Updater20900.exe

VIRUS!!!

Updater20900.exe
updater21804.exe

Nimi vaihtelee

Kohde:
C:\Users\Järki\AppData\Local\Updater20900



File: Updater20900.exe
CRC-32: 27dc7dd0
MD4: 8952ca7d454261538523d8240a116a66
MD5: d735ba7d6ed4d47e75de0eb0f8253f20
SHA-1: 695452f6385b93c5d8d47251d929b94bcfbdea12
SHA256: 0dbb16fbdc64a52c7758760afa8cc0d35a7278c3567e9e75bdc7a4bdb2e81942


https://www.virustotal.com/analisis//file/0dbb16fbdc64a52c7758760afa8cc0d35a7278c3567e9e75bdc7a4bdb2e81942/analysis/


PCTools SecurityRisk.Downldr 20130128

Symantec SecurityRisk.Downldr 20130128

TrendMicro-HouseCall TROJ_GEN.RC9H1AK 20130128

VBA32 suspected of Trojan.Downloader.gen.h 20130125

VIPRE Trojan.Win32.Generic!BT 20130128


Kyseessä on haittaohjelma, virus, trojan joka koittaa kovin estää paljastumisensa mm. estämällä torjuntaohjelmien, systeemintarkastustyökalujen sekä selaimen toiminnan. Koskahan muut haittaohjelmatutkat päivittävät virustietokantansa.

8

274

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • Updater20900.exe

      Windows 7:sta löytyy rekisterihaaroista:

      Match: \Updater20900.exe
      Found at: In Value Data
      Registry Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DA659B0D-5969-4FC9-8E3D-71768A43BFC4}, "Path"
      ---------------------------------------------------------
      Match: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Updater20900.exe
      Found at: In Key Name
      Registry Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Updater20900.exe
      ---------------------------------------------------------
      Match: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\Updater20900_RASAPI32
      Found at: In Key Name
      Registry Path: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\Updater20900_RASAPI32
      ---------------------------------------------------------
      Match: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\Updater20900_RASMANCS
      Found at: In Key Name
      Registry Path: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\Updater20900_RASMANCS

    • f.e.dzerzhinsky

      Ihan tavallinen tunnistusprosentti kun on uusi haittaohjelma kyseessä.
      TAAS kerran muistutus siitä että pelkästään millään virustorjunnoilla ei konetta pidetä puhtaana. Ainoa tapa pitää kone puhtaana on olla asentamatta haittaohjelmia, pitää ohjelmat tietoturvan osalta päivitettyinä ja käyttää normaalissa jokapäiväisessä nettikäytössä aina tavallisen käyttäjän oikeuksin varustettua käyttäjätiliä eikä suhailla aina järjestelmänvalvojana.

      • Updater20900.exe

        Joo, itsekin asensin kahteen koneeseen puhtaana asennuksena eri Windows-versiot sekä Updatesta niiden päivitykset ja Service Packit sekä tunnettuja Freeware-tietoturvaohjelmia mm. palomuurin, virustorjuntaohjelman, HijackThis:n, haittaohjelmatutkan, HASH-tarkistusohjelman ja verkkoliikenneohjelman niiden kotisivuilta, varmistaen ja verraten MD5 ja SHA-1 tiivistetunnisteet ennen asennusta. Lisäksi latasin ja asensin samalla tavalla ajurit sekä muutamia tunnettuja ja suosittuja Freeware & Open Source-ohjelmia niiden kotisivuilta mm- VLC Media Player.

        Lataukset tein Operalla, jossa tietoturva-asetukset kunnossa ja käyttämällä sitä Sandboxie -hiekkalaatikko-ohjelman sisällä. Silti tämä Updater20900.exe on tullut molempiin koneisiin. Kiva tietää minkä ohjelman tai päivityksen mukana se tulee.
        Konetta käytän tietenkin tavallisen käyttäjän oikeuksilla.
        Pitänee asentaa tästä lähin ohjelmat asennusohjelman kautta, joka tallentaa kaikki asennuksen tekemät muutokset järjestelmään.
        TAAS huomaa että haittaohjelmia voi tulla koneelle, vaikka mitään epämääräisiä ohjelmia tai lähteitä ei käytä, ja sekä järjestelmäpäivitykset että tietoturvaohjelmat ovat ajan tasalla:(

