Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Mülltonne (https://www.trojaner-board.de/muelltonne/)
-   -   Download Protect - vollständig erkennen (https://www.trojaner-board.de/156391-download-protect-vollstaendig-erkennen.html)

M-K-D-B 13.07.2014 09:54
Download Protect - vollständig erkennen
 
Servus,


Seit einigen Wochen, wenn nicht sogar schon Monaten, kommen User zu uns, da sie Probleme mit "Download Protect" haben.

Erschreckenderweise gibt es reihenweise Themen, in denen die Infektion nur teilweise von Mitgliedern des Helferteams entfernt wird, ab und zu wurde sie sogar komplett übersehen.

Daher habe ich ein paar Informationen über diese Adware gesammelt, in der Hoffnung, dass alle davon profitieren können.



Erkennungsmöglichkeiten:


1) Erkennung durch Namen
Die folgenden Einträge lassen definitiv darauf schließen, dass der Rechner mit "Download Protect" infiziert ist:
Zitat:
HKLM-x32\...\Run: [Download Protect] => C:\ProgramData\dlprotect.exe
R4 DlProtectSvc; C:\Windows\System32\DlProtectSvc.exe [124928 2014-05-12] ()
Diese beiden Einträge (Autostart + Dienst) treten jedoch eher selten auf.



2) Dienste
Beispielhaft habe ich Dienste gesammelt, die im Zusammenhang mit "Download Protect" gebracht werden können:
Zitat:
R2 cscriptd; C:\Windows\system32\profextd.exe [118784 2014-01-09] () [File not signed]
R2 msra64; C:\Windows\system32\framedzn.exe [119296 2014-05-30] () [File not signed]
R2 ipconfjg; C:\Windows\system32\wmp64.exe [119296 2014-07-04] () [File not signed]
R2 ntprintd; C:\Windows\system32\icardied.exe [118784 2014-04-03] () [File not signed]
R2 ieUnattd; C:\Windows\system32\clidonfg.exe [106496 2012-09-11] () [File not signed]
R2 autochkd; C:\Windows\system32\QUTIL64.exe [106496 2012-09-30] () [File not signed]
R2 ocsetupd; C:\Windows\system32\crypttvc.exe [119296 2014-06-12] () [File not signed]
R2 rasphonf; C:\Windows\system32\wuauengd.exe [117760 2013-06-29] () [File not signed]
R2 dialer64; C:\windows\system32\upnp64.exe [120832 2014-05-03] () [File not signed]
R2 DivXDodecVersionChecker; C:\WINDOWS\system32\Nlsdl64.exe [120832 2014-05-14] ()
User beschweren sich oft, dass sie "Download Protect" nicht entfernen können... und wenn sie es tun, ist der Schädling nach einem Neustart wieder da. Grund dürfte ein derartiger Dienst sein. Einige Treffer bei Herdprotect lassen darauf schließen, dass es sich hierbei um einen Downloader handelt.



