نـقـاش اداة مشبوهه غير مكتشفه الا من برنامج حماية واحد وتحتوي على توقيع رقمي !!

أبــدا المــوقـع الذي قمت بتحميـل منـه غير مشبوه ., > وكون التطبيق ملغوم لايعني أن الموقع المحمل منـه مشبوه !!

 

.. , مع أحترامي لايقوم بتحميـل التطبييقـات من مواقعها الرسميـة دائما الا شخص لــ هذه الدرجة أخذ احتياطاته !!

 

.., ولماذا ميكروسوفت بالذات !!!؟؟؟

 

ومــع هذا صدقني معظم الناس يأخذون هذه الأداة من غير موقعها الرسمـي !!

 

ممكن ملغومة

 

Process Explorer من شركة مايكروسوفت وامن تماما
فيه خاصية داخل البرنامج تقوم بإرسال البروسس لفيروس توتال وتبلغك إذا هي امنه أو لا ، وهذا سبب الاتصال والله أعلم

بالتوفيق​

 

أعرف أن الاداة من شركة الـ المايكروسوفت ولكـن الفكرة أن هنـاك من عدل عليها وقام بــ حقنها بتروجان !!! > أما مسالة انـه سبب أتصالها هو فتحـ لـ موقع فيروس توتال فـ مع أحترامي لك الأداة لم تقم بفتح موقع فيروس توتال ... !!

 

لم استطع تحميل الملف ؟ هل تستطيع رفعه مجدد

 

جرب الرابط التالي : https://www.mediafire.com/file/thm3clwvoxyqu3n/procexp.rar/file

الباسورد : 1234567

 

Yandex هو مجرد متصفح نت وليس برنامج متخصص للحماية ولكن تم تصنيف الملف من قبل برنامج الايست اعلى الاعدادات على انه برنامج غير مرغوب فيه ربما يكون اكتشاف كاذب

 

ولماذا أكتشاف كاذب ؟؟ أبدا بل الواضح ان هذا علامة أخرى على ان التطبيق مصاب .. !!

 

C:\Users\"UserName"\AppData\Local\Temp\procexp64.exe
File Path: C:\Windows\System32\drivers\procexp152.sys
Key Path: HKEY_CURRENT_USER\machine\System\CurrentControlSet\Services\PROCEXP152
File Path: C:\Windows\System32\wbem

البرنامج يتصل مع C:\Windows\System32\wbem\WmiPrvSE.exe
ولقد استخرجت ملف PROCEXP152 بواسطه برنامج PE Explorer
لكن مبرمج بلـغه c++ وانا لا اعرف لهذي اللغه اللعينة ممكن يكون ^_^ ويمكن لآ

 

البرنامج مبرمج في سنه 2017 , والبروسيس الي عندي محمله من موقع مايكروسوفت في سنة 2019
ممكن يكون في تعديل

 

File Version : 16.32.0.0
File Description : Sysinternals Process Explorer (procexp.exe)
File Path : C:\Documents and Settings\Administrator\Desktop\procexp\procexp.exe
Process ID : 0xC80 (Heximal) 3200 (Decimal)

Connection origin : local initiated
Protocol : TCP
IP Address : 192.168.2.17
Port : 1126
Host : crl.microsoft.com
Remote Address : 79.139.95.112
Port : 80 (HTTP - World Wide Web)
Binary dump of the packet:
0000: 9C 74 1A A5 D6 ED 00 0C : 29 D6 26 D5 08 00 45 00 | .t......).&...E.
0010: 00 30 03 96 40 00 80 06 : 85 7D C0 A8 02 11 4F 8B | .0..@....}....O.
0020: 5F 70 04 66 00 50 8D 9D : 50 F6 00 00 00 00 70 02 | _p.f.P..P.....p.
0030: FA F0 33 30 00 00 02 04 : 05 B4 01 01 04 02 72 6F | ..30..........ro
0040: 73 6F 66 74 03 63 6F 6D : 00 00 01 00 | soft.com....

 

سؤال هذه الاتصال خاص بـ الأداة الموجوده بالموضوع وبالنفس الاصدار او أصدار مختلف ؟؟؟

 

نعم نفس الموجود بالموضوع , اعتقد الاتصال من نفس مايكرسوفت او اذا المبرمج لديه حيله فما اعلم لأني ضعيف في لغه c++