تروجان للفحص ^^

[MagicianMiDo32]

23/07/2014    05:20:01 م    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    D:\Compressed\MTN\MTN.exe    \REGISTRY\USER\S-1-5-21-14795968-3807436459-3956762135-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect    Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings    Action blocked : Create
23/07/2014    05:20:01 م    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    D:\Compressed\MTN\MTN.exe    C:\Users\Medo\AppData\Local\Temp\Microsaofte.exe    Anti-spyware Maximum Protection:Prevent all programs from running files from the Temp folder    Action blocked : Execute
23/07/2014    05:20:13 م    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    C:\Users\Medo\AppData\Local\Temp\Microsaofte.exe    C:\Users\Medo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\56826136b0231a82c5bad985665c2d01.exe    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Create
23/07/2014    05:20:51 م    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    C:\Windows\Explorer.EXE    C:\Users\Medo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\56826136b0231a82c5bad985665c2d01.exe    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Read

 

[MagicianMiDo32]

أضفت قاعدة للـ nips
وتم رصد الأتصال
أظنه سيرفر تحميل الـ Cipher Key
لكن لاتوجد أستجابة =حاليا الملف مَعطوب

23/07/2014    05:28:19 م    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    D:\Compressed\MTN\MTN.exe    C:\Users\Medo\AppData\Local\Temp\Microsaofte.exe    Anti-spyware Maximum Protection:Prevent all programs from running files from the Temp folder    Action blocked : Execute
23/07/2014    05:28:27 م    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    C:\Users\Medo\AppData\Local\Temp\Microsaofte.exe    C:\Users\Medo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\56826136b0231a82c5bad985665c2d01.exe    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Write
23/07/2014    05:28:28 م    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    C:\Windows\Explorer.EXE    C:\Users\Medo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\56826136b0231a82c5bad985665c2d01.exe    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Read
23/07/2014    05:28:30 م    Would be blocked by port blocking rule  (rule is currently not enforced)     C:\Users\Medo\AppData\Local\Temp\Microsaofte.exe    User-defined Rules:الاتصال    94.98.184.180:1177

 

[MagicianMiDo32]

القاعدة التي أضفتها تَشمل الـ Input & Output
لايوجد Input

 

[qysr]

القاعدة التي أضفتها تَشمل الـ Input & Output
لايوجد Input

ملف الاختراق يعمل مباشرة و يقوم بالاتصال

 

[MagicianMiDo32]

ملف الاختراق يعمل مباشرة و يقوم بالاتصال

الله اعلم
سأجرب الـ No Fuser
التشفيرة دوت نت
انا أستهنت به عندما رأيته عامل أي بي ستاتيك

ْ~

 

[MagicianMiDo32]

لايوجد obfustication حتى !!!!

أله

 

[MagicianMiDo32]

بنظره سريعه علي ااملف
عباره عن سيرفر نجرات مشفر بخوارزميه xor ومفتاح فك تشفير الملف والذي يقوم بتشغيل الملف موجود بملف تكست يتم تحميله من النت ومن ثمه يتم تشغيل باتش الاختراق

 

[m0d!s@r7@n]

أضفت قاعدة للـ nips
وتم رصد الأتصال
أظنه سيرفر تحميل الـ Cipher Key
لكن لاتوجد أستجابة =حاليا الملف مَعطوب

23/07/2014    05:28:19 م    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    D:\Compressed\MTN\MTN.exe    C:\Users\Medo\AppData\Local\Temp\Microsaofte.exe    Anti-spyware Maximum Protection:Prevent all programs from running files from the Temp folder    Action blocked : Execute
23/07/2014    05:28:27 م    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    C:\Users\Medo\AppData\Local\Temp\Microsaofte.exe    C:\Users\Medo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\56826136b0231a82c5bad985665c2d01.exe    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Write
23/07/2014    05:28:28 م    Would be blocked by Access Protection rule  (rule is currently not enforced)     Medo-PC\Medo    C:\Windows\Explorer.EXE    C:\Users\Medo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\56826136b0231a82c5bad985665c2d01.exe    Common Maximum Protection:Prevent programs registering to autorun    Action blocked : Read
23/07/2014    05:28:30 م    Would be blocked by port blocking rule  (rule is currently not enforced)     C:\Users\Medo\AppData\Local\Temp\Microsaofte.exe    User-defined Rules:الاتصال    94.98.184.180:1177

من خلال البورت اللي يتصل عليه السيرفر وااملف اللي ينشئه ب startup فهو باتش نجرات لا شك فيه

 

[m0d!s@r7@n]

ملف الاختراق يعمل مباشرة و يقوم بالاتصال

ممكن تفصل النت وتقوم بتشغيل الملف وشوف هل الملف سيقوم بمحاوله اتصال ام لا

 

[MagicianMiDo32]

من خلال البورت اللي يتصل عليه السيرفر وااملف اللي ينشئه ب startup فهو باتش نجرات لا شك فيه

أمال عقدتني مـ اول ليه

دا باتش هلكان

 

[m0d!s@r7@n]

أمال عقدتني مـ اول ليه

دا باتش هلكان

حاول تفكه يدوي وشوف هو هلكان ولا لا

 

[qysr]

ممكن تفصل النت وتقوم بتشغيل الملف وشوف هل الملف سيقوم بمحاوله اتصال ام لا

طبعا ممكن طلباتك اوامر

الملف يشتغل قبل اي اتصال ..

 

[MagicianMiDo32]

حاول تفكه يدوي وشوف هو هلكان ولا لا

 

[m0d!s@r7@n]

طبعا ممكن طلباتك اوامر

مشاهدة المرفق 58281

الملف يشتغل قبل اي اتصال ..

الله يبارك فيك يا الغالي ياسر

 

[MagicianMiDo32]

حَ أجرب فيه بكرة
وَعَ الـ لَـأفكه

 

[tiktoshitiktoshi is verified member.]

مكشوف