3) BHO
Seit Neuestem generiert "Download Protect" auch Einträge im Internet Explorer, wie z. B.:
Zitat:
BHO: DownloadProtect Extension - {C654F3FE-8E84-4BB7-87CF-8D9171FC3C73} - C:\Program Files\{BF383C42-B9F2-4E89-87A9-5CCF49AD4CD8}\{5A40C85E-65CD-49BD-8F21-3D2152009E4F}.bin (Download Protect)
BHO: DownloadProtect Extension - {C654F3FE-8E84-4BB7-87CF-8D9171FC3C73} - C:\Program Files\{FF1C7D9B-342F-475C-AC3C-0E336C60C2BD}\{7AF8D8E5-0F57-49D4-BAE4-F55A97E21519}.bin (Download Protect)
BHO: DownloadProtect Extension - {C654F3FE-8E84-4BB7-87CF-8D9171FC3C73} - C:\Program Files\{544D3980-CA43-4962-801B-80B113B2DA5D}\{0285C2DD-12CF-4A3F-A8B7-2B51B4107310}.bin (Download Protect)
BHO: DownloadProtect Extension - {C654F3FE-8E84-4BB7-87CF-8D9171FC3C73} - C:\Program Files\{81CABC00-945A-4E2F-8651-E3519688C63F}\{F9A72EB3-41B4-4863-8C07-BE055869DBFD}.bin (Download Protect)
BHO-x32: DownloadProtect Extension - {C654F3FE-8E84-4BB7-87CF-8D9171FC3C73} - C:\Program Files (x86)\{AB5ADC3D-C993-4A6C-B302-A5AC341599D0}\{8DC1A167-3E5F-4A32-8D14-D85A0878A929}.bin (Download Protect)
BHO-x32: DownloadProtect Extension - {C654F3FE-8E84-4BB7-87CF-8D9171FC3C73} - C:\Program Files (x86)\{1B824946-75EE-4EE7-9682-333E0364C66C}\{CD5834E1-E485-44BD-A03F-4CB15D48DDE4}.bin (Download Protect)
BHO-x32: DownloadProtect Extension - {C654F3FE-8E84-4BB7-87CF-8D9171FC3C73} - C:\Program Files (x86)\{91F04974-7027-4F26-8836-B146D73721BC}\{F9FF583F-7400-429D-8D85-D22FD21AD6FE}.bin (Download Protect)
Auffallend in diesen BHOs sind sowohl der Ordner unter %ProgramFiles% als auch die .bin datei, da beide wie eine GUID aussehen.