    • se on se

      Red October

    • Updater20900.exe

      1359734357 - appid: 20900
      1359734357 - installername: 20900.exe
      1359734357 - installertype: 0
      1359734357 - appname: Ghostery IE
      1359734357 - publisher: Evidon Inc.
      1359734357 - publisherid: 13260
      1359734358 - installerfullversion: 1.26.152.152
      1359734358 - platformversion: 1
      1359734358 - installerscriptversion: 26
      1359734358 - bhoversion: 152
      1359734358 - helperversion: 152
      1359734358 - bhoguid: 11111111-1111-1111-1111-110211091100

      Eli kyseessä on Ghostery IE v3.0.0 (ghostery-ie.exe) asennuksen mukana tuleva tiedosto. http://www.ghostery.com/download

      Ghosteryhän on ohjelma joka estää surffauksen aikana tietojen kalastelun Facebook,in Googlen ym. taholta.

      "Full detection of tracker scripts, img tags, and iframes from over 1000 data collection services"

      Opera-selaimen ja Firefoxin puolella Ghostery toimii hyvin lisäosalla, eikä mitään haittaohjelmailmoituksia ole tullut, joten Ghostery IE:n Updater20900.exe:n kohdallakin kyse saattaa olla False Warning, eli väärä hälytys. Tuntuisi oudolta että Ghostery tuhoaisi uskottavuutensa haitakkeiden aentamisen takia.

    • Updater20900.exe

      Ghostery IEInstaller_1359734357.log


      1359734357 -
      1359734357 - --------------------------- Installer started ---------------------------
      1359734357 -
      1359734357 - appid: 20900
      1359734357 - installername: 20900.exe
      1359734357 - installertype: 0
      1359734357 - appname: Ghostery IE
      1359734357 - publisher: Evidon Inc.
      1359734357 - publisherid: 13260
      1359734358 - installerfullversion: 1.26.152.152
      1359734358 - platformversion: 1
      1359734358 - installerscriptversion: 26
      1359734358 - bhoversion: 152
      1359734358 - helperversion: 152
      1359734358 - bhoguid: 11111111-1111-1111-1111-110211091100
      1359734358 - scrambletoken: 0cdac21043ea013040396980ad9d6e71
      1359734358 - No browsers installations commands were passed via the command line.
      1359734358 - Installing IE extension only
      1359734358 - CmdLine:
      1359734358 - Function onInit started.
      1359734358 - Read the OS: V
      1359734358 - App registry path: Software\AppDataLow\Software\Ghostery IE
      1359734358 - srcid: 0
      1359734358 - subid: 0
      1359734358 - zdata: 0
      1359734358 - Currently installed app ver: 34.
      1359734358 - Installer platform ver: 1.
      1359734358 - Bic: 620346E5246043E39C8C02444AEB1875IE.
      1359734358 - Verifier: c9788d862a7a04a2b1baa5328cda2dae.
      1359734358 - Read the full IE version from the registry: 9.0.8112.16421
      1359734358 - IE short version: 9
      1359734358 - Read the default browser: X
      1359734358 - User is admin.
      1359734358 - Function myGUIInit started.
      1359734358 - Attempting to send ping: http://stats.apps-update.com/installer.gif?action=started&browser=ie9&ver=1_26_152_152&bic=620346E5246043E39C8C02444AEB1875IE&app=20900&appver=34&verifier=c9788d862a7a04a2b1baa5328cda2dae&srcid=0&subid=0&zdata=0&ff=0&ch=0&default=X&os=V&admin=1&type=0&asw=4
      1359734362 - Failed to send ping. Error: SendRequest Error. Trying again...
      1359734364 - Ping result: SendRequest Error
      1359734365 - CustomLicensePageEnter.
      1359734365 - Showing dialog.
      1359734368 - Section Install started.
      1359734368 - Extracting to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\mixer.exe
      1359734368 - Extracting to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp
      1359734368 - Unmixing C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp
      1359734368 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\installer_util.exe
      1359734368 - Check if IE is open

