Leaderboard

info: E un executabil care trebuie oprit, postati aici metoda cu care ati oprit procesul! (daca reusiti screen: down: http://www.mediafire.com/?tijyzxzqyin ------------------------------------------------------- edited: daca dati click pe x si se inchide inseamna ca ceva nu e in regula! ca sa nu mai postez aiurea am sa dau edit: @sosetutza pai si daca se pune la startup? @sosetutza nu se pune ca daca se punea ma injurau unii, am zis asa doar @sosetutza iedea e ca trebuie oprit procesul (intrebarea e: cum?), daca il puneam la startup atunci cei care il executau daca nu reuseau sa il opreasca se enervau... si se poate sa se adauge la startup intr-un timp rapid, daca il stergi de la startup el sa se adauge iar si daca nu il opresti atunci nu il poti scoate nici de la startup dar in fine... intrebarea ramane, cum opresti procesul? -------- @loki "programul" nu functioneaza fara sys-ul ala, probabil antivirusul il blocheaza si programul nu isi poate face treaba, nu stiam ca e "detectat" de antivirus... daca ai chef poti incerca pe o masina virtuala fara conectare la net sau ceva.. hehee.. nu merge nici ala.. vezi video, in video cu el am incercat .. le: am facut un mic video pentru a intelege care e ideea: http://www.mediafire.com/?mmzzefojymj @dragosh1904 bravo

Thanks. Virusul se copiaza in Windows/system32/cgsb.exe si se pune la startup in ( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell ). Iconita e de Internet Explorer. Ca sa scapati de el stergeti acel fisier. Ciudat, ls startup, locatia de executare apare cu o virgula inainte. La rulare arata un ProgressBar urat, si la sfarsit da eroare: "Unable to Register ActiveX...". Cred ca foloseste OpenSSL, copiaza in system32 libeay32.dll si ssleay32.dll. Nu sunt sigur. Cred ca acel "setup" care probabil e un binder scris in Delphi, contine 5 fisiere. Mai copiaza si YahooAuth2.dll ( Bricksoft nu Yahoo! la Company Name, ciudat ). Si cred ca ar mai fi MSIMTF.DLL ( Microsoft ). EDIT: La a doua rulare, s-a copiat sub numele de xdbyqdn.exe. Asta inseamna ca numele e aleator, sau poate avea un anumit numar de nume posibile. CA SA SCAPATI DE EL: Intrati in Windows\system32 si stergeti executabilul/executabilele cu iconita de INTERNET EXPLORER ( 6 ). Revin cu mai multe detalii.