4) FF
Die bisher am häufigsten auftretende Variante befällt Firefox und erzeugt u. a. folgende Einträge:
Zitat:
FF HKLM-x32\...\Firefox\Extensions: [{E2B2D0E7-6FA3-4056-99B9-B77244F90DFC}] - C:\WINDOWS\Installer\{68C802A5-2967-4E5B-9754-F2B8DBAB1106}\{E2B2D0E7-6FA3-4056-99B9-B77244F90DFC}.xpi
FF HKLM-x32\...\Firefox\Extensions: [{038F7C2F-4F03-48D5-9366-646F0CF3D5F8}] - C:\WINDOWS\Installer\{7DE888E3-FAC8-44B9-94AB-F17534D57E03}\{038F7C2F-4F03-48D5-9366-646F0CF3D5F8}.xpi
FF HKLM-x32\...\Firefox\Extensions: [{CFF4473C-66B9-4DD0-AA8E-1930E6F90DB4}] - C:\Windows\Installer\{207C1063-88DD-43B8-9A80-043FF676C046}\{CFF4473C-66B9-4DD0-AA8E-1930E6F90DB4}.xpi
FF HKLM-x32\...\Firefox\Extensions: [{D5D4D0DD-9BA9-43F3-8D66-E380409CEDB2}] - C:\Windows\Installer\{388FE79F-D6FB-4A7C-B908-21DAB4628F3D}\{D5D4D0DD-9BA9-43F3-8D66-E380409CEDB2}.xpi
FF HKLM-x32\...\Firefox\Extensions: [{6055B52C-B785-4E92-A556-1FF2F9B038BA}] - C:\Windows\Installer\{53588732-FE57-4C55-B66C-AE46E4E77759}\{6055B52C-B785-4E92-A556-1FF2F9B038BA}.xpi
FF HKLM-x32\...\Firefox\Extensions: [{60243C39-D2EA-4D7A-8F10-9227700B9156}] - C:\Windows\Installer\{F669D510-606C-4634-92B4-E18462A8A39C}\{60243C39-D2EA-4D7A-8F10-9227700B9156}.xpi
FF HKLM-x32\...\Firefox\Extensions: [{705EBC13-54EC-4407-93B0-8CEDB78B73AB}] - C:\Windows\Installer\{0410F1BA-37DA-4C22-BE96-969443040523}\{705EBC13-54EC-4407-93B0-8CEDB78B73AB}.xpi
FF HKLM-x32\...\Firefox\Extensions: [{95E74FBE-4841-47DD-BC32-323DDD4488D5}] - C:\WINDOWS\Installer\{5BFC3D8F-82A8-4300-8E81-C6E6C461096C}\{95E74FBE-4841-47DD-BC32-323DDD4488D5}.xpi
FF HKLM-x32\...\Firefox\Extensions: [{754C09DF-D672-454D-8988-4A0E12D36237}] - C:\Windows\Installer\{27F06CD8-29BD-43E4-9C8E-5B64A18F2319}\{754C09DF-D672-454D-8988-4A0E12D36237}.xpi
FF HKLM-x32\...\Firefox\Extensions: [{CA03242C-EE6E-4B3A-AF33-3A21C94FB1AB}] - C:\Windows\Installer\{4BFEB9A5-18C7-4449-B2DD-49294B6B8F3C}\{CA03242C-EE6E-4B3A-AF33-3A21C94FB1AB}.xpi
FF HKLM-x32\...\Firefox\Extensions: [{5EF71537-879F-499F-9243-0C6E411950AD}] - C:\Windows\Installer\{DAECA23F-177A-4127-BDB7-6ECDD8597D69}\{5EF71537-879F-499F-9243-0C6E411950AD}.xpi
FF HKLM-x32\...\Firefox\Extensions: [{814128C1-938E-4910-B1D2-C3367967BFCD}] - C:\Windows\Installer\{72635193-F3B1-4234-A516-B8254A2B741A}\{814128C1-938E-4910-B1D2-C3367967BFCD}.xpi
FF HKLM-x32\...\Firefox\Extensions: [{29090E1C-8CC6-4845-BADE-9320483961E7}] - C:\windows\Installer\{8528CF35-D69E-429A-8B2E-688E2A2FEA66}\{29090E1C-8CC6-4845-BADE-9320483961E7}.xpi
FF HKLM-x32\...\Firefox\Extensions: [{BE274E68-3CF3-453A-8286-C08508EE8238}] - C:\WINDOWS\Installer\{3AAD13D1-999B-4311-A006-2DDD704E13CF}\{BE274E68-3CF3-453A-8286-C08508EE8238}.xpi
Zitat:
FF Extension: Download Protect - C:\WINDOWS\Installer\{3AAD13D1-999B-4311-A006-2DDD704E13CF}\{BE274E68-3CF3-453A-8286-C08508EE8238}.xpi [2014-06-09]
FF Extension: No Name - C:\WINDOWS\Installer\{5BFC3D8F-82A8-4300-8E81-C6E6C461096C}\{95E74FBE-4841-47DD-BC32-323DDD4488D5}.xpi [2014-05-30]
FF Extension: Download Protect - C:\Windows\Installer\{1B0358DF-6E47-405B-9357-9E6DC6D7AAD1}\{18148679-999F-41E7-84B7-926FDC34966E}.xpi [2014-07-06]
FF Extension: Download Protect - C:\WINDOWS\Installer\{68C802A5-2967-4E5B-9754-F2B8DBAB1106}\{E2B2D0E7-6FA3-4056-99B9-B77244F90DFC}.xpi [2014-05-24]
FF Extension: Download Protect - C:\WINDOWS\Installer\{7DE888E3-FAC8-44B9-94AB-F17534D57E03}\{038F7C2F-4F03-48D5-9366-646F0CF3D5F8}.xpi [2014-07-08]
FF Extension: No Name - C:\Windows\Installer\{207C1063-88DD-43B8-9A80-043FF676C046}\{CFF4473C-66B9-4DD0-AA8E-1930E6F90DB4}.xpi [2014-07-12]
FF Extension: Download Protect - C:\Windows\Installer\{388FE79F-D6FB-4A7C-B908-21DAB4628F3D}\{D5D4D0DD-9BA9-43F3-8D66-E380409CEDB2}.xpi [2014-07-12]
FF Extension: Download Protect - C:\Windows\Installer\{53588732-FE57-4C55-B66C-AE46E4E77759}\{6055B52C-B785-4E92-A556-1FF2F9B038BA}.xpi [2014-06-24]
FF Extension: Download Protect - C:\Windows\Installer\{F669D510-606C-4634-92B4-E18462A8A39C}\{60243C39-D2EA-4D7A-8F10-9227700B9156}.xpi [2014-07-10]
FF Extension: Download Protect - C:\Windows\Installer\{0410F1BA-37DA-4C22-BE96-969443040523}\{705EBC13-54EC-4407-93B0-8CEDB78B73AB}.xpi [2014-07-03]
FF Extension: No Name - C:\Windows\Installer\{461BCF88-3C28-42C9-B6E1-24DAAA5CC4C1}\{A2208F17-3673-4170-988C-7650AB61FEB9}.xpi []
FF Extension: Download Protect - C:\Windows\Installer\{27F06CD8-29BD-43E4-9C8E-5B64A18F2319}\{754C09DF-D672-454D-8988-4A0E12D36237}.xpi [2014-07-01]
FF Extension: Download Protect - C:\Windows\Installer\{4BFEB9A5-18C7-4449-B2DD-49294B6B8F3C}\{CA03242C-EE6E-4B3A-AF33-3A21C94FB1AB}.xpi [2014-05-23]
FF Extension: Download Protect - C:\Windows\Installer\{DAECA23F-177A-4127-BDB7-6ECDD8597D69}\{5EF71537-879F-499F-9243-0C6E411950AD}.xpi [2014-06-15]
FF Extension: Download Protect - C:\Windows\Installer\{72635193-F3B1-4234-A516-B8254A2B741A}\{814128C1-938E-4910-B1D2-C3367967BFCD}.xpi [2014-06-20]
FF Extension: Download Protect - C:\Windows\Installer\{72635193-F3B1-4234-A516-B8254A2B741A}\{814128C1-938E-4910-B1D2-C3367967BFCD}.xpi [2014-06-20]
FF Extension: Download Protect - C:\windows\Installer\{8528CF35-D69E-429A-8B2E-688E2A2FEA66}\{29090E1C-8CC6-4845-BADE-9320483961E7}.xpi [2014-06-15]
FF Extension: Download Protect - C:\WINDOWS\Installer\{3AAD13D1-999B-4311-A006-2DDD704E13CF}\{BE274E68-3CF3-453A-8286-C08508EE8238}.xpi [2014-06-09]
Auffallend ist auch hier wieder ein Ordner im "GUID-Format" unter C:\WINDOWS\Installer sowie eine .xpi Datei mit selbigem Erscheinungsbild.




5) CHR
Auch Google Chrome wird befallen, bei der Erkennung muss man sich derzeit auf FRST verlassen, da es die Namen bisher anzeigt, wie z. B.:
Zitat:
CHR Extension: (Download Protect) - C:\Users\Johannes\AppData\Local\Google\Chrome\User Data\Default\Extensions\ihkebkimdfeodjmpogjbjbjdniiglimc [2014-07-08]
CHR Extension: (Download Protect) - C:\Users\hendrik\AppData\Local\Google\Chrome\User Data\Default\Extensions\nonhnhfphollagifhliijdpeonocoell [2014-06-07]
CHR Extension: (Download Protect) - C:\Users\Packard Bell\AppData\Local\Google\Chrome\User Data\Default\Extensions\depcbfamocoogogoanbookffmpjgefhj [2014-06-02]
CHR Extension: (Download Protect) - C:\Users\OEM\AppData\Local\Google\Chrome\User Data\Default\Extensions\eaneilmmckmcpebnpbpccpbjjgiofplg [2014-07-01]
CHR Extension: (Download Protect) - C:\Users\Steffi\AppData\Local\Google\Chrome\User Data\Default\Extensions\ahgaofdplachcmmbndfoegodlenjpidd [2014-02-08]
CHR Extension: (Download Protect) - C:\Users\Steffi\AppData\Local\Google\Chrome\User Data\Default\Extensions\jjaffjdpplgpmclfpefcgfophnbelaho [2013-11-14]
CHR Extension: (Download Protect) - C:\Users\Jawad\AppData\Local\Google\Chrome\User Data\Default\Extensions\npnodbngghncaikgllkeebaneekkihhp [2014-06-15]


Solltet Ihr Änderungen/neue Varianten feststellen, so postet diese bitte hier. :daumenhoc

Xplode ist an einer Erkennung interessiert, benötigt aber samples. Am besten könnt ihr helfen, wenn ihr Usern die samples bei TB hochladen lasst, dann kann ich sie an ihn weiterleiten.

