Updater20900.exe
updater21804.exe
Nimi vaihtelee
Kohde:
C:\Users\Järki\AppData\Local\Updater20900
File: Updater20900.exe
CRC-32: 27dc7dd0
MD4: 8952ca7d454261538523d8240a116a66
MD5: d735ba7d6ed4d47e75de0eb0f8253f20
SHA-1: 695452f6385b93c5d8d47251d929b94bcfbdea12
SHA256: 0dbb16fbdc64a52c7758760afa8cc0d35a7278c3567e9e75bdc7a4bdb2e81942
https://www.virustotal.com/analisis//file/0dbb16fbdc64a52c7758760afa8cc0d35a7278c3567e9e75bdc7a4bdb2e81942/analysis/
PCTools SecurityRisk.Downldr 20130128
Symantec SecurityRisk.Downldr 20130128
TrendMicro-HouseCall TROJ_GEN.RC9H1AK 20130128
VBA32 suspected of Trojan.Downloader.gen.h 20130125
VIPRE Trojan.Win32.Generic!BT 20130128
Kyseessä on haittaohjelma, virus, trojan joka koittaa kovin estää paljastumisensa mm. estämällä torjuntaohjelmien, systeemintarkastustyökalujen sekä selaimen toiminnan. Koskahan muut haittaohjelmatutkat päivittävät virustietokantansa.
Updater20900.exe
8
246
Vastaukset
- Updater20900.exe
Windows 7:sta löytyy rekisterihaaroista:
Match: \Updater20900.exe
Found at: In Value Data
Registry Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DA659B0D-5969-4FC9-8E3D-71768A43BFC4}, "Path"
---------------------------------------------------------
Match: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Updater20900.exe
Found at: In Key Name
Registry Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Updater20900.exe
---------------------------------------------------------
Match: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\Updater20900_RASAPI32
Found at: In Key Name
Registry Path: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\Updater20900_RASAPI32
---------------------------------------------------------
Match: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\Updater20900_RASMANCS
Found at: In Key Name
Registry Path: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\Updater20900_RASMANCS Ihan tavallinen tunnistusprosentti kun on uusi haittaohjelma kyseessä.
TAAS kerran muistutus siitä että pelkästään millään virustorjunnoilla ei konetta pidetä puhtaana. Ainoa tapa pitää kone puhtaana on olla asentamatta haittaohjelmia, pitää ohjelmat tietoturvan osalta päivitettyinä ja käyttää normaalissa jokapäiväisessä nettikäytössä aina tavallisen käyttäjän oikeuksin varustettua käyttäjätiliä eikä suhailla aina järjestelmänvalvojana.- Updater20900.exe
Joo, itsekin asensin kahteen koneeseen puhtaana asennuksena eri Windows-versiot sekä Updatesta niiden päivitykset ja Service Packit sekä tunnettuja Freeware-tietoturvaohjelmia mm. palomuurin, virustorjuntaohjelman, HijackThis:n, haittaohjelmatutkan, HASH-tarkistusohjelman ja verkkoliikenneohjelman niiden kotisivuilta, varmistaen ja verraten MD5 ja SHA-1 tiivistetunnisteet ennen asennusta. Lisäksi latasin ja asensin samalla tavalla ajurit sekä muutamia tunnettuja ja suosittuja Freeware & Open Source-ohjelmia niiden kotisivuilta mm- VLC Media Player.
Lataukset tein Operalla, jossa tietoturva-asetukset kunnossa ja käyttämällä sitä Sandboxie -hiekkalaatikko-ohjelman sisällä. Silti tämä Updater20900.exe on tullut molempiin koneisiin. Kiva tietää minkä ohjelman tai päivityksen mukana se tulee.
Konetta käytän tietenkin tavallisen käyttäjän oikeuksilla.
Pitänee asentaa tästä lähin ohjelmat asennusohjelman kautta, joka tallentaa kaikki asennuksen tekemät muutokset järjestelmään.
TAAS huomaa että haittaohjelmia voi tulla koneelle, vaikka mitään epämääräisiä ohjelmia tai lähteitä ei käytä, ja sekä järjestelmäpäivitykset että tietoturvaohjelmat ovat ajan tasalla:(
- se on se
Red October
- Updater20900.exe
1359734357 - appid: 20900
1359734357 - installername: 20900.exe
1359734357 - installertype: 0
1359734357 - appname: Ghostery IE
1359734357 - publisher: Evidon Inc.
1359734357 - publisherid: 13260
1359734358 - installerfullversion: 1.26.152.152
1359734358 - platformversion: 1
1359734358 - installerscriptversion: 26
1359734358 - bhoversion: 152
1359734358 - helperversion: 152
1359734358 - bhoguid: 11111111-1111-1111-1111-110211091100
Eli kyseessä on Ghostery IE v3.0.0 (ghostery-ie.exe) asennuksen mukana tuleva tiedosto. http://www.ghostery.com/download
Ghosteryhän on ohjelma joka estää surffauksen aikana tietojen kalastelun Facebook,in Googlen ym. taholta.
"Full detection of tracker scripts, img tags, and iframes from over 1000 data collection services"
Opera-selaimen ja Firefoxin puolella Ghostery toimii hyvin lisäosalla, eikä mitään haittaohjelmailmoituksia ole tullut, joten Ghostery IE:n Updater20900.exe:n kohdallakin kyse saattaa olla False Warning, eli väärä hälytys. Tuntuisi oudolta että Ghostery tuhoaisi uskottavuutensa haitakkeiden aentamisen takia. - Updater20900.exe
Ghostery IEInstaller_1359734357.log
1359734357 -
1359734357 - --------------------------- Installer started ---------------------------
1359734357 -
1359734357 - appid: 20900
1359734357 - installername: 20900.exe
1359734357 - installertype: 0
1359734357 - appname: Ghostery IE
1359734357 - publisher: Evidon Inc.
1359734357 - publisherid: 13260
1359734358 - installerfullversion: 1.26.152.152
1359734358 - platformversion: 1
1359734358 - installerscriptversion: 26
1359734358 - bhoversion: 152
1359734358 - helperversion: 152
1359734358 - bhoguid: 11111111-1111-1111-1111-110211091100
1359734358 - scrambletoken: 0cdac21043ea013040396980ad9d6e71
1359734358 - No browsers installations commands were passed via the command line.
1359734358 - Installing IE extension only
1359734358 - CmdLine:
1359734358 - Function onInit started.
1359734358 - Read the OS: V
1359734358 - App registry path: Software\AppDataLow\Software\Ghostery IE
1359734358 - srcid: 0
1359734358 - subid: 0
1359734358 - zdata: 0
1359734358 - Currently installed app ver: 34.
1359734358 - Installer platform ver: 1.
1359734358 - Bic: 620346E5246043E39C8C02444AEB1875IE.
1359734358 - Verifier: c9788d862a7a04a2b1baa5328cda2dae.
1359734358 - Read the full IE version from the registry: 9.0.8112.16421
1359734358 - IE short version: 9
1359734358 - Read the default browser: X
1359734358 - User is admin.
1359734358 - Function myGUIInit started.
1359734358 - Attempting to send ping: http://stats.apps-update.com/installer.gif?action=started&browser=ie9&ver=1_26_152_152&bic=620346E5246043E39C8C02444AEB1875IE&app=20900&appver=34&verifier=c9788d862a7a04a2b1baa5328cda2dae&srcid=0&subid=0&zdata=0&ff=0&ch=0&default=X&os=V&admin=1&type=0&asw=4
1359734362 - Failed to send ping. Error: SendRequest Error. Trying again...
1359734364 - Ping result: SendRequest Error
1359734365 - CustomLicensePageEnter.
1359734365 - Showing dialog.
1359734368 - Section Install started.
1359734368 - Extracting to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\mixer.exe
1359734368 - Extracting to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp
1359734368 - Unmixing C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp
1359734368 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\installer_util.exe
1359734368 - Check if IE is open- Updater20900.exe
Ghostery IEInstaller_1359734357.log page2
1359734368 - IE is open
1359734368 - Presenting message box to user
1359734377 - Deploying IE extension files
1359734377 - Creating folder: C:\Program Files\Ghostery IE
1359734377 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\installer_util.exe to C:\Program Files\Ghostery IE\Ghostery IE.exe
1359734377 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\installer_util.exe to C:\Program Files\Ghostery IE\Ghostery IE-bg.exe
1359734377 - Extracting to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp
1359734377 - Unmixing C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp
1359734377 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp to C:\Program Files\Ghostery IE\ButtonUtil.dll
1359734377 - Extracting to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp
1359734377 - Unmixing C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp
1359734377 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp to C:\Program Files\Ghostery IE\Ghostery IE.dll
1359734378 - Extracting to C:\Program Files\Ghostery IE\Ghostery IE.ico
1359734378 - installer_alternative: 1
1359734378 - Extracting to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp
1359734378 - Unmixing C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp
1359734378 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp to C:\Program Files\Ghostery IE\Ghostery IEGui.exe
1359734378 - Setting uninstallation registry keys.
1359734378 - Auto enabling extension for IE.
1359734378 - Setting BHO elevation policy. Guid: 11111111-1111-1111-1111-110211091100.
1359734379 - Setting BG elevation policy. Guid: 21111111-1111-1111-1111-110211091100.
1359734379 - Registering BHO.
1359734379 - Writing installed app to global registry: Software\InstalledBrowserExtensions\Evidon Inc.
1359734379 - DeployAgent started.
1359734379 - Creating folder: C:\Users\A\AppData\Local\Updater20900
1359734379 - Exracting file: C:\Users\A\AppData\Local\Updater20900\Updater20900.exe
1359734379 - Deploying Vista style.
1359734379 - "schtasks" /create /sc minute /mo 360 /tn "Updater20900.exe" /tr "C:\Users\A\AppData\Local\Updater20900\Updater20900.exe /extensionid=20900 /extensionname='Ghostery IE' /chromeid=olgphbobbakknieoempcldiikpkeenbn" /rl highest
1359734386 - Execute returned an error: agent_schtasks_create_-8
1359734386 - Execute returned: agent_schtasks_create_-8
1359734386 - Attempting to send ping: http://errors.apps-update.com/ie-error.gif?action=installation&browser=ie9&ver=1_26_152_152&bic=620346E5246043E39C8C02444AEB1875IE&app=20900&appver=34&verifier=c9788d862a7a04a2b1baa5328cda2dae&error=agent_schtasks_create_-8&os=V&admin=1&type=0&asw=4&rnd=1359734386
1359734386 - Ping result: OK
1359734387 - Function onInstSuccess started.
1359734387 - Function onGUIEnd started.
1359734387 - FinishInstallation started
1359734387 - About to run the helper EXE with command line: /installapp=20900 /executebgcode
1359734398 - Helper EXE finished successfully
1359734398 - Attempting to send ping: http://stats.apps-update.com/installer.gif?action=finished&browser=ie9&ver=1_26_152_152&bic=620346E5246043E39C8C02444AEB1875IE&app=20900&appver=34&verifier=c9788d862a7a04a2b1baa5328cda2dae&srcid=0&subid=0&zdata=0&ff=0&ch=0&default=X&os=V&admin=1&type=0&asw=4
1359734398 - Ping result: OK
1359734398 - Attempting to send ping: http://stats.apps-update.com/apps.gif?action=install&browser=ie9&ver=1_26_152_152&bic=620346E5246043E39C8C02444AEB1875IE&app=20900&appver=34&verifier=c9788d862a7a04a2b1baa5328cda2dae&installtime=1359316041&curtime=1359734358&lifetime=418317
1359734399 - Ping result: OK
1359734399 - Read thank you page url: https://www.ghostery.com/addon/walkthrough
1359734399 - Showing thank you page on IE
1359734399 -
1359734399 - --------------------------- Installer ended ---------------------------
1359734399 - - Updater20900.exe
Updater20900.exe kirjoitti:
Ghostery IEInstaller_1359734357.log page2
1359734368 - IE is open
1359734368 - Presenting message box to user
1359734377 - Deploying IE extension files
1359734377 - Creating folder: C:\Program Files\Ghostery IE
1359734377 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\installer_util.exe to C:\Program Files\Ghostery IE\Ghostery IE.exe
1359734377 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\installer_util.exe to C:\Program Files\Ghostery IE\Ghostery IE-bg.exe
1359734377 - Extracting to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp
1359734377 - Unmixing C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp
1359734377 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp to C:\Program Files\Ghostery IE\ButtonUtil.dll
1359734377 - Extracting to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp
1359734377 - Unmixing C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp
1359734377 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp to C:\Program Files\Ghostery IE\Ghostery IE.dll
1359734378 - Extracting to C:\Program Files\Ghostery IE\Ghostery IE.ico
1359734378 - installer_alternative: 1
1359734378 - Extracting to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp
1359734378 - Unmixing C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_before.tmp to C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp
1359734378 - Copying from C:\Users\A\AppData\Local\Temp\nseC18C.tmp\temp_file_after.tmp to C:\Program Files\Ghostery IE\Ghostery IEGui.exe
1359734378 - Setting uninstallation registry keys.
1359734378 - Auto enabling extension for IE.
1359734378 - Setting BHO elevation policy. Guid: 11111111-1111-1111-1111-110211091100.
1359734379 - Setting BG elevation policy. Guid: 21111111-1111-1111-1111-110211091100.
1359734379 - Registering BHO.
1359734379 - Writing installed app to global registry: Software\InstalledBrowserExtensions\Evidon Inc.
1359734379 - DeployAgent started.
1359734379 - Creating folder: C:\Users\A\AppData\Local\Updater20900
1359734379 - Exracting file: C:\Users\A\AppData\Local\Updater20900\Updater20900.exe
1359734379 - Deploying Vista style.
1359734379 - "schtasks" /create /sc minute /mo 360 /tn "Updater20900.exe" /tr "C:\Users\A\AppData\Local\Updater20900\Updater20900.exe /extensionid=20900 /extensionname='Ghostery IE' /chromeid=olgphbobbakknieoempcldiikpkeenbn" /rl highest
1359734386 - Execute returned an error: agent_schtasks_create_-8
1359734386 - Execute returned: agent_schtasks_create_-8
1359734386 - Attempting to send ping: http://errors.apps-update.com/ie-error.gif?action=installation&browser=ie9&ver=1_26_152_152&bic=620346E5246043E39C8C02444AEB1875IE&app=20900&appver=34&verifier=c9788d862a7a04a2b1baa5328cda2dae&error=agent_schtasks_create_-8&os=V&admin=1&type=0&asw=4&rnd=1359734386
1359734386 - Ping result: OK
1359734387 - Function onInstSuccess started.
1359734387 - Function onGUIEnd started.
1359734387 - FinishInstallation started
1359734387 - About to run the helper EXE with command line: /installapp=20900 /executebgcode
1359734398 - Helper EXE finished successfully
1359734398 - Attempting to send ping: http://stats.apps-update.com/installer.gif?action=finished&browser=ie9&ver=1_26_152_152&bic=620346E5246043E39C8C02444AEB1875IE&app=20900&appver=34&verifier=c9788d862a7a04a2b1baa5328cda2dae&srcid=0&subid=0&zdata=0&ff=0&ch=0&default=X&os=V&admin=1&type=0&asw=4
1359734398 - Ping result: OK
1359734398 - Attempting to send ping: http://stats.apps-update.com/apps.gif?action=install&browser=ie9&ver=1_26_152_152&bic=620346E5246043E39C8C02444AEB1875IE&app=20900&appver=34&verifier=c9788d862a7a04a2b1baa5328cda2dae&installtime=1359316041&curtime=1359734358&lifetime=418317
1359734399 - Ping result: OK
1359734399 - Read thank you page url: https://www.ghostery.com/addon/walkthrough
1359734399 - Showing thank you page on IE
1359734399 -
1359734399 - --------------------------- Installer ended ---------------------------
1359734399 -Ghostery IE:n poistaminen luo Järjestelmänvalvojan C:\Users\Hallinta\AppData\Local\Temp\~nsu.tmp\Au_.exe -kansioon verkkoyhteyttä yrittävän Au_.exe ohjelman, jota VirusTotal epäilee joidenkin virustorjuntaohjelmien taholta haittaohjelmaksi
https://www.virustotal.com/file/c2044402abd2ce7c8631dadc9379abcea296b08e194d4583a0c84b9a6b3ca3a0/analysis/1359737191/
File: Au_.exe
CRC-32: ae263bcc
MD4: 739d9155eb560a0fa6ff32310cbf59b1
MD5: a4bf26e028dd3c32c097532c68cef56b
SHA-1: 779ce7b6670f8e3719fc595839ffa8c57090c117
SHA256: c2044402abd2ce7c8631dadc9379abcea296b08e194d4583a0c84b9a6b3ca3a0
DrWeb: Adware.Plugin.22 2013-02-01
ESET-NOD32: Win32/Packed.ScrambleWrapper.A 2013-02-01
SubsystemVersion.........: 4.0
InitializedDataSize......: 14848
ImageVersion.............: 6.0
ProductName..............: Ghostery IE
FileVersionNumber........: 1.26.152.152
UninitializedDataSize....: 110592
LanguageCode.............: English (U.S.)
FileFlagsMask............: 0x0000
CharacterSet.............: ASCII
LinkerVersion............: 2.56
MIMEType.................: application/octet-stream
Subsystem................: Windows GUI
FileVersion..............: 1.26.152.152
TimeStamp................: 2010:01:05 13:09:32 01:00
FileType.................: Win32 EXE
PEType...................: PE32
FileDescription..........: Ghostery IE Installer
OSVersion................: 4.0
FileOS...................: Win32
LegalCopyright...........: Copyright Evidon Inc.
MachineType..............: Intel 386 or later, and compatibles
CompanyName..............: Evidon Inc.
CodeSize.................: 33792
FileSubtype..............: 0
ProductVersionNumber.....: 1.26.152.152
EntryPoint...............: 0x4044
ObjectFileType...........: Executable application
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Suomi on täysin sekaisin
Jo ties monettako päivää hirveä itku ja poru jostain helvetin nilviäisistä. https://www.is.fi/taloussanomat/art-20000104244655Ensimmäisestä kohtaamisesta saakka
minulla on ollut hämmentynyt olo. Miten voit tuntua siltä, että olisin tuntenut sinut aina? Sinun kanssasi on yhtä aikaa141660Aivan täysin tahallinen teko
Ei mitään puolusteluja, eikä selittelyitä. Kuljettajalle kerrottiin asiasta siinä paikanpäällä, mutta silti hän ajoi ves911401Suomussalmi saatu vihdoin maailmankartalle!
Nyt kun Suomussalmi on vihdoin viimein saatu ennennäkemättömällä tavalla maailman tietoisuuteen niin voitaisiin järjestä521309Olet saanut minut sekoamaan
Tunteiden ristiaallokossa vellominen on ollut melkoinen kokemus. Ei kukaan ole saanut minua niin raiteiltaan kuin sinä.171204Mainehaitta metsäkonefirmalle
Hukkajoen tapahtumista liikkuu paljon huhuja. Eikö kannattaisi julkaista raakkuja tuhonneen metsäkoneyrityksen nimi, kos501141Oho! Maajussi-Kallelta pakit saanut morsioehdokas Miss Suomi -kisoissa! Tunnistaisitko hänet nyt?
Hmm, tunnistaisitko?!? Onnea missihulinoihin! Lue lisää ja katso kuvat: https://www.suomi24.fi/viihde/oho-maajussi-01055Myönnän sinulle nyt
Että olen erittäin mustasukkainen sinusta jo nyt. Ikävä on tämä tunne, kun tietämättömyyden solista nousee myrkkyä miele54950Olen käyttäytynyt ristiriitaisesti
eikä minusta varmaankaan ota mitään selvää. Se johtuu siitä, kun järki sanoo ei, ei, ei ja sydän sanoo kyllä, kyllä, kyl60829Pysytäänkö nainen
edelleen yhtä viileän tyynenä kun nähdään. Uskotko että tahtoessani saisin murettua tyyneytesi hyvin helposti.54827