Malware sul sito web codecguide.com

Naviga le tue risposte
0

Il sito web codecguide.com offre un pacchetto di codec. Durante l'installazione, ha installato segretamente un plug-in del browser che sembra molto sospetto. Il plugin è presumibilmente qui: http://www.codecguide.com/browsersecurity.ini È sicuro? Ha installato un file eseguibile s768.exe che contiene i testi:

"TWndMethod MessageTMessage ;A ¯ÓI ;A Message ÔI HÔI (ÔI .ÔI PœA ðz@ øz@ ôsB 8~@ X~@ \~@ '~@ T~@ ˆx@ ¤x@ ürB œsB @sB ELoginCredentialErrorHÔI ELoginCredentialError ÔI x¢A System.Classes „ÔI "TLoginCredentialService.TLoginFunc´"@ @ System.Classes ÿÿ ØÔI #TLoginCredentialService.TLoginEvent SenderTObjectUsernamestringPasswordstringDomainstringHandledBoolean Œ@ ¸@ ¸@ ¸@ @ lÕI Œ@ Sender ¸@ Username ¸@ Password ¸@ Domain @ Handled ÄÕI -TLoginCredentialService.TLoginCredentialEvent SenderTObject Callback#TLoginCredentialService.TLoginEventSuccessBoolean Œ@ ÔÔI @ WÖI Œ@ Sender ÔÔI Callback @ Success äÖI €×I äÖI ÿÖI "

Sembra che stia raccogliendo informazioni e agendo molto sospettosamente. Salva le immagini del profilo da Skype in una cartella separata, contiene uno script chiamato inject.js e alcuni file di dati strani. Ho creato una cartella di tutti i file che sono stati modificati durante o dopo l'installazione e desidero inviarlo a una società di sicurezza.

Dove posso controllare il programma installato?

    
posta imonaboat 06.10.2016 - 12:53
fonte

2 risposte

2

Prova a utilizzare il sito Web VirusTotal dove puoi caricare i file sospetti e li scansionerà per rilevare eventuali malware (la dimensione massima del file è 128MB). Ci sono anche altri scanner online che potrebbero prenderlo .

Puoi anche provare a caricare su uno di questi online servizi sandbox per analizzare comportamenti sospetti.

Se le scansioni non mostrano nulla, il modo migliore per preservare la macchina infetta sarebbe di creare un'immagine VM di essa usando Disk2vhd strumento di Microsoft per preservare il suo stato attuale in modo da poter tornare a uno stato noto precedente se si desidera riprodurre un determinato comportamento.

    
risposta data 06.10.2016 - 15:14
fonte
1

Posso confermarlo. La mia esperienza è stata quella di scaricare K-Lite dal sito CodecGuide e, durante l'installazione, Anvir Task Manager mi informa che s768.exe vuole caricare e connettersi durante l'avvio del sistema. Questo vuole essere un "estensione di Firefox" (in realtà è presente nel repository dei componenti aggiuntivi di Firefox) ma esegue un'installazione nascosta perché non è possibile trovare nulla nel pannello dei componenti aggiuntivi di Firefox. Così ho fatto delle ricerche e ho trovato qualcosa a riguardo. È legato alla compagnia Vondos.de e quando è attivo questo spyware invia i dati a: miyagi.browser-service.net L'infezione include alcune cartelle UserData di Firefox e puoi trovare i file releted alla ricerca nel tuo pc per "browser-security". Anche nella chiave: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ Browser-Security

Per rispondere a @ Anders Il mio file browser-secutiry.ini, dopo aver eseguito AdwCleaner (che mette in quarantena solo s768.exe, ma non pulisce le cartelle releted) mostra questo:

  • [Dati]
  • url = http: // file. vondos.de/1.2.0/klite.exe
  • size = 5704400
  • minversion = 1220
  • SHA1 = 1e0452cd7155888a65a48c6b46a03540be31888a

La speranza può aiutare. Saluti

    
risposta data 15.11.2016 - 13:26
fonte

Leggi altre domande sui tag

Come è una mappa di rete di ufficio, casa o scuola? [chiuso] IDS per Personal Computer (Mac)