Happy Hunting! :snyper:

M-K-D-B 14.07.2014 13:33
Link to topic


Einträge von "Download Protect":
Zitat:
() C:\Windows\System32\ext-ms-xin-gdi-path-l1-1-0.exe
HKLM-x32\...\Run: [Download Protect] => C:\ProgramData\dlprotect.exe
C:\ProgramData\dlprotect.exe
R2 dialer64; C:\Windows\system32\ext-ms-xin-gdi-path-l1-1-0.exe [119296 2014-06-28] () [File not signed]
C:\Windows\system32\ext-ms-xin-gdi-path-l1-1-0.exe
BHO: DownloadProtect Extension - {C654F3FE-8E84-4BB7-87CF-8D9171FC3C73} - C:\Program Files\{85F3241B-F579-4213-90ED-0C7DCD6E76BC}\{A1C45655-3CE1-42A1-BA5C-4B3C28FFB90F}.bin No File
BHO-x32: DownloadProtect Extension - {C654F3FE-8E84-4BB7-87CF-8D9171FC3C73} - C:\Program Files (x86)\{E5C5A92D-F196-4C2D-A750-ED1F4E46B3D8}\{FABDCFEB-BE2C-4C23-BF68-EB14520F969C}.bin No File
C:\Program Files (x86)\{E5C5A92D-F196-4C2D-A750-ED1F4E46B3D8}
FF HKLM-x32\...\Firefox\Extensions: [{9FFE8AB7-2F86-4DA7-9CA2-70837155AB60}] - C:\Windows\Installer\{2A22734F-37C3-4FB8-979F-1CF9F0D55B06}\{9FFE8AB7-2F86-4DA7-9CA2-70837155AB60}.xpi
FF Extension: Download Protect - C:\Windows\Installer\{2A22734F-37C3-4FB8-979F-1CF9F0D55B06}\{9FFE8AB7-2F86-4DA7-9CA2-70837155AB60}.xpi [2014-07-13]
C:\Windows\Installer\{2A22734F-37C3-4FB8-979F-1CF9F0D55B06}
CHR Extension: (Download Protect) - C:\Users\Nat\AppData\Local\Google\Chrome\User Data\Default\Extensions\baophokmealfbhhdbolnaiccbpmlfhcj [2014-07-13]

Registry Einträge:
Zitat:
Searching for "DownloadProtect"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C654F3FE-8E84-4BB7-87CF-8D9171FC3C73}]
@="DownloadProtect Extension"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C654F3FE-8E84-4BB7-87CF-8D9171FC3C73}\ProgID]
@="DPBHO.DownloadProtect.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C654F3FE-8E84-4BB7-87CF-8D9171FC3C73}\VersionIndependentProgID]
@="DPBHO.DownloadProtect"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPBHO.DownloadProtect]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPBHO.DownloadProtect]
@="DownloadProtect Extension"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPBHO.DownloadProtect\CurVer]
@="DPBHO.DownloadProtect.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPBHO.DownloadProtect.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPBHO.DownloadProtect.1]
@="DownloadProtect Extension"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F2DB3739-77FB-41EB-9ED3-ABF34DF2DBF7}]
@="IDownloadProtect"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{C654F3FE-8E84-4BB7-87CF-8D9171FC3C73}]
@="DownloadProtect Extension"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{C654F3FE-8E84-4BB7-87CF-8D9171FC3C73}\ProgID]
@="DPBHO.DownloadProtect.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{C654F3FE-8E84-4BB7-87CF-8D9171FC3C73}\VersionIndependentProgID]
@="DPBHO.DownloadProtect"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{F2DB3739-77FB-41EB-9ED3-ABF34DF2DBF7}]
@="IDownloadProtect"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C654F3FE-8E84-4BB7-87CF-8D9171FC3C73}]
@="DownloadProtect Extension"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C654F3FE-8E84-4BB7-87CF-8D9171FC3C73}]
@="DownloadProtect Extension"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{C654F3FE-8E84-4BB7-87CF-8D9171FC3C73}]
@="DownloadProtect Extension"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{C654F3FE-8E84-4BB7-87CF-8D9171FC3C73}\ProgID]
@="DPBHO.DownloadProtect.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{C654F3FE-8E84-4BB7-87CF-8D9171FC3C73}\VersionIndependentProgID]
@="DPBHO.DownloadProtect"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Interface\{F2DB3739-77FB-41EB-9ED3-ABF34DF2DBF7}]
@="IDownloadProtect"

M-K-D-B 16.07.2014 10:17
Link to topic


Einträge von "Download Protect":
Zitat:
() C:\Windows\System32\IMJP10Kd.exe
R2 DevjcePairingWizard; C:\Windows\system32\IMJP10Kd.exe [118784 2013-12-31] () [File not signed]
C:\Windows\system32\IMJP10Kd.exe
BHO: DownloadProtect Extension -> {C654F3FE-8E84-4BB7-87CF-8D9171FC3C73} -> C:\Program Files\{2FE6C9B6-B8E4-4FD7-A1CA-734A89606A00}\{2A73FD93-1E24-41C1-B052-25510B4F9A4B}.bin (Download Protect)
BHO-x32: DownloadProtect Extension -> {C654F3FE-8E84-4BB7-87CF-8D9171FC3C73} -> C:\Program Files (x86)\{07ED2973-4419-4DE8-B2B8-D6F68E0417CD}\{5A4BC89A-1425-4ABE-B417-6A0A390EE7D7}.bin (Download Protect)
C:\Program Files\{2FE6C9B6-B8E4-4FD7-A1CA-734A89606A00}
C:\Program Files (x86)\{07ED2973-4419-4DE8-B2B8-D6F68E0417CD}
FF HKLM-x32\...\Firefox\Extensions: [{6FFC60CF-017D-4EC8-A166-F61106BDBBEF}] - C:\Windows\Installer\{9BECBB49-D9B7-4EF7-BB93-3D5646EEFD5F}\{6FFC60CF-017D-4EC8-A166-F61106BDBBEF}.xpi
FF Extension: Download Protect - C:\Windows\Installer\{9BECBB49-D9B7-4EF7-BB93-3D5646EEFD5F}\{6FFC60CF-017D-4EC8-A166-F61106BDBBEF}.xpi [2014-07-15]
C:\Windows\Installer\{9BECBB49-D9B7-4EF7-BB93-3D5646EEFD5F}

M-K-D-B 18.07.2014 13:49
Link to topic


Einträge von "Download Protect":
Zitat:
() C:\Windows\System32\cabinetd.exe
HKLM-x32\...\Run: [Download Protect] => C:\ProgramData\dlprotect.exe
C:\ProgramData\dlprotect.exe
BHO: DownloadProtect Extension -> {C654F3FE-8E84-4BB7-87CF-8D9171FC3C73} -> C:\Program Files\{DD735998-B37D-4449-991D-003E10D89429}\{03E6451C-89EE-47A9-AEAF-F46AC6037ECE}.bin (Download Protect)
C:\Program Files\{DD735998-B37D-4449-991D-003E10D89429}
BHO-x32: DownloadProtect Extension -> {C654F3FE-8E84-4BB7-87CF-8D9171FC3C73} -> C:\Program Files (x86)\{F7F3436E-69D2-4EFE-831F-D2AAA8D3A596}\{9119F298-74AE-4A47-A892-EFD930B671D1}.bin (Download Protect)
C:\Program Files (x86)\{F7F3436E-69D2-4EFE-831F-D2AAA8D3A596}
FF Extension: Download Protect - C:\Windows\Installer\{518C071A-CBFF-4247-8E97-D6E22BAAC952}\{05365689-6DBB-400E-8562-F3B48FC3360B}.xpi [2014-07-18]
FF Extension: No Name - C:\Windows\Installer\{DF3D9725-25C7-4CC5-B5C7-70C5D9163604}\{72061DD8-3D66-4EEA-9F00-5D7E2AC90CC8}.xpi []
C:\Windows\Installer\{DF3D9725-25C7-4CC5-B5C7-70C5D9163604}
R2 nsloolup; C:\Windows\system32\cabinetd.exe [119296 2014-06-26] () [File not signed]
C:\Windows\system32\cabinetd.exe

M-K-D-B 28.07.2014 13:35
Mit v3.300 hat Xplode eine generische Erkennung für DownloadProtect eingefügt. :)

Es wird sich zeigen, wie gut sie ist.


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131