مخالف ملف ملغوم ( C-4) وخطير جداجدا

الحالة
مغلق و غير مفتوح للمزيد من الردود.
K

khaled_jtv

زيزوومي VIP
داعــــم للمنتـــــدى
نجم الشهر
إنضم
29 أغسطس 2009
المشاركات
1,782
مستوى التفاعل
2,697
النقاط
1,720
غير متصل
مساء الخير
من بعد اذن مراقبنا وحبيبنا والمشرف على هذا القسم
ارجو منك السماح بهذا الموضوع اخي الحبيب رامي بدران

انا بصراحه يا جماعة الخير لا اجيد التزويق في المواضيع وعمل الدعايات وغير تقليدي

ارجو منكم فحص هذا الملف لانه على راي احدهم خطيير جدا جدا
ويقوم بسرقة الحسابات جميعها ومشفر تشفير ابن ...

يرجى مراعاة الاتي:

يرجى الرفع على فايرس توتل
الملف بدون كلمة سر
تجميد النظام مش ضروري
بس لا تشغل الملف
هيني حكيتلكم ونبهتكم
ممنوع تشغيل الملف

رابط الملف:

اسألو البلبل

اضافه مني معلش بخصوص الملف
خمسة مواقع غير التوتل تم فحص الملف عليها
ويمكنكم الاطلاع عليها بعد الانتهاء من الفحص طبعا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وختامها مسك هينا بنتسلى
يعني شوي جد شوي مزح -اخر الاسبوع;222)
2025-02-20_21-02-25.webp

السبب راح تعرفوه لاحقا
ونصيحه لاخونا انا ما بحب الشو والاستعراض
وفرد العضلات

تحياتي للجميع
 

التعديل الأخير:
بالتوفيق اخي
ننتظر تجاربكم تجارب ممتعه شيقه باذن الله ........ ننتظر التشغيل اليدوي
😉
 
A7mdroid قال:
بالتوفيق اخي
ننتظر تجاربكم تجارب ممتعه شيقه باذن الله ........ ننتظر التشغيل اليدوي
😉
أنقر للتوسيع...
احكيلك ترى انا ما بتجاكر يعني

وشكرا اللك على خوفك على الجميع
وهاي صورة من الاخ الحبيب باسل القرش
الكبير والخبير والمشرف على فحص
الملفات وهو يفحص الملف ويعلق عليه



2025-02-21_07-02-14.webp

وعلى العموم
حرصا مني على المنتدى واعضاء المنتدى
سوف اقوم بحذف الملف وليس خوفا منك
لا سمح الله ولكن لحبي للمنتدى وللاعضاء
حبايبي (وانت لست منهم طبعا)

صحيح فينك يا عم حزمبل
بدنا نعرف حكاية البلبل ;222)
 
التعديل الأخير:
اهلا فيك لا اعلم ماتقصد
تترك او تنشر الملف انت حر اخي قم بنشره ما انا الا ناصح ؟ ( لست مراقب نشر )
ان ساهمت انا بنصيحه فلي الاجر وان لم اساهم ( لا اتقاضى راتب )

جنسيتك غاليه علينا كلنا ولا علاقة لها بالموضوع لامن قريب ولامن بعيد

ان كنت ترمي لشي حدد حتى اجاوب

بالتوفيق
 
يا عم لا تبعت رسايل على الخاص
مش راح ارد عليك
خليها علني احسن
 
تم ننتظر التجارب اليدوي
 
فين رابط الملف يا عم خالد
 
توقيع : Ramy BadraanRamy Badraan is verified member.
خلاص جبته من سجل التعديلات
الملف سليم تماماً مفهوش اى حاجة ،، هو كل الحكاية بيفعل منتجات مايكروسوفت سواء ويندوز او اوفيس
هو فيه اشارات لموقع
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
ودة موقع موثوق فى تفعيل منتجات مايكروسوفت

ودى كل اتصالاته
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
222.184.9.98

