Saudações!
2012-10-10 00:13 . 2012-06-09 17:21 178688 ----a-w- c:\windows\system32\unrar.dll
2012-10-10 00:13 . 2012-10-10 00:14 -------- d-----w- c:\program files\K-Lite Codec Pack
2012-10-10 00:13 . 2012-10-10 00:13 4872568 ----a-w- c:\users\Barão\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Barão.exe
2012-10-10 00:13 . 2012-10-10 00:13 -------- d-----w- c:\program files\SystemCodec
#####
"A criação dos arquivos do hijacker está na hora exata da do K-Lite Codec Pack.
Ele criou uma pasta que dizia ser de um codec e dentro tinha um falso codec, o fddshow.exe.
HKLM\...\Run: [SystemCodec] "C:\Program Files\SystemCodec\fddshow.exe" [4872568 2012-10-09] ()
Então já é outra pista que foi baixado com o Pack do K-Lite, pois é um pacote que tem diversos codecs e o malware quis se passar por um, para enganar e não levantar suspeitas."
|- Eis trecho do relatório da OTL e explicações de Sam Spade,que demonstra ser "fddshow.exe" falso codec.
|- Digo que os criadores do arquivo malicioso tentou fazê-lo passar pelo ffdshow,que é legítimo. ( Filtro de decodificação DirectShow para descompressão de filmes DivX.. )
|- Temos aqui,informações sobre fddshow,que pertence a BCD Travel Software e que não oferece maiores detalhes sobre seu arquivo.
|- Segundo System Explorer,o arquivo é recente e não exibe nomes do produto e/ou companhia.
|- Segundo Navegação Segura,da Google,o malware direciona navegadores ao startpins,que apresenta ação hijacker segundo alguns utilizadores.
"O PC ta iniciando o firefox e o explorer com um tal de startpins e com isso as paginas estao dando problemas. O PC parece que ficou "louco" depois disso. Obrigado."
(Duendebr)
< R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1 >
|- De fato!Pois ao executar fddshow.exe ele estabeleceu esta página inicial.
( .. by joram )
#####Cuidado com os falsos codecs que vem com softwares ou pacote de codecs,oriundos de sites suspeitos ou não credenciados para distribuir esses programas.O colega Sam Spade em sua proposição original,deparou-se com uma ocorrência que veio corroborar com seu artigo "Cuidado com os falsos codecs".
2012-10-10 00:13 . 2012-06-09 17:21 178688 ----a-w- c:\windows\system32\unrar.dll
2012-10-10 00:13 . 2012-10-10 00:14 -------- d-----w- c:\program files\K-Lite Codec Pack
2012-10-10 00:13 . 2012-10-10 00:13 4872568 ----a-w- c:\users\Barão\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Barão.exe
2012-10-10 00:13 . 2012-10-10 00:13 -------- d-----w- c:\program files\SystemCodec
#####
"A criação dos arquivos do hijacker está na hora exata da do K-Lite Codec Pack.
Ele criou uma pasta que dizia ser de um codec e dentro tinha um falso codec, o fddshow.exe.
HKLM\...\Run: [SystemCodec] "C:\Program Files\SystemCodec\fddshow.exe" [4872568 2012-10-09] ()
Então já é outra pista que foi baixado com o Pack do K-Lite, pois é um pacote que tem diversos codecs e o malware quis se passar por um, para enganar e não levantar suspeitas."
|- Eis trecho do relatório da OTL e explicações de Sam Spade,que demonstra ser "fddshow.exe" falso codec.
|- Digo que os criadores do arquivo malicioso tentou fazê-lo passar pelo ffdshow,que é legítimo. ( Filtro de decodificação DirectShow para descompressão de filmes DivX.. )
|- Temos aqui,informações sobre fddshow,que pertence a BCD Travel Software e que não oferece maiores detalhes sobre seu arquivo.
|- Segundo System Explorer,o arquivo é recente e não exibe nomes do produto e/ou companhia.
|- Segundo Navegação Segura,da Google,o malware direciona navegadores ao startpins,que apresenta ação hijacker segundo alguns utilizadores.
"O PC ta iniciando o firefox e o explorer com um tal de startpins e com isso as paginas estao dando problemas. O PC parece que ficou "louco" depois disso. Obrigado."
(Duendebr)
< R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1 >
|- De fato!Pois ao executar fddshow.exe ele estabeleceu esta página inicial.
( .. by joram )
Sáb Mar 23, 2024 10:28 am por joram
» KpRm ( ... by Kernel-panik )
Ter Ago 11, 2020 9:47 pm por joram
» ESET Rogue Applications Remover ( ... by Eset.com )
Sáb Ago 01, 2020 7:49 am por joram
» PW Clean 2.7 ( ... by Doutor PW )
Ter maio 15, 2018 9:27 am por joram
» CKScanner ( ... by askey127 )
Sáb maio 05, 2018 1:12 pm por joram
» AdwCleaner ( ... by XPlode )
Seg Abr 16, 2018 8:47 am por joram
» ZHPDiag ( ... de Nicolas Coolman )
Sáb Abr 14, 2018 8:56 am por joram
» Argente - Registry Cleaner ( ... by Argente Software )
Dom Nov 19, 2017 4:36 pm por joram
» ListChkdskResult ( ... by SleepyDude )
Dom Set 24, 2017 1:39 pm por joram