      • Updater20900.exe

        Ghostery IEInstaller_1359734357.log page2

        1359734368 - IE is open
        1359734368 - Presenting message box to user
        1359734377 - Deploying IE extension files
        1359734377 - Creating folder: C:\Program Files\Ghostery IE
        1359734377 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\installer_util.exe to C:\Program Files\Ghostery IE\Ghostery IE.exe
        1359734377 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\installer_util.exe to C:\Program Files\Ghostery IE\Ghostery IE-bg.exe
        1359734377 - Extracting to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp
        1359734377 - Unmixing C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp
        1359734377 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp to C:\Program Files\Ghostery IE\ButtonUtil.dll
        1359734377 - Extracting to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp
        1359734377 - Unmixing C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp
        1359734377 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp to C:\Program Files\Ghostery IE\Ghostery IE.dll
        1359734378 - Extracting to C:\Program Files\Ghostery IE\Ghostery IE.ico
        1359734378 - installer_alternative: 1
        1359734378 - Extracting to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp
        1359734378 - Unmixing C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp
        1359734378 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp to C:\Program Files\Ghostery IE\Ghostery IEGui.exe
        1359734378 - Setting uninstallation registry keys.
        1359734378 - Auto enabling extension for IE.
        1359734378 - Setting BHO elevation policy. Guid: 11111111-1111-1111-1111-110211091100.
        1359734379 - Setting BG elevation policy. Guid: 21111111-1111-1111-1111-110211091100.
        1359734379 - Registering BHO.
        1359734379 - Writing installed app to global registry: Software\InstalledBrowserExtensions\Evidon Inc.
        1359734379 - DeployAgent started.
        1359734379 - Creating folder: C:\Users\A\AppData\Local\Updater20900
        1359734379 - Exracting file: C:\Users\A\AppData\Local\Updater20900\Updater20900.exe
        1359734379 - Deploying Vista style.
        1359734379 - "schtasks" /create /sc minute /mo 360 /tn "Updater20900.exe" /tr "C:\Users\A\AppData\Local\Updater20900\Updater20900.exe /extensionid=20900 /extensionname='Ghostery IE' /chromeid=olgphbobbakknieoempcldiikpkeenbn" /rl highest
        1359734386 - Execute returned an error: agent_schtasks_create_-8
        1359734386 - Execute returned: agent_schtasks_create_-8
        1359734386 - Attempting to send ping: http://errors.apps-update.com/ie-error.gif?action=installation&browser=ie9&ver=1_26_152_152&bic=620346E5246043E39C8C02444AEB1875IE&app=20900&appver=34&verifier=c9788d862a7a04a2b1baa5328cda2dae&error=agent_schtasks_create_-8&os=V&admin=1&type=0&asw=4&rnd=1359734386
        1359734386 - Ping result: OK
        1359734387 - Function onInstSuccess started.
        1359734387 - Function onGUIEnd started.
        1359734387 - FinishInstallation started
        1359734387 - About to run the helper EXE with command line: /installapp=20900 /executebgcode
        1359734398 - Helper EXE finished successfully
        1359734398 - Attempting to send ping: http://stats.apps-update.com/installer.gif?action=finished&browser=ie9&ver=1_26_152_152&bic=620346E5246043E39C8C02444AEB1875IE&app=20900&appver=34&verifier=c9788d862a7a04a2b1baa5328cda2dae&srcid=0&subid=0&zdata=0&ff=0&ch=0&default=X&os=V&admin=1&type=0&asw=4
        1359734398 - Ping result: OK
        1359734398 - Attempting to send ping: http://stats.apps-update.com/apps.gif?action=install&browser=ie9&ver=1_26_152_152&bic=620346E5246043E39C8C02444AEB1875IE&app=20900&appver=34&verifier=c9788d862a7a04a2b1baa5328cda2dae&installtime=1359316041&curtime=1359734358&lifetime=418317
        1359734399 - Ping result: OK
        1359734399 - Read thank you page url: https://www.ghostery.com/addon/walkthrough
        1359734399 - Showing thank you page on IE
        1359734399 -
        1359734399 - --------------------------- Installer ended ---------------------------
        1359734399 -

      • Updater20900.exe
        Updater20900.exe kirjoitti:

        Ghostery IEInstaller_1359734357.log page2

        1359734368 - IE is open
        1359734368 - Presenting message box to user
        1359734377 - Deploying IE extension files
        1359734377 - Creating folder: C:\Program Files\Ghostery IE
        1359734377 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\installer_util.exe to C:\Program Files\Ghostery IE\Ghostery IE.exe
        1359734377 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\installer_util.exe to C:\Program Files\Ghostery IE\Ghostery IE-bg.exe
        1359734377 - Extracting to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp
        1359734377 - Unmixing C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp
        1359734377 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp to C:\Program Files\Ghostery IE\ButtonUtil.dll
        1359734377 - Extracting to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp
        1359734377 - Unmixing C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp
        1359734377 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp to C:\Program Files\Ghostery IE\Ghostery IE.dll
        1359734378 - Extracting to C:\Program Files\Ghostery IE\Ghostery IE.ico
        1359734378 - installer_alternative: 1
        1359734378 - Extracting to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp
        1359734378 - Unmixing C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp
        1359734378 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp to C:\Program Files\Ghostery IE\Ghostery IEGui.exe
        1359734378 - Setting uninstallation registry keys.
        1359734378 - Auto enabling extension for IE.
        1359734378 - Setting BHO elevation policy. Guid: 11111111-1111-1111-1111-110211091100.
        1359734379 - Setting BG elevation policy. Guid: 21111111-1111-1111-1111-110211091100.
        1359734379 - Registering BHO.
        1359734379 - Writing installed app to global registry: Software\InstalledBrowserExtensions\Evidon Inc.
        1359734379 - DeployAgent started.
        1359734379 - Creating folder: C:\Users\A\AppData\Local\Updater20900
        1359734379 - Exracting file: C:\Users\A\AppData\Local\Updater20900\Updater20900.exe
        1359734379 - Deploying Vista style.
        1359734379 - "schtasks" /create /sc minute /mo 360 /tn "Updater20900.exe" /tr "C:\Users\A\AppData\Local\Updater20900\Updater20900.exe /extensionid=20900 /extensionname='Ghostery IE' /chromeid=olgphbobbakknieoempcldiikpkeenbn" /rl highest
        1359734386 - Execute returned an error: agent_schtasks_create_-8
        1359734386 - Execute returned: agent_schtasks_create_-8
        1359734386 - Attempting to send ping: http://errors.apps-update.com/ie-error.gif?action=installation&browser=ie9&ver=1_26_152_152&bic=620346E5246043E39C8C02444AEB1875IE&app=20900&appver=34&verifier=c9788d862a7a04a2b1baa5328cda2dae&error=agent_schtasks_create_-8&os=V&admin=1&type=0&asw=4&rnd=1359734386
        1359734386 - Ping result: OK
        1359734387 - Function onInstSuccess started.
        1359734387 - Function onGUIEnd started.
        1359734387 - FinishInstallation started
        1359734387 - About to run the helper EXE with command line: /installapp=20900 /executebgcode
        1359734398 - Helper EXE finished successfully
        1359734398 - Attempting to send ping: http://stats.apps-update.com/installer.gif?action=finished&browser=ie9&ver=1_26_152_152&bic=620346E5246043E39C8C02444AEB1875IE&app=20900&appver=34&verifier=c9788d862a7a04a2b1baa5328cda2dae&srcid=0&subid=0&zdata=0&ff=0&ch=0&default=X&os=V&admin=1&type=0&asw=4
        1359734398 - Ping result: OK
        1359734398 - Attempting to send ping: http://stats.apps-update.com/apps.gif?action=install&browser=ie9&ver=1_26_152_152&bic=620346E5246043E39C8C02444AEB1875IE&app=20900&appver=34&verifier=c9788d862a7a04a2b1baa5328cda2dae&installtime=1359316041&curtime=1359734358&lifetime=418317
        1359734399 - Ping result: OK
        1359734399 - Read thank you page url: https://www.ghostery.com/addon/walkthrough
        1359734399 - Showing thank you page on IE
        1359734399 -
        1359734399 - --------------------------- Installer ended ---------------------------
        1359734399 -

        Ghostery IE:n poistaminen luo Järjestelmänvalvojan C:\Users\Hallinta\AppData\Local\Temp\~nsu.tmp\Au_.exe -kansioon verkkoyhteyttä yrittävän Au_.exe ohjelman, jota VirusTotal epäilee joidenkin virustorjuntaohjelmien taholta haittaohjelmaksi

        https://www.virustotal.com/file/c2044402abd2ce7c8631dadc9379abcea296b08e194d4583a0c84b9a6b3ca3a0/analysis/1359737191/