ومش شايف فيها حاجة غلط هو بس الاي بى الاخير اللى غريب
بس المهم انه مفهوش اى اوامر wget او curl ده معناه إنه مش بيحاول ينزل أو يشغل ملفات خارجية من سيرفرات غير معروفة
هو ممكن الاشتباه علشان بيستخدم Bypass ودة عادي في أدوات التفعيل عشان تتخطى الحماية الخاصة بويندوز، لكن مش معناه بالضرورة إنه فيروس مثلا
و ومفهوش اى حاجة خبيثة ولا تروجان ولا باك دور ولا حتى اى taskkill ،، هو كل شغله عبارة ان اسطر اوامر ومفهاش ولا سطر بيعمل حاجة مشبوهة
اقولك على حاجة؟؟ دة انضف ملف تفعيل لمايكروسوفت شوفته فى حياتى :222D:222D انا هستخدمه
 
توقيع : Ramy BadraanRamy Badraan is verified member.
مشرفنا العزيز انا اسخدمه من زمان وهو لتفعل الويندوز والاوفيس انت تعرف
الي خبرك انه مشبوه هو يحتاج فحص هههه
 
king 7 قال:
مشرفنا العزيز انا اسخدمه من زمان وهو لتفعل الويندوز والاوفيس انت تعرف
الي خبرك انه مشبوه هو يحتاج فحص هههه
أنقر للتوسيع...
حبيبي :rose: وانا باستخدمه
بس بيني وبينك شكلي راح ابطل استخدمه
يا اخي خفت على الملايين اللي عندي
تتسرق:222ROFLMAO::222ROFLMAO::222ROFLMAO:
 
khaled_jtv قال:
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
أنقر للتوسيع...

هذا الرابط من ضمن روابط ارفقها اخونا خالد للفحص
الكاسبر يقول مالوير ..... ( لان مع الاداه ملف ثاني هو سر الاصابه ملف دفعي ملف bat )
راح تتضح الفكره بالصور
ندخل الرابط اللي فوق ونتابع بالصور ( كل من يقرأ كلامي هذا )

111.png


الكاسبر هنا يقول بعض التفاصيل لانه يرغب من المستخدم الاشتراك ب البرميوم لكن مانحتاج لانه اعطى تفاصيل واضحه

كاتب تحت ( مالوير ) ...................... محدد انا السبب ( bat ) ملف غير ملف اداة التفعيل . هذا الملف ينفذ اوامر اول مايدخل الجهاز لازم نفتحه وحلله بشكل منفصل
نشوف بالصوره فوق باليمين
1 اخضر كلـــــــــــــــــــين
2 غير معروفين ........... طيب وش يقول عنهم الكاسبر ................نروح لليسار (الدائره الحمراء العنصرين الغير معروفين )

فيه رقم واحد وعنده ( علامه صفراء ) ادوير .........

نروح تحت ( الدائره ) ونضغط على احد الاثنين
اضغطوا على الاول حتى نشوف تفاصيل اكثر

هو نفسه هذا الرابط :
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


شوفوا وش يطلع
اضغطوا على ترجمه للصفحه

اختصرها لكم

Screenshot-2025-02-21-155550.png


هذي الصوره تقول ان الاداه للتفعيل لكن معها ملف ( البات ) المدموج اللي مايظهر بفحص فايروس توتال لانه فحص الاداه (مافحص داخل الاداه ) لانه فحص بدون تشغيل

الصوره الاخيره واضحه اداة تفعيل معها الكلام اللي انا قلته ( ملف دفعي يحتوي على اوامر ) هالملف بشهادة كاسبر اللي قال انه مالوير اللي قام بوضعه خالد بالموضوع

قال الكاسبر ان المصابين وبالنسبه اللي امامكم وبتحديد الدوله


قلت هالكلام برساله حتى امنع الحرج
طلبتوا اني اقول ع العام وحصل المراد

اطيب تحيه
 
Ramy Badraan قال:
خلاص جبته من سجل التعديلات
الملف سليم تماماً مفهوش اى حاجة ،، هو كل الحكاية بيفعل منتجات مايكروسوفت سواء ويندوز او اوفيس
هو فيه اشارات لموقع
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
ودة موقع موثوق فى تفعيل منتجات مايكروسوفت

ودى كل اتصالاته
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
222.184.9.98

ومش شايف فيها حاجة غلط هو بس الاي بى الاخير اللى غريب
بس المهم انه مفهوش اى اوامر wget او curl ده معناه إنه مش بيحاول ينزل أو يشغل ملفات خارجية من سيرفرات غير معروفة
هو ممكن الاشتباه علشان بيستخدم Bypass ودة عادي في أدوات التفعيل عشان تتخطى الحماية الخاصة بويندوز، لكن مش معناه بالضرورة إنه فيروس مثلا
و ومفهوش اى حاجة خبيثة ولا تروجان ولا باك دور ولا حتى اى taskkill ،، هو كل شغله عبارة ان اسطر اوامر ومفهاش ولا سطر بيعمل حاجة مشبوهة
اقولك على حاجة؟؟ دة انضف ملف تفعيل لمايكروسوفت شوفته فى حياتى :222D:222D انا هستخدمه
أنقر للتوسيع...
يا عم فخامة الاسم تكفي
الامبراطور حبيبي رامي :222cool:
اكد على الفحص(اولتش انا حاجه)
من بعد اخونا وحبيبنا ومشرفنا
اخي باسل القرش:heart:
من بعد ما فحص الملف وطبعا
كلامه ثقة الثقة

بس انا زعلان منك يا امبراطور
مكملتش حكاية البلبل :222ROFLMAO::222ROFLMAO:
 
A7mdroid قال:
هذا الرابط من ضمن روابط ارفقها اخونا خالد للفحص
الكاسبر يقول مالوير ..... ( لان مع الاداه ملف ثاني هو سر الاصابه ملف دفعي ملف bat )
راح تتضح الفكره بالصور
ندخل الرابط اللي فوق ونتابع بالصور ( كل من يقرأ كلامي هذا )

111.png


الكاسبر هنا يقول بعض التفاصيل لانه يرغب من المستخدم الاشتراك ب البرميوم لكن مانحتاج لانه اعطى تفاصيل واضحه

كاتب تحت ( مالوير ) ...................... محدد انا السبب ( bat ) ملف غير ملف اداة التفعيل . هذا الملف ينفذ اوامر اول مايدخل الجهاز لازم نفتحه وحلله بشكل منفصل
نشوف بالصوره فوق باليمين
1 اخضر كلـــــــــــــــــــين
2 غير معروفين ........... طيب وش يقول عنهم الكاسبر ................نروح لليسار (الدائره الحمراء العنصرين الغير معروفين )

فيه رقم واحد وعنده ( علامه صفراء ) ادوير .........

نروح تحت ( الدائره ) ونضغط على احد الاثنين
اضغطوا على الاول حتى نشوف تفاصيل اكثر

هو نفسه هذا الرابط :
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


شوفوا وش يطلع
اضغطوا على ترجمه للصفحه

اختصرها لكم

Screenshot-2025-02-21-155550.png


هذي الصوره تقول ان الاداه للتفعيل لكن معها ملف ( البات ) المدموج اللي مايظهر بفحص فايروس توتال لانه فحص الاداه (مافحص داخل الاداه ) لانه فحص بدون تشغيل

الصوره الاخيره واضحه اداة تفعيل معها الكلام اللي انا قلته ( ملف دفعي يحتوي على اوامر ) هالملف بشهادة كاسبر اللي قال انه مالوير اللي قام بوضعه خالد بالموضوع

قال الكاسبر ان المصابين وبالنسبه اللي امامكم وبتحديد الدوله


قلت هالكلام برساله حتى امنع الحرج
طلبتوا اني اقول ع العام وحصل المراد

اطيب تحيه
أنقر للتوسيع...
2025-02-21_16-08-30.webp
2025-02-21_16-08-30.webp

ترى انا معاك للسنة الجاي
 
A7mdroid قال:
هذا الرابط من ضمن روابط ارفقها اخونا خالد للفحص
الكاسبر يقول مالوير ..... ( لان مع الاداه ملف ثاني هو سر الاصابه ملف دفعي ملف bat )
راح تتضح الفكره بالصور
ندخل الرابط اللي فوق ونتابع بالصور ( كل من يقرأ كلامي هذا )

111.png


الكاسبر هنا يقول بعض التفاصيل لانه يرغب من المستخدم الاشتراك ب البرميوم لكن مانحتاج لانه اعطى تفاصيل واضحه

كاتب تحت ( مالوير ) ...................... محدد انا السبب ( bat ) ملف غير ملف اداة التفعيل . هذا الملف ينفذ اوامر اول مايدخل الجهاز لازم نفتحه وحلله بشكل منفصل
نشوف بالصوره فوق باليمين
1 اخضر كلـــــــــــــــــــين
2 غير معروفين ........... طيب وش يقول عنهم الكاسبر ................نروح لليسار (الدائره الحمراء العنصرين الغير معروفين )

فيه رقم واحد وعنده ( علامه صفراء ) ادوير .........

نروح تحت ( الدائره ) ونضغط على احد الاثنين
اضغطوا على الاول حتى نشوف تفاصيل اكثر

هو نفسه هذا الرابط :
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


شوفوا وش يطلع
اضغطوا على ترجمه للصفحه

اختصرها لكم

Screenshot-2025-02-21-155550.png


هذي الصوره تقول ان الاداه للتفعيل لكن معها ملف ( البات ) المدموج اللي مايظهر بفحص فايروس توتال لانه فحص الاداه (مافحص داخل الاداه ) لانه فحص بدون تشغيل

الصوره الاخيره واضحه اداة تفعيل معها الكلام اللي انا قلته ( ملف دفعي يحتوي على اوامر ) هالملف بشهادة كاسبر اللي قال انه مالوير اللي قام بوضعه خالد بالموضوع

قال الكاسبر ان المصابين وبالنسبه اللي امامكم وبتحديد الدوله


قلت هالكلام برساله حتى امنع الحرج
طلبتوا اني اقول ع العام وحصل المراد

اطيب تحيه
أنقر للتوسيع...

الملف التانى المشبوه دة بتاع اداة kmsauto ودى اشهر اداه فى التفعيل واى برنامج حماية بيعتبرها فايرس وش

ودة واضح فى تعديل الريجسترى اللى بيعمله الملف
كود: 
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform" /v KeyManagementServiceName /t REG_SZ /d kms.server.com /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v EnableLUA /t REG_DWORD /d 0 /f

اقراه هتلاقيه بيحقن الاداه فى الريجسترى ودة طبيعى جداُ فى ادوات تفعيل مايكروسوفت



ودى اوامر تجاوز الامان اللى بيستخدمها علشان يتخطى ويندوز ديفندر
كود: 
powershell -ExecutionPolicy Bypass -File script.ps1
schtasks /create /tn "Windows Update Service" /tr "C:\Windows\system32\cmd.exe /c script.cmd" /sc onlogon /ru System /f




ودى المواقع والايبيهات اللى بيتصل بيها
كود: 
http://officecdn.microsoft.com/pr/%_updch%
https://1.1.1.1
http://www.microsoft.com/DRM/SL/GenuineAuthorization/1.0
222.184.9.98

الاشتباه فى الاى بى دة 222.184.9.98

ولما دورت وراه عرفت انه سيرفر تفعيل غير رسمى لمنتجات مايكروسوفت موجود فى الصين وغالباً دة سيرفر KMS
بس هى دى الحكاية

ولو عايز تتأكد اكتر ان الاى بى مش بيسرق بيانات نزل اداة Wireshark
ولما تشغلها اعمل فلترة على الاى بى دى

كود: 
ip.addr == 222.184.9.98

وشوف اذا كان فى بيانات بتتبعت ولا لا
 
توقيع : Ramy BadraanRamy Badraan is verified member.
:rose:
 
تمام اخي رامي معاك
انا ارفقت صورة الذين تعرضوا للهجوم
السر بملف البات ( اللي مع الاداه النظيفه ) اللي معاها ملف ادوير .......
الاداه مدموج معها ادويير و ملفين غير معروفين فحصهم الكاسبر ( اللي كلنا نثق فيه ) وقال بشكل قطعي ( مالوير ) وحدد المصابين بالنسبه المئويه لكل دوله

الروابط من اخينا خالد
الكاسبر قال بشكل قطعي مالوير ( الملفات اللي مع اداة التفعيل )

ليس كلامي
بل كلام الكاسبر ( حول الملفات المدموجه مع الاداه النظيفـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــه )

انتهى تعليقي بالموضوع وارفقت الصور والروابط من كاتب الموضوع

بالتوفيق بالتجارب 😊
 
فينك يا حبيبنا تكتوشي:rose:
في عنا حفله وزيطه
محتاجينك
 
A7mdroid قال:
تمام اخي معاك
انا ارفقت صورة الذين تعرضوا للهجوم
السر بملف البات ( اللي مع الاداه النظيفه ) اللي معاها ملف ادوير .......
الاداه مدموج معها ادويير و ملفين غير معروفين فحصهم الكاسبر ( اللي كلنا نثق فيه ) وقال بشكل قطعي ( مالوير ) وحدد المصابين بالنسبه المئويه لكل دوله

الروابط من اخينا خالد
الكاسبر قال بشكل قطعي مالوير ( الملفات اللي مع اداة التفعيل )
أنقر للتوسيع...
ADWARE دة مش فايرس دى اداه للدعاية ،، يعنى مثلا بعد ما يخلص شغل يفتح موقع
لكن مش فايرس

اما بالنسبة انه قال مالوير
اى انتى فايرس بيعتبر KMS مالوير ودة طبعا علشان مايكروسوفت مظبطاهم
وكاسبر بيعتبر ان اى حد شغل الملف انه بقى ضحية
عموما سيبك من كاسبر انا حللت الملف بالكامل وجبتلك الزيتونة بتاعته
 
توقيع : Ramy BadraanRamy Badraan is verified member.
اخي رامي
فيه واحد ادوير
وفيه ثنين ( غير معروفين ) هم الاصابه
شوف الصوره ( الدائره الموجوده باليمين ) صنفت الاداه النظيفه مع محتوياتها
111.png

فحصهم الكاسبر
( تحت )
وصنفهم مالوير ( الكاسبر لما يقول مالوير يعني مالوير ) لانه تحليل ديناميكي مش ستاتيك مثل ماانت عارف اخي رامي
ضغطنا على الرابطين ( الازرقين )
نقلنا لنسبة الذين تعرضوا للهجــــــــــــوم من كل الدول وبالنسبه


الدائره باليمين تثبت نظافة الاداه لكن معها ثلاث ملفات وبالرسم البياني
 
A7mdroid قال:
اخي رامي
فيه واحد ادوير
وفيه ثنين ( غير معروفين ) هم الاصابه
شوف الصوره ( الدائره الموجوده باليمين ) صنفت الاداه النظيفه مع محتوياتها
111.png

فحصهم الكاسبر
( تحت )
وصنفهم مالوير ( الكاسبر لما يقول مالوير يعني مالوير ) لانه تحليل ديناميكي مش ستاتيك مثل ماانت عارف اخي رامي
ضغطنا على الرابطين ( الازرقين )
نقلنا لنسبة الذين تعرضوا للهجــــــــــــوم من كل الدول وبالنسبه


الدائره باليمين تثبت نظافة الاداه لكن معها ثلاث ملفات وبالرسم البياني
أنقر للتوسيع...
انت شايف هو مصنفهم ايه؟؟
HACKTOOL يعنى اداة تفعيل
انما لو كان مثلا اعتبرهم TROGAN او BACKDOOR مثلا كنا قولنا ماشى
ولما حللت الملف عرفت هما بيعملوا ايه وبيتصلوا بايه ،، راجع التحليل بتاعى على الملف وركز فيه وانت تفهم
وليه كاسبر طالما قال مالوير يعنى مالوير؟؟ مش انتى فايرس عادى يعنى زى غيره؟؟
طيب ما كاسبر بيعتبر برامج DIAKOV انها مالوير ،، رغم انه اكبر موقع ثقة فى البرامج المكركة
 
توقيع : Ramy BadraanRamy Badraan is verified member.
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى