• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

ملف للفحص والتحليل

  • بادئ الموضوع بادئ الموضوع prince.egy
  • تاريخ البدء تاريخ البدء
  • المشاهدات 2,254
الحالة
مغلق و غير مفتوح للمزيد من الردود.
medo32 قال:
ياريت ياشباب اي احد يشغله!!
لو جاء عضو مثلا ولغم بالمنتدى
وفحصت الملف فوجته سليم
تروح تقوله تمام الملف سليم في حين انه ملغم !
ويروح يجيب صحابه بقى يقولهم المنتدى دا حلو لغموا فيه
الاعضاء الي فيه بيفحصو بالانتي فيرس
وبيجيب ضحايا كتير!
أنقر للتوسيع...
اذا اردت حبيبي ميدو ساقوم بحذف الافاست وتنصيب الكاسبر لتشغيل الملف على نظامي الحقيقي بعد قليل
 

توقيع : imadeddine wissamimadeddine wissam is verified member.
imadeddine wissam قال:
اذا اردت حبيبي ميدو ساقوم بحذف الافاست وتنصيب الكاسبر لتشغيل الملف على نظامي الحقيقي بعد قليل
أنقر للتوسيع...
لا أخي استخدم البرنامج الذي تحبه:oops::cry:
 
توقيع : MagicianMiDo32
ملاحظة لصاحب الموضوع : اعد رفع الملف بكلمة مرور infected فضلا
 
توقيع : imadeddine wissamimadeddine wissam is verified member.
medo32 قال:
لا أخي استخدم البرنامج الذي تحبه:oops::cry:
أنقر للتوسيع...
في الحقيقية الكاسبر هو ما احب لكن للضرورة احكام الرام 2 جيغا فقط
 
توقيع : imadeddine wissamimadeddine wissam is verified member.
السلام عليكم ورحمة الله وبركاته

ساجيبكم في الحال ان شاء الله
 
توقيع : BERROHO
قمت بتشغيل الملف في وجود الافاست

bal9kPj.png


ثم

ظهرت النافذة

qccJXQP.png


kKIGfsP.png


F39AXcP.png
 
توقيع : imadeddine wissamimadeddine wissam is verified member.
عند الوصول للنتيجة اخر صورة أوقفت عمل البرنامج فهو خبيث
[hide][/hide]

u2539821.png

krn39821.png

wn339821.png

nwp39821.png


والله عالى واعلم الصور امامكم
 
توقيع : BERROHO
الجي داتا لم يحرك ساكنا اثناء التشغيل

هذا تقرير عن عمليات الملف بأدات BSA

كود: 
Report generated with Buster Sandbox Analyzer 1.88 at 15:01:46 on 13/02/2015

[ General information ]
   * File name: C:\Users\Abdelkarim\Desktop\test\Frankony.exe

[ Changes to filesystem ]
   * Creates file C:\Windows\Microsoft.NET\Framework\v2.0.50727\config\enterprisesec.config.cch
   * Creates file C:\Windows\Microsoft.NET\Framework\v2.0.50727\config\security.config.cch
   * Creates file C:\Users\Abdelkarim\AppData\Local\Microsoft\CLR_v2.0_32\UsageLogs\Frankony.exe.log
   * Modifies file C:\Users\Abdelkarim\AppData\Local\Microsoft\Windows\WebCache\V01.chk
   * Creates file C:\Users\Abdelkarim\AppData\Local\Temp\RarSFX0\ComponentFactory.Krypton.Toolkit.dll
   * Creates file C:\Users\Abdelkarim\AppData\Local\Temp\RarSFX0\Frankony.exe
   * Creates file C:\Users\Abdelkarim\AppData\Local\Temp\RarSFX0\Frankony.exe.config