        File: Au_.exe
        CRC-32: ae263bcc
        MD4: 739d9155eb560a0fa6ff32310cbf59b1
        MD5: a4bf26e028dd3c32c097532c68cef56b
        SHA-1: 779ce7b6670f8e3719fc595839ffa8c57090c117
        SHA256: c2044402abd2ce7c8631dadc9379abcea296b08e194d4583a0c84b9a6b3ca3a0


        DrWeb: Adware.Plugin.22 2013-02-01

        ESET-NOD32: Win32/Packed.ScrambleWrapper.A 2013-02-01

        SubsystemVersion.........: 4.0
        InitializedDataSize......: 14848
        ImageVersion.............: 6.0
        ProductName..............: Ghostery IE
        FileVersionNumber........: 1.26.152.152
        UninitializedDataSize....: 110592
        LanguageCode.............: English (U.S.)
        FileFlagsMask............: 0x0000
        CharacterSet.............: ASCII
        LinkerVersion............: 2.56
        MIMEType.................: application/octet-stream
        Subsystem................: Windows GUI
        FileVersion..............: 1.26.152.152
        TimeStamp................: 2010:01:05 13:09:32 01:00
        FileType.................: Win32 EXE
        PEType...................: PE32
        FileDescription..........: Ghostery IE Installer
        OSVersion................: 4.0
        FileOS...................: Win32
        LegalCopyright...........: Copyright Evidon Inc.
        MachineType..............: Intel 386 or later, and compatibles
        CompanyName..............: Evidon Inc.
        CodeSize.................: 33792
        FileSubtype..............: 0
        ProductVersionNumber.....: 1.26.152.152
        EntryPoint...............: 0x4044
        ObjectFileType...........: Executable application

    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Takaisin ylös

    Luetuimmat keskustelut

    1. Janne Ahonen E R O A A

      Taas 2 lasta jää vaille ehjää perhettä!
      Kotimaiset julkkisjuorut
      187
      3786

    2. Tekisi niin mieli laittaa sulle viestiä

      En vaan ole varma ollaanko siihen vielä valmiita, vaikka halua löytyykin täältä suunnalta, ja ikävää, ja kaikkea muuta m
      Ikävä
      87
      1704

    3. Miksi ihmeessä?

      Erika Vikman diskattiin, ei osallistu Euroviisuihin – tilalle Gettomasa ja paluun tekevä Cheek
      Ateismi
      28
      1452

    4. Ootko huomannut miten

      pursuat joka puolelta. Sille joka luulee itsestään liikoja 🫵🙋🏻‍♂️
      Ikävä
      164
      1327

    5. Erika Vikman diskattiin, tilalle Gettomasa ja paluun tekevä Cheek

      Erika Vikman diskattiin, ei osallistu Euroviisuihin – tilalle Gettomasa ja paluun tekevä Cheek https://www.rumba.fi/uut
      Maailman menoa
      23
      1118

    6. Pitääkö penkeillä hypätä Martina?

      Eivätkö puistonpenkit ole istumista varten.Ei niitä kannata liata hyppäämällä koskaa likaantuvat eikä siellä kukaan niit
      Kotimaiset julkkisjuorut
      203
      1087

    7. Kuinka kauan

      Olet ollut kaivattuusi ihastunut/rakastunut? Tajusitko tunteesi heti, vai syventyivätkö ne hitaasti?
      Ikävä
      92
      1038

    8. Kerropa ESA miten kävi tuomioiden

      Osaako ESA kertoa miten haukkumasi kunnanhallituksen kävi.
      Puolanka
      35
      1031

    9. Maikkarin tentti: Orpo jälleen rauhallinen ja erittäin hyvä, myös Purra oli hyvä

      Lindtman ja Kaikkonen oli kohtalaisia, sen sijaan punavihreät Koskela ja Virta olivat taas heikkoja. Ja vastustavat jalk
      Maailman menoa
      124
      979

    10. Milli-helenalla ongelmia

      Suomen virkavallan kanssa. Eipä ole ihme kun on etsintäkuullutettu jenkkilässäkin. Vähiin käy oleskelupaikat virottarell
      Kotimaiset julkkisjuorut
      157
      814
    Aihe
    TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt