/2014    06:29:14 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\System32\WScript.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Run\Flash Player Update LIVELEAK    Common Maximum 
Protection:Prevent programs registering to autorun    Action blocked : Create
^
^(لاحظ ان السلوك المكتشف حاليا هو نفس سلوك فيروس يونس الاخير الذي لم يكشفه )
04/07/2014    06:29:15 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\System32\WScript.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Flash Player Update LIVELEAK    
Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Create

أنزل نفسه في مجلد التيمب 
04/07/2014    06:29:17 ص    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    C:\Windows\System32\WScript.exe    C:\Users\Medo\AppData\Local\Temp\Flash Player Update LIVELEAK.vbe    Anti-spyware Maximum Protection:Prevent execution of scripts from the Temp folder    Action blocked : Read

يحاول التعديل على المتصفح 
04/07/2014    06:29:20 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\System32\WScript.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect    Anti-spyware 
Standard Protection:Protect Internet Explorer favorites and settings    Action blocked : Create

أستخرج نفسه في مجلد التيمب 
04/07/2014    06:29:21 ص    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    C:\Windows\System32\wscript.exe    C:\Users\Medo\AppData\Local\Temp\Flash Player Update LIVELEAK.vbe    Anti-spyware Maximum Protection:Prevent execution of scripts from the Temp folder    Action blocked : Read
^
^^
04/07/2014    06:29:22 ص    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    C:\Windows\System32\wscript.exe    C:\Users\Medo\AppData\Local\Temp\Flash Player Update LIVELEAK.vbe    Anti-spyware Maximum Protection:Prevent execution of scripts from the Temp folder    Action blocked : Read

يحاول اضافة نفسة الى بدء التشغيل 
04/07/2014    06:29:24 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\System32\wscript.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Run\Flash Player Update LIVELEAK    Common Maximum 
Protection:Prevent programs registering to autorun    Action blocked : Create


04/07/2014    06:29:25 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\System32\wscript.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Flash Player Update LIVELEAK    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Create

04/07/2014    06:29:26 ص    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    C:\Windows\System32\wscript.exe    C:\Users\Medo\AppData\Local\Temp\Flash Player Update LIVELEAK.vbe    Anti-spyware Maximum Protection:Prevent execution of scripts from the Temp folder    Action blocked : Read

04/07/2014    06:29:26 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\System32\wscript.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Run\Flash Player Update LIVELEAK    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Create

04/07/2014    06:29:27 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\System32\wscript.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Flash Player Update LIVELEAK    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Create


04/07/2014    06:29:28 ص    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    C:\Windows\System32\wscript.exe    C:\Users\Medo\AppData\Local\Temp\Flash Player Update LIVELEAK.vbe    Anti-spyware Maximum Protection:Prevent execution of scripts from the Temp folder    Action blocked : Read
لو لاحظتم هنا البرنامج يعيد نفه في حلقة تكرارية وذلك لحجبه من المكافي 
=====

الملف الثاني

يحاول أضافة نفسه في بدء التشغيل عن طريق الريجستري
04/07/2014    06:29:29 ص    Blocked by Access Protection rule     Medo-PC\Medo    D:\Compressed\2014-07-07_38\2014-07-07_38\HiddenSightCrypter.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Flash Player    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Create

====
المف 2
فتح جلسة svchost  وأحتضان object من النوع non gui object 
يعني انه يحتضن ملف لايملك واجهة رسومية  
04/07/2014    06:29:29 ص    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    C:\Windows\System32\svchost.exe    D:\Compressed\2014-07-07_38\2014-07-07_38\Invoice.scr    Anti-virus Maximum Protection:Prevent svchost executing non-Windows executables    Action blocked : Execute
====

الملف 3
يحاول أضافة نفسه مع بدء التشغيل عن طريق الريجستري

04/07/2014    06:29:31 ص    Blocked by Access Protection rule     Medo-PC\Medo    D:\Compressed\2014-07-07_38\2014-07-07_38\HiddenSightCrypter.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Create

يحاول الأستيلاء على صلاحيات ملف ال winlogon 
هجمة permission Spoofing attack ]>> * شاهد آخر الموضوع

04/07/2014    06:29:41 ص    Blocked by Access Protection rule     Medo-PC\Medo    D:\Compressed\2014-07-07_38\2014-07-07_38\HiddenSightCrypter.exe    C:\Users\Medo\AppData\Roaming\Microsoft\winlogon.exe    Anti-virus Standard Protection:Prevent Windows Process spoofing    Action blocked : Create