[ Changes to registry ]
   * Creates value "NukeOnDelete=00000001" in key HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket
   * Creates value "UseGlobalSettings=00000001" in key HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket
   * Modifies value "NukeOnDelete=00000001" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{4e06393b-978c-11e4-974c-806e6f6e6963}
          old value empty
   * Modifies value "NukeOnDelete=00000001" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{9644160d-4a86-11e4-9717-806e6f6e6963}
          old value empty
   * Modifies value "NukeOnDelete=00000001" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{9644160e-4a86-11e4-9717-806e6f6e6963}
          old value empty
   * Empties value "CachePrefix" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Content
         old value "CachePrefix=0000"
   * Creates value "(Default)=31" in key HKEY_CURRENT_USER\software\SandboxAutoExec
   * Creates value "Frankony.exe.FriendlyAppName=Frankony.exe" in key HKEY_CURRENT_USER\software\classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\Users\Abdelkarim\Desktop\test
                                     binary data=4600720061006E006B006F006E0079002E006500780065000000
   * Creates value "Frankony.exe.FriendlyAppName=Frankony" in key HKEY_CURRENT_USER\software\classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\Sandbox\Abdelkarim\DefaultBox\user\current\AppData\Local\Temp\RarSFX0
                                     binary data=4600720061006E006B006F006E0079000000
   * Creates value "Frankony.exe.ApplicationCompany=Efham Computer" in key HKEY_CURRENT_USER\software\classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\Sandbox\Abdelkarim\DefaultBox\user\current\AppData\Local\Temp\RarSFX0
                                        binary data=45006600680061006D00200043006F006D00700075007400650072000000

[ Network services ]

[ Process/window/string information ]
   * Keylogger functionality.
   * Gets system default language ID.
   * Gets input locale identifiers.
   * Gets computer name.
   * Checks for debuggers.
   * Opens a service named "PcaSvc".
   * Starts a service.
   * Creates an event named "Global\CorDBIPCSetupSyncEvent_5276".
   * Creates an event named "83ca2bfd-5c03-43ac-b5c8-b21304f54f2f1.0Event".
   * Creates an event named "83ca2bfd-5c03-43ac-b5c8-b21304f54f2f1.0Event2".
   * Creates a mutex "Global\.net clr networking".
   * Enables privilege SeShutdownPrivilege.
   * Enables privilege SeCreatePagefilePrivilege.
   * Creates process "C:\Program Files\Cyberfox\Cyberfox.exe, "C:\Program Files\Cyberfox\Cyberfox.exe" -osint -url "http://www.efhamcomputer.com/", C:\Users\Abdelkarim\AppData\Local\Temp\RarSFX0".
   * Injects code into process "C:\Program Files\Cyberfox\Cyberfox.exe".
   * Enables process privileges.
   * Sleeps 10 seconds.
 
الملف مضغوط بالوينرار ويقوم بفك ضغط الملفات الموجودة فى مجلد %temp%

[hide]
;The comment below contains SFX script commands

Setup=Frankony.exe
TempMode
Silent=1
Overwrite=2

[/hide]

ويقوم بإتصال واحد خاص بموقع الأداة
[hide]
موقع عربى معروف
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


اى بى الموقع
192.198.89.42
[/hide]

الملف نظيف ولا يوجد اى شبهة به
 
توقيع : White Man
medo32 قال:
ياريت ياشباب اي احد يشغله!!
لو جاء عضو مثلا ولغم بالمنتدى
وفحصت الملف فوجته سليم
تروح تقوله تمام الملف سليم في حين انه ملغم !
ويروح يجيب صحابه بقى يقولهم المنتدى دا حلو لغموا فيه
الاعضاء الي فيه بيفحصو بالانتي فيرس
وبيجيب ضحايا كتير!
أنقر للتوسيع...
:(:cry::cry:
متقلقش قيصرح لهم بالمرصاد :cool:
 
توقيع : White Man
imadeddine wissam قال:
ملاحظة لصاحب الموضوع : اعد رفع الملف بكلمة مرور infected فضلا
أنقر للتوسيع...
ملحوظة اخى انا لم ارفعه ولم احضره من مكان اخر انا وجدته بقسم البرامج العامة امام الكل والرابط من نفس الموضوع وارفقت الموضوع والرابط منه
 
توقيع : prince.egy
تمام معه الصلاحيات
لكن لايوجد اي اتصال مع اي هوست
اذا الملف سليم :)
 
توقيع : MagicianMiDo32
[hide]
64.4.10.33:123

[/hide]
من تقرير التوتال >> الأداة بتتصل بالاى بى والبورت الموجودين
حد رصد الإتصال ده عنده ؟
 
توقيع : White Man
medo32 قال:
تمام معه الصلاحيات
لكن لايوجد اي اتصال مع اي هوست
اذا الملف سليم :)
أنقر للتوسيع...
الملف مكشوف من اغلب برامج الحماية كما ان النورتن اشتبه به
 
Amr Saad قال:
الملف مضغوط بالوينرار ويقوم بفك ضغط الملفات الموجودة فى مجلد %temp%

[hide]
;The comment below contains SFX script commands

Setup=Frankony.exe
TempMode
Silent=1
Overwrite=2

[/hide]

ويقوم بإتصال واحد خاص بموقع الأداة
[hide]
موقع عربى معروف
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


اى بى الموقع
192.198.89.42
[/hide]




الملف نظيف ولا يوجد اى شبهة به
أنقر للتوسيع...


