07.09.2012, 12:17
marsellus napisał(a):tachion napisał(a):Hmm a więc tak obczaiłem sobie tego Crystal Security
napisany jest Microsoft Visual C#/Basic.NET entropia 5,80 można określić jako średnia program prze zemnie jest klasyfikowany jako spyware/keylogger,co robi a no na tyle że podczas uruchomienia i przy otwartej przeglądarce odczytuje wszystkie strony jakie w tym momencie są otwarte czyli ich zawartość głownie zdjęcia,avatary,jak i ikony i zrzuca je do folderu ukrytego w tej lokalizacji C:\Users\tachion\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5
U mnie również tworzył się ten folder tyle że podczas skanowania (przy odpalaniu nie):
[ Changes to filesystem ]
* Creates file C:\Documents and Settings\aaa\Cookies\aaa@doubleclick[1] .txt
* Creates file C:\Documents and Settings\aaa\Cookies\aaa@nictasoft[1] .txt
* Creates file C:\Documents and Settings\aaa\Cookies\aaa@yadro[1] .txt
* Modifies file C:\Documents and Settings\aaa\Cookies\index.dat
* Creates file (empty) C:\Documents and Settings\aaa\Dane aplikacji\Crystal Security\ActivityMonitor.txt
* Creates file (empty) C:\Documents and Settings\aaa\Dane aplikacji\Crystal Security\Blacklist.txt
* Creates file (empty) C:\Documents and Settings\aaa\Dane aplikacji\Crystal Security\CustomArea.txt
* Creates file C:\Documents and Settings\aaa\Dane aplikacji\Crystal Security\CustomType.txt
* Creates file C:\Documents and Settings\aaa\Dane aplikacji\Crystal Security\Settings.txt
* Creates file (empty) C:\Documents and Settings\aaa\Dane aplikacji\Crystal Security\Whitelist.txt
* Modifies file C:\Documents and Settings\aaa\Ustawienia lokalne\Dane aplikacji\Microsoft\Internet Explorer\MSIMGSIZ.DAT
* Modifies file C:\Documents and Settings\aaa\Ustawienia lokalne\Historia\History.IE5\index.dat
* Modifies file C:\Documents and Settings\aaa\Ustawienia lokalne\Historia\History.IE5\MSHist012012090720120908\index.dat
* Creates file C:\Documents and Settings\aaa\Ustawienia lokalne\Temporary Internet Files\Content.IE5\7UIXJN1Y\CA25Y5YB.htm
* Creates file C:\Documents and Settings\aaa\Ustawienia lokalne\Temporary Internet Files\Content.IE5\7UIXJN1Y\facebook_connect[1] .gif
* Creates file C:\Documents and Settings\aaa\Ustawienia lokalne\Temporary Internet Files\Content.IE5\7UIXJN1Y\show_ads_impl[2] .js
* Creates file C:\Documents and Settings\aaa\Ustawienia lokalne\Temporary Internet Files\Content.IE5\7UIXJN1Y\style[2] .css
* Creates file C:\Documents and Settings\aaa\Ustawienia lokalne\Temporary Internet Files\Content.IE5\D5FSN6AW\CANUJRS9.htm
* Creates file C:\Documents and Settings\aaa\Ustawienia lokalne\Temporary Internet Files\Content.IE5\D5FSN6AW\dbsearch[1] .htm
* Creates file C:\Documents and Settings\aaa\Ustawienia lokalne\Temporary Internet Files\Content.IE5\D5FSN6AW\en-000000[1] .png
* Creates file C:\Documents and Settings\aaa\Ustawienia lokalne\Temporary Internet Files\Content.IE5\D5FSN6AW\logo[1] .gif
* Creates file C:\Documents and Settings\aaa\Ustawienia lokalne\Temporary Internet Files\Content.IE5\D5FSN6AW\osd[2] .js
* Modifies file C:\Documents and Settings\aaa\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
* Creates file C:\Documents and Settings\aaa\Ustawienia lokalne\Temporary Internet Files\Content.IE5\O1N972UJ\dbsearch[1] .htm
* Creates file C:\Documents and Settings\aaa\Ustawienia lokalne\Temporary Internet Files\Content.IE5\O1N972UJ\show_ads[2] .js
* Creates file C:\Documents and Settings\aaa\Ustawienia lokalne\Temporary Internet Files\Content.IE5\O1N972UJ\twitter_connect[1] .gif
* Creates file C:\Documents and Settings\aaa\Ustawienia lokalne\Temporary Internet Files\Content.IE5\T34WR7BO\bg[1] .png
* Creates file C:\Documents and Settings\aaa\Ustawienia lokalne\Temporary Internet Files\Content.IE5\T34WR7BO\dbsearch[1] .htm
* Creates file C:\Documents and Settings\aaa\Ustawienia lokalne\Temporary Internet Files\Content.IE5\T34WR7BO\render_ads[2] .js
* Creates file C:\Documents and Settings\aaa\Ustawienia lokalne\Temporary Internet Files\Content.IE5\T34WR7BO\s[1] .htm
[ Changes to registry ]
* Deletes Registry key HKEY_LOCAL_MACHINE\software\Classes\clsid\{DE1F7EEF-1851-11D3-939E-0004AC1ABE1F}
* Modifies value "Name=CrystalSecurity_2.4.5.31(dobreprogramy.pl).exe" in key HKEY_LOCAL_MACHINE\software\microsoft\DirectDraw\MostRecentApplication
old value "Name=uninstaller.exe"
* Modifies value "ID=50435974" in key HKEY_LOCAL_MACHINE\software\microsoft\DirectDraw\MostRecentApplication
old value "ID=2A425E19"
* Modifies value "NukeOnDelete=00000001" in key HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket
old value empty
* Modifies value "SavedLegacySettings=3C0000003200000001000000000000000000000000000000040000000000000010C08F0AA20CCC01010000000A00020F0000000000000000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
old value "SavedLegacySettings=3C0000003100000001000000000000000000000000000000040000000000000010C08F0AA20CCC01010000000A00020F0000000000000000"
[ Network services ]
* Queries DNS spoc-pool-gtm.norton.com
* Queries DNS pagead2.googlesyndication.com
* Queries DNS googleads.g.doubleclick.net
* Queries DNS counter.yadro.ru
* Queries DNS[Aby zobaczyć linki, zarejestruj się tutaj]
* Queries DNS http://www.google.com
* C:\Documents and Settings\aaa\Pulpit\CrystalSecurity_2.4.5.31(dobreprogramy.pl).exe Connects to "31.170.163.239" on port 80 (TCP - HTTP).
* C:\Documents and Settings\aaa\Pulpit\CrystalSecurity_2.4.5.31(dobreprogramy.pl).exe Connects to "31.170.163.241" on port 80 (TCP - HTTP).
* C:\Documents and Settings\aaa\Pulpit\CrystalSecurity_2.4.5.31(dobreprogramy.pl).exe Connects to "85.17.167.4" on port 80 (TCP - HTTP).
* C:\Documents and Settings\aaa\Pulpit\CrystalSecurity_2.4.5.31(dobreprogramy.pl).exe Connects to "209.85.148.154" on port 80 (TCP - HTTP).
* C:\Documents and Settings\aaa\Pulpit\CrystalSecurity_2.4.5.31(dobreprogramy.pl).exe Connects to "209.85.148.156" on port 80 (TCP - HTTP).
* C:\Documents and Settings\aaa\Pulpit\CrystalSecurity_2.4.5.31(dobreprogramy.pl).exe Connects to "88.212.196.77" on port 80 (TCP - HTTP).
* C:\Documents and Settings\aaa\Pulpit\CrystalSecurity_2.4.5.31(dobreprogramy.pl).exe Connects to "209.85.148.138" on port 80 (TCP - HTTP).
[ Process/window/string information ]
* No changes
A w nim kilka podfolderów. Kilka razy próbowałem i nie było tam nic co miałem aktualnie otwarte w przeglądarce. Zresztą ciągle było to samo: jakiś .js i kilka obrazków (w każdymto samo):
logo facebooka,
logo twittera,
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
:}
Mikuś napisał(a):Witam,
dostałem odpowiedz w sprawie Crystal Security
wielu z was zadaje sobie mimo wszystko pytania czy ten program to nie czasem szpieg ... odpowiedz jest prosta plik został sprawdzony przez malwarebytes na wylot a odpowiedz brzmi prosto i następująco
"Plik nie jest jednak szkodliwy." - przetłumaczone
Crystal Security nie jest żadnym złosliwym programem
Malwarebytes Anti-Malware