قام باستخراج ملف في مجلد التيمب باسم winupdate.exe
04/07/2014    06:29:43 ص    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    C:\Windows\System32\svchost.exe    C:\Users\Medo\AppData\Local\Temp\WINUPDATE.EXE    Anti-spyware Maximum Protection:Prevent all programs from running files from the Temp folder    Action blocked : Execute


04/07/2014    06:29:47 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Users\Medo\AppData\Local\Temp\WINUPDATE.EXE    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Flash Player    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Create


04/07/2014    06:29:48 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Users\Medo\AppData\Local\Temp\WINUPDATE.EXE    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Create

04/07/2014    06:29:48 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Users\Medo\AppData\Local\Temp\WINUPDATE.EXE    C:\Users\Medo\AppData\Roaming\Microsoft\winlogon.exe    Anti-virus Standard Protection:Prevent Windows Process spoofing    Action blocked : Create

================
الملف رقم 1 يعيد الحلقة التكرارية مجددا
04/07/2014    06:29:50 ص    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    C:\Windows\System32\wscript.exe    C:\Users\Medo\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat    Anti-spyware Maximum Protection:Prevent execution of scripts from the Temp folder    Action blocked : Read

04/07/2014    06:29:51 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\System32\wscript.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect    Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings    Action blocked : Create

قام بأضافة قيمة في الريجستري حللها المكافي وحذفها
04/07/2014    06:30:02 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\System32\wscript.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoDetect    Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings    Action blocked : Delete


================

الملف رقم 4

يريد التعديل على أعجدادات الريجستري الخاصة بالمتصفح 
04/07/2014    06:30:23 ص    Blocked by Access Protection rule     Medo-PC\Medo    D:\Compressed\2014-07-07_38\2014-07-07_38\New Order(1).exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect    Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings    Action blocked : Create

=====
المف رقم 1 مجدادا
04/07/2014    06:30:51 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\System32\wscript.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Run\Flash Player Update LIVELEAK    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Create

04/07/2014    06:30:52 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\System32\wscript.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Flash Player Update LIVELEAK    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Create
04/07/2014    06:30:54 ص    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    C:\Windows\System32\wscript.exe    C:\Users\Medo\AppData\Local\Temp\Flash Player Update LIVELEAK.vbe    Anti-spyware Maximum Protection:Prevent execution of scripts from the Temp folder    Action blocked : Read


04/07/2014    06:31:21 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\System32\wscript.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{3A4A30F5-024E-45A4-AC05-635F34D9E5E0}_{7AC51306-6A3F-49A3-B9D6-3FC46BEA12E0}_{CF8D5900-4DD5-4D51-B1DE-F7CFA52A3712}\WpadDecisionReason    Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings    Action blocked : Create

04/07/2014    06:32:05 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\System32\wscript.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Run\Flash Player Update LIVELEAK    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Create

04/07/2014    06:32:06 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\System32\wscript.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Flash Player Update LIVELEAK    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Create

04/07/2014    06:32:07 ص    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    C:\Windows\System32\wscript.exe    C:\Users\Medo\AppData\Local\Temp\Flash Player Update LIVELEAK.vbe    Anti-spyware Maximum Protection:Prevent execution of scripts from the Temp folder    Action blocked : Read

04/07/2014    06:33:02 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\System32\wscript.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{3A4A30F5-024E-45A4-AC05-635F34D9E5E0}_{7AC51306-6A3F-49A3-B9D6-3FC46BEA12E0}_{CF8D5900-4DD5-4D51-B1DE-F7CFA52A3712}\WpadDecisionReason    Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings    Action blocked : Create

04/07/2014    06:33:03 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\System32\wscript.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Run\Flash Player Update LIVELEAK    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Create
04/07/2014    06:33:04 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\System32\wscript.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Flash Player Update LIVELEAK    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Create

04/07/2014    06:33:05 ص    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    C:\Windows\System32\wscript.exe    C:\Users\Medo\AppData\Local\Temp\Flash Player Update LIVELEAK.vbe    Anti-spyware Maximum Protection:Prevent execution of scripts from the Temp folder    Action blocked : Read

04/07/2014    06:33:10 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\system32\DllHost.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings    Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings    Action blocked : Create
04/07/2014    06:33:11 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\System32\wscript.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{3A4A30F5-024E-45A4-AC05-635F34D9E5E0}_{7AC51306-6A3F-49A3-B9D6-3FC46BEA12E0}_{CF8D5900-4DD5-4D51-B1DE-F7CFA52A3712}\WpadDecisionReason    Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings    Action blocked : Create
===============
الملف الخامس
يحاول التعديل على الريجستري 
أعدادت المتصفح 
04/07/2014    06:33:13 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Users\Medo\AppData\Roaming\Imci\wodyc.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect    Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings    Action blocked : Create
============
الملف السادس 
التعديل على الريجستري لفتح جلسة ra 
طبعا عند فتح جلسة ra أحيانا   التعديل على بعض أعدادات المتصفح 
كذلك الكيلوجرز عند سرقة كلمات المرور من المتصفح 
04/07/2014    06:34:33 ص    Blocked by Access Protection rule     Medo-PC\Medo    D:\Compressed\2014-07-07_38\2014-07-07_38\PO Tmoney2014.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect    Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings    Action blocked : Create

يقوم الآن باستدعاء الكوماند برومبت 
04/07/2014    06:34:50 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\System32\cmd.exe    C:\Users\Medo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PO Tmoney2014.exe    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Create

يحاول الآن اضافة ريجستري باستخدام ملفreg.exe
04/07/2014    06:34:51 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\system32\reg.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Run\ibanibomaom    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Create

يحاول الأتصال بالهكر عن طريق البورت 80 
04/07/2014    06:35:21 ص    Would be blocked by port blocking rule  (rule is currently not enforced)     D:\Compressed\2014-07-07_38\2014-07-07_38\PO Tmoney2014.exe    Common Maximum Protection:Prevent HTTP communication    77.72.80.15:80

يحاول الآن أرسال التبليغ الى الهكر


04/07/2014    06:35:27 ص    Blocked by port blocking rule     D:\Compressed\2014-07-07_38\2014-07-07_38\PO Tmoney2014.exe    Anti-virus Standard Protection:Prevent mass mailing worms from sending mail    173.194.66.108:587
========================

الملف السابع 
التعديل على المتصفح لفتح جلسة ra وذلك بالتعديل على المسار المذكور
04/07/2014    06:35:35 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect    Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings    Action blocked : Create

أستخراج ملف بات في مجل دالتيمب لبدأ الاتصال بالميتا 
04/07/2014    06:35:36 ص    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    C:\Windows\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe    C:\Users\Medo\AppData\Local\Temp\17725781.bat    Anti-spyware Maximum Protection:Prevent all programs from running files from the Temp folder    Action blocked : Execute
=====
الملف الثامن 
التعديل على الريجستري
04/07/2014    06:36:15 ص    Blocked by Access Protection rule     Medo-PC\Medo    D:\Compressed\2014-07-07_38\2014-07-07_38\new order.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect    Anti-spyware 
Standard Protection:Protect Internet Explorer favorites and settings    Action blocked : Create

يحاول أضافة نفسه الى بدء التشغيل
04/07/2014    06:36:19 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\system32\svchost.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Run\Sysinternals    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Create
التعديل على الريجستري واضافة نفسه في بدء التشغيل
04/07/2014    06:36:22 ص    Blocked by Access Protection rule     Medo-PC\Medo    D:\Compressed\2014-07-07_38\2014-07-07_38\new order.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Create
============
الملف السادس مجدادا
يحاول أضافة نفسه الى بدء التشغيل
04/07/2014    06:37:02 ص    Blocked by Access Protection rule     Medo-PC\Medo    C:\Windows\system32\reg.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Create

التاسع أكتشف بالارتيميز عند أستخراج نفسه

أتمنى أن يعجبكم التحليل

إداري سابق

توقيع : White Man

فائز بمسابقة التصميم الموسم العاشر،(خبراء زيزووم)

توقيع : imadeddine wissamimadeddine wissam is verified member.

عضو شرف

توقيع : ABDELHAK AS

فائز بمسابقة التصميم الموسم العاشر،(خبراء زيزووم)

توقيع : imadeddine wissamimadeddine wissam is verified member.

عضو شرف

توقيع : ABDELHAK AS

إداري سابق

توقيع : White Man

إداري سابق

توقيع : White Man

فائز بمسابقة التصميم الموسم العاشر،(خبراء زيزووم)

توقيع : imadeddine wissamimadeddine wissam is verified member.

عضو شرف

توقيع : ABDELHAK AS

فائز بمسابقة التصميم الموسم العاشر،(خبراء زيزووم)

توقيع : imadeddine wissamimadeddine wissam is verified member.

إداري سابق

توقيع : White Man

زيزوومي VIP

توقيع : PrinceOfPersia

زيزوومى متألق

زيزوومى محترف

توقيع : MR.BRAIN

مراقب قسم الحماية ، خبراء زيزووم

توقيع : MagicianMiDo32

مراقب قسم الحماية ، خبراء زيزووم

توقيع : MagicianMiDo32

مراقب قسم الحماية ، خبراء زيزووم

توقيع : MagicianMiDo32

توقيع : imadeddine wissam

توقيع : imadeddine wissam

توقيع : imadeddine wissam

توقيع : imadeddine wissam