حسب تجربتي المتواضعة فانا لست خبيرا في تحليل الملفات ، البرمجيات التي تعطي أجهزة الحماية كل هذه الإنذارات لحظة تسطيبها تكون بالفعل خبيثة + الملف لا يفك الظغط فقط عم ملفاته في مجلد uppdata

و temps بل ينتقل للإكسبلورر وأيضا لخاصية المسؤول وهكذا كل ما تسمح له يتغلغل في النظام

والله اعلى واعلم متابع لاستفيد

 
توقيع : BERROHO
Amr Saad قال:
[hide]
64.4.10.33:123

[/hide]
من تقرير التوتال >> الأداة بتتصل بالاى بى والبورت الموجودين
حد رصد الإتصال ده عنده ؟
أنقر للتوسيع...
ايوة لقيته في تقرير الفيرس توتال
تقريبا سيرفر الترجمة
جرب تحاول تترجم كلمة بدون نت شوف هيترجمها ولا لأ
 
توقيع : MagicianMiDo32
undertiker قال:
الملف مكشوف من اغلب برامج الحماية كما ان النورتن اشتبه به
أنقر للتوسيع...
عادى , وما المشكلة أخى
تشفيرة مصطفى الأخيرة مكشوفة من محرك حماية واحد فقط
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

هل هذا يعنى أنها نظيفة

يوجد أداة بقسم الصيانة من برمجة الأخ تركى بعض المحركات تكتشفها على انها مصابة .. فهل هذا يعنى انها مصابة ؟
المحرك ليس هو الفيصل او الحكم .. سلوكيات الملف وإتصالاته الخارجية المشبوهة هى التى تبين هل الملف ملغوم ام نظيف
==


BERROHO قال:
حسب تجربتي المتواضعة فانا لست خبيرا في تحليل الملفات ، البرمجيات التي تعطي أجهزة الحماية كل هذه الإنذارات لحظة تسطيبها تكون بالفعل خبيثة + الملف لا يفك الظغط فقط عم ملفاته في مجلد uppdata

و temps بل ينتقل للإكسبلورر وأيضا لخاصية المسؤول وهكذا كل ما تسمح له يتغلغل في النظام

والله اعلى واعلم متابع لاستفيد
أنقر للتوسيع...
العفو أخى ,, كلنا نتعلم من بعضنا

لاحظ مسار الفك الموجود فى الملف المضغوط (كليك يمين عليه >> فتح بواسطة الوينرار وستحصل عليه)
TempMode
+
من الأرمور

11.webp


وبعد إغلاق الأداة يقوم بحذف هذه الملفات

12.webp


بالنسبة للإكسبلورر .. هى العملية التى قامت بتشغيل الملف
(مستكشف الويندوز وهو المسئول عن تشغيل اغلب التطبيقات على الجهاز)
اما صلاحيات المسئول .. ليست محل شبهة
 
توقيع : White Man
medo32 قال:
ايوة لقيته في تقرير الفيرس توتال
تقريبا سيرفر الترجمة
جرب تحاول تترجم كلمة بدون نت شوف هيترجمها ولا لأ
أنقر للتوسيع...
ترجم عادى ..
+
لم يتصل عندى بهذا الاى بى نهائياً
 
توقيع : White Man
undertiker قال:
الملف مكشوف من اغلب برامج الحماية كما ان النورتن اشتبه به
أنقر للتوسيع...
اخي المحرك لايثبت اذا ما كان الملف ملغما ام لا
 
توقيع : MagicianMiDo32
Amr Saad قال:
ترجم عادى ..
+
لم يتصل عندى بهذا الاى بى نهائياً
أنقر للتوسيع...
لعله سيرفر موقع الب نامج فالفيرس توتال استخرجه من السترنجات
 
توقيع : MagicianMiDo32
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى