Trojan.MulDrop11.17716

Technical Information

To ensure autorun and distribution

Modifies the following registry keys

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '9bfd2f6677cb52624005ae2920e5f300' = '"%TEMP%\server.exe" ..'
[<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '9bfd2f6677cb52624005ae2920e5f300' = '"%TEMP%\server.exe" ..'

Creates or modifies the following files

%APPDATA%\microsoft\windows\start menu\programs\startup\9bfd2f6677cb52624005ae2920e5f300.exe

Modifies file system

Creates the following files

<LS_APPDATA>\turbo.net\sandbox\1.0.0.0\xsandbox.bin.__tmp__
%TEMP%\rarsfx0\images\cursor_text.gif
%TEMP%\rarsfx0\images\cursor_pointer_.gif
%TEMP%\rarsfx0\images\cursor_pointer.gif
%TEMP%\rarsfx0\images\cursor_hand_.gif
%TEMP%\rarsfx0\images\cursor_hand.gif
%TEMP%\rarsfx0\images\cursor_dragging_.gif
%TEMP%\rarsfx0\images\cursor_dragging.gif
%TEMP%\rarsfx0\images\coin.gif
%TEMP%\rarsfx0\images\checkbutton.gif
%TEMP%\rarsfx0\images\checkboxsliver.gif
%TEMP%\rarsfx0\images\checkboxcap.gif
%TEMP%\rarsfx0\fonts\cancunfloat14.gif
%TEMP%\rarsfx0\images\baslowyellow.gif
%TEMP%\rarsfx0\images\baslowwhite.gif
%TEMP%\rarsfx0\images\baslowred.gif
%TEMP%\rarsfx0\images\baslowpurple.gif
%TEMP%\rarsfx0\images\baslowgreen.gif
%TEMP%\rarsfx0\images\baslowblue.gif
%TEMP%\rarsfx0\images\balightyellow.gif
%TEMP%\rarsfx0\images\balightwhite.gif
%TEMP%\rarsfx0\images\balightred.gif
%TEMP%\rarsfx0\images\balightpurple.gif
%TEMP%\rarsfx0\images\balightgreen.gif
%TEMP%\rarsfx0\images\badotz.gif
%TEMP%\rarsfx0\images\balightblue.gif
%TEMP%\rarsfx0\images\explosion.gif
%TEMP%\rarsfx0\images\eyeblink.gif
%TEMP%\rarsfx0\images\toadlives.gif
%TEMP%\rarsfx0\images\sparkle.gif
%TEMP%\rarsfx0\images\smallfrogonpad.gif
%TEMP%\rarsfx0\images\slidertrack.gif
%TEMP%\rarsfx0\images\sliderthumb.gif
%TEMP%\rarsfx0\images\pitcover.gif
%TEMP%\rarsfx0\fonts\nativealienextended18.gif
%TEMP%\rarsfx0\fonts\nativealienextended16.gif
%TEMP%\rarsfx0\fonts\nativealien48.gif
%TEMP%\rarsfx0\images\moregamesbutton.gif
%TEMP%\rarsfx0\images\mmsun.gif
%TEMP%\rarsfx0\images\mmeyeleft.gif
%TEMP%\rarsfx0\images\waitbar.gif
%TEMP%\rarsfx0\images\loaderbar.gif
%TEMP%\rarsfx0\images\hole.gif
%TEMP%\rarsfx0\images\grayplosion.gif
%TEMP%\rarsfx0\images\godhead.gif
%TEMP%\rarsfx0\images\gaunttitle.gif
%TEMP%\rarsfx0\images\gauntsungem.gif
%TEMP%\rarsfx0\images\gauntjaguargem.gif
%TEMP%\rarsfx0\images\gaunthighscore.gif
%TEMP%\rarsfx0\images\gaunteaglegem.gif
%TEMP%\rarsfx0\images\gaugegreen.gif
%TEMP%\rarsfx0\images\gauge.gif
%TEMP%\rarsfx0\images\mmeyeright.gif
%TEMP%\rarsfx0\images\tongue.gif
%TEMP%\rarsfx0\images\babombred.gif
%TEMP%\rarsfx0\images\babombwhite.gif
%TEMP%\rarsfx0\levels\coaster\_tunnel01.gif
%TEMP%\rarsfx0\levels\spaceinvaders\_tunnel.gif
%TEMP%\rarsfx0\levels\loopy\_tunnel.gif
%TEMP%\rarsfx0\levels\inversespiral\_tunnel.gif
%TEMP%\rarsfx0\images\_tongue.gif
%TEMP%\rarsfx0\images\_toadlives.gif
%TEMP%\rarsfx0\images\_smallfrogonpad.gif
%TEMP%\rarsfx0\images\_slidertrack.gif
%TEMP%\rarsfx0\images\_sliderthumb.gif
%TEMP%\rarsfx0\levels\serpents\_serpentst.gif
%TEMP%\rarsfx0\levels\serpents\_serpentsm.gif
%TEMP%\rarsfx0\levels\serpents\_serpentsb.gif
%TEMP%\rarsfx0\levels\riverbed\_riverbed05.gif
%TEMP%\rarsfx0\levels\riverbed\_riverbed04.gif
%TEMP%\rarsfx0\levels\riverbed\_riverbed03.gif
%TEMP%\rarsfx0\levels\riverbed\_riverbed02.gif
%TEMP%\rarsfx0\levels\riverbed\_riverbed01.gif
%TEMP%\rarsfx0\levels\underover\_right.gif
%TEMP%\rarsfx0\levels\serpents\_quake04.gif
%TEMP%\rarsfx0\levels\serpents\_quake03.gif
%TEMP%\rarsfx0\levels\serpents\_quake02.gif
%TEMP%\rarsfx0\levels\serpents\_quake01.gif
%TEMP%\rarsfx0\levels\overunder\_tunnel01.gif
%TEMP%\rarsfx0\images\babombyellow.gif
%TEMP%\rarsfx0\levels\overunder\_tunnel02.gif
%TEMP%\rarsfx0\levels\tunnellevel\_tunnel1.gif
%TEMP%\rarsfx0\levels\tunnellevel\_tunnel2.gif
%TEMP%\rarsfx0\images\babombgreen.gif
%TEMP%\rarsfx0\images\babombblue.gif
%TEMP%\rarsfx0\images\baballyellow.gif
%TEMP%\rarsfx0\images\baballwhite.gif
%TEMP%\rarsfx0\images\baballred.gif
%TEMP%\rarsfx0\images\baballpurple.gif
%TEMP%\rarsfx0\images\baballgreen.gif
%TEMP%\rarsfx0\images\baballblue.gif
%TEMP%\rarsfx0\images\babackwardsyellow.gif
%TEMP%\rarsfx0\images\babackwardswhite.gif
%TEMP%\rarsfx0\images\babackwardsred.gif
%TEMP%\rarsfx0\images\babackwardspurple.gif
%TEMP%\rarsfx0\images\babackwardsgreen.gif
%TEMP%\rarsfx0\images\babackwardsblue.gif
%TEMP%\rarsfx0\images\baaccuracyyellow.gif
%TEMP%\rarsfx0\images\baaccuracywhite.gif
%TEMP%\rarsfx0\images\baaccuracyred.gif
%TEMP%\rarsfx0\images\baaccuracypurple.gif
%TEMP%\rarsfx0\images\baaccuracygreen.gif
%TEMP%\rarsfx0\images\baaccuracyblue.gif
%TEMP%\rarsfx0\images\advstage.gif
%TEMP%\rarsfx0\images\advhighscore.gif
%TEMP%\rarsfx0\images\babombpurple.gif
%TEMP%\rarsfx0\images\_advtemple2v.gif
%TEMP%\rarsfx0\images\_mmsunglow.jpg
%TEMP%\rarsfx0\levels\spaceinvaders\spaceinvaders.jpg
%TEMP%\rarsfx0\levels\loopy\loopy.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\spaceinvaders.jpg
%TEMP%\rarsfx0\levels\snakepit\snakepit.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\snakepit.jpg
%TEMP%\rarsfx0\levels\serpents\serpents.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\serpents.jpg
%TEMP%\rarsfx0\levels\riverbed\riverbed.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\riverbed.jpg
%TEMP%\rarsfx0\levels\overunder\overunder.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\overunder.jpg
%TEMP%\rarsfx0\images\nebula1.jpg
%TEMP%\rarsfx0\images\moregamesscreen.jpg
%TEMP%\rarsfx0\images\mmufo.jpg
%TEMP%\rarsfx0\images\mmsky.jpg
%TEMP%\rarsfx0\images\mmscreen.jpg
%TEMP%\rarsfx0\images\mmquitbutton.jpg
%TEMP%\rarsfx0\images\mmoptionsbutton.jpg
%TEMP%\rarsfx0\images\mmmoregamesbutton.jpg
%TEMP%\rarsfx0\images\mmhat.jpg
%TEMP%\rarsfx0\images\mmgauntletbutton.jpg
%TEMP%\rarsfx0\images\mmarcadebutton.jpg
%TEMP%\rarsfx0\images\menubutton.jpg
%TEMP%\rarsfx0\images\menubar.jpg
%TEMP%\rarsfx0\levels\spiral\spiral.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\spiral.jpg
%TEMP%\rarsfx0\levels\squaresville\squaresville.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\loopy.jpg
<LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x370bc87b1a30108f\zuma.exe.__tmp__
<LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x3c86e8c62b185708\server.exe.manifest.__tmp__
<LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x3c86e8c62b185708\server.exe.__tmp__
%TEMP%\server.exe
<LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x3c86e8c62b185708\zuma-deluxe.exe.manifest.__tmp__
<LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x3c86e8c62b185708\zuma-deluxe.exe.__tmp__
%TEMP%\rarsfx0\levels\warshak\warshak.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\warshak.jpg
%TEMP%\rarsfx0\levels\underover\underover.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\underover.jpg
%TEMP%\rarsfx0\images\tut_mouse_r_.jpg
%TEMP%\rarsfx0\levels\turnaround\turnaround.jpg
%TEMP%\rarsfx0\images\advback.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\turnaround.jpg
%TEMP%\rarsfx0\levels\tunnellevel\tunnellevel.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\tunnellevel.jpg
%TEMP%\rarsfx0\levels\triangle\triangle.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\triangle.jpg
%TEMP%\rarsfx0\levels\tiltspiral\tiltspiral.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\tiltspiral.jpg
%TEMP%\rarsfx0\levels\targetglyph\targetglyph.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\targetglyph.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\squaresville.jpg
<LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x370bc87b1a30108f\zuma.exe.manifest.__tmp__
%TEMP%\rarsfx0\levels\longrange\longrange.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\longrange.jpg
%TEMP%\rarsfx0\images\advtitle.jpg
%TEMP%\rarsfx0\images\advtemple3v.jpg
%TEMP%\rarsfx0\images\advtemple3.jpg
%TEMP%\rarsfx0\images\advtemple2v.jpg
%TEMP%\rarsfx0\images\advtemple2.jpg
%TEMP%\rarsfx0\images\advtemple1.jpg
%TEMP%\rarsfx0\images\advsky.jpg
%TEMP%\rarsfx0\images\advplaybutton.jpg
%TEMP%\rarsfx0\images\advmiddle.jpg
%TEMP%\rarsfx0\images\advmainmenubutton.jpg
%TEMP%\rarsfx0\images\advdoor4c.jpg
%TEMP%\rarsfx0\images\advdoor4b.jpg
%TEMP%\rarsfx0\images\advdoor4a.jpg
%TEMP%\rarsfx0\images\advdoor3c.jpg
%TEMP%\rarsfx0\images\advdoor3b.jpg
%TEMP%\rarsfx0\images\advdoor3a.jpg
%TEMP%\rarsfx0\images\advdoor2c.jpg
%TEMP%\rarsfx0\images\advdoor2b.jpg
%TEMP%\rarsfx0\images\advdoor2a.jpg
%TEMP%\rarsfx0\images\advdoor1c.jpg
%TEMP%\rarsfx0\images\advdoor1b.jpg
%TEMP%\rarsfx0\images\advdoor1a.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\blackswirley.jpg
%TEMP%\rarsfx0\levels\blackswirley\blackswirley.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\claw.jpg
%TEMP%\rarsfx0\images\advtemple4.jpg
%TEMP%\rarsfx0\levels\claw\claw.jpg
%TEMP%\rarsfx0\levels\inversespiral\inversespiral.jpg
%TEMP%\rarsfx0\images\loadingscreen.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\inversespiral.jpg
%TEMP%\rarsfx0\images\helpfront.jpg
%TEMP%\rarsfx0\images\helpback.jpg
%TEMP%\rarsfx0\images\happyending.jpg
%TEMP%\rarsfx0\levels\groovefest\groovefest.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\groovefest.jpg
%TEMP%\rarsfx0\images\gauntsurvivalbutton.jpg
%TEMP%\rarsfx0\images\gauntsky.jpg
%TEMP%\rarsfx0\images\gauntscreen.jpg
%TEMP%\rarsfx0\images\_pitcover.gif
%TEMP%\rarsfx0\levels\coaster\_tunnel02.gif
%TEMP%\rarsfx0\images\gauntpracticebutton.jpg
%TEMP%\rarsfx0\images\gauntmainmenubutton.jpg
%TEMP%\rarsfx0\images\gauntdoor4.jpg
%TEMP%\rarsfx0\images\gauntdoor3.jpg
%TEMP%\rarsfx0\images\gauntdoor2.jpg
%TEMP%\rarsfx0\images\gauntdoor1.jpg
%TEMP%\rarsfx0\images\gauntbackbutton.jpg
%TEMP%\rarsfx0\images\dialogbutton.jpg
%TEMP%\rarsfx0\images\dialogbox.jpg
%TEMP%\rarsfx0\levels\coaster\coaster.jpg
%TEMP%\rarsfx0\levels\perm_thumbnails\coaster.jpg
%TEMP%\rarsfx0\images\gauntplaybutton.jpg
%TEMP%\rarsfx0\images\gauntnextbutton.jpg
%TEMP%\rarsfx0\fonts\_nativealienextended18.gif
%TEMP%\rarsfx0\fonts\_nativealienextended16.gif
%TEMP%\rarsfx0\fonts\_nativealien48.gif
%TEMP%\rarsfx0\sounds\cached_gemvanishes.wav
%TEMP%\rarsfx0\levels\snakepit\snakepit-2.dat
%TEMP%\rarsfx0\levels\snakepit\snakepit-1.dat
%TEMP%\rarsfx0\levels\serpents\serpents-2.dat
%TEMP%\rarsfx0\levels\serpents\serpents-1.dat
%TEMP%\rarsfx0\levels\riverbed\riverbed.dat
%TEMP%\rarsfx0\levels\overunder\overunder.dat
%TEMP%\rarsfx0\levels\loopy\loopy.dat
%TEMP%\rarsfx0\levels\longrange\longrange.dat
%TEMP%\rarsfx0\levels\inversespiral\inversespiral.dat
%TEMP%\rarsfx0\levels\groovefest\groovefest.dat
%TEMP%\rarsfx0\levels\coaster\coaster.dat
%TEMP%\rarsfx0\levels\claw\claw.dat
%TEMP%\rarsfx0\levels\blackswirley\blackswirley-2.dat
%TEMP%\rarsfx0\levels\blackswirley\blackswirley-1.dat
%TEMP%\rarsfx0\sounds\cached_warning1.wav
%TEMP%\rarsfx0\sounds\cached_ufo1.wav
%TEMP%\rarsfx0\sounds\cached_slowdown1.wav
%TEMP%\rarsfx0\sounds\cached_rolling.wav
%TEMP%\rarsfx0\sounds\cached_reverse1.wav
%TEMP%\rarsfx0\sounds\cached_pop.wav
%TEMP%\rarsfx0\sounds\cached_lighttrail2.wav
%TEMP%\rarsfx0\sounds\cached_jewelappear.wav
%TEMP%\rarsfx0\sounds\cached_frogland2.wav
%TEMP%\rarsfx0\levels\spaceinvaders\spaceinvaders.dat
%TEMP%\rarsfx0\levels\spiral\spiral.dat
%TEMP%\rarsfx0\levels\squaresville\squaresville.dat
%TEMP%\rarsfx0\levels\targetglyph\targetglyph.dat
%TEMP%\rarsfx0\sounds\chant2.ogg
%TEMP%\rarsfx0\sounds\chant14.ogg
%TEMP%\rarsfx0\sounds\chant1.ogg
%TEMP%\rarsfx0\sounds\chain1.ogg
%TEMP%\rarsfx0\sounds\button2.ogg
%TEMP%\rarsfx0\sounds\button1.ogg
%TEMP%\rarsfx0\sounds\bombexplode.ogg
%TEMP%\rarsfx0\sounds\ballsdestroyed5.ogg
%TEMP%\rarsfx0\sounds\ballsdestroyed4.ogg
%TEMP%\rarsfx0\sounds\ballsdestroyed3.ogg
%TEMP%\rarsfx0\sounds\ballsdestroyed2.ogg
%TEMP%\rarsfx0\sounds\ballsdestroyed1.ogg
%TEMP%\rarsfx0\sounds\ballclick2.ogg
%TEMP%\rarsfx0\sounds\ballclick1.ogg
%TEMP%\rarsfx0\sounds\accuracy3.ogg
%TEMP%\rarsfx0\music\zuma.mo3
%TEMP%\rarsfx0\levels\warshak\warshak.dat
%TEMP%\rarsfx0\levels\underover\underover.dat
%TEMP%\rarsfx0\levels\turnaround\turnaround.dat
%TEMP%\rarsfx0\levels\tunnellevel\tunnellevel.dat
%TEMP%\rarsfx0\levels\triangle\triangle.dat
%TEMP%\rarsfx0\levels\tiltspiral\tiltspiral.dat
%TEMP%\rarsfx0\sounds\chant3.ogg
%TEMP%\rarsfx0\sounds\cached_gapbonus1.wav
%TEMP%\rarsfx0\sounds\cached_fireball1.wav
%TEMP%\rarsfx0\sounds\cached_chant14.wav
%TEMP%\rarsfx0\setup.ini
%TEMP%\rarsfx0\launch.ini
%TEMP%\rarsfx0\properties\resources.xml
%TEMP%\rarsfx0\properties\partner.xml
%TEMP%\rarsfx0\levels\levels.xml
%TEMP%\rarsfx0\theuninstallfile.txt
%TEMP%\rarsfx0\fonts\nativealienextended18.txt
%TEMP%\rarsfx0\fonts\nativealienextended16.txt
%TEMP%\rarsfx0\fonts\nativealien48.txt
%TEMP%\rarsfx0\license.txt
%TEMP%\rarsfx0\fonts\cancunfloat14.txt
%TEMP%\rarsfx0\fonts\cancun8.txt
%TEMP%\rarsfx0\fonts\cancun13.txt
%TEMP%\rarsfx0\fonts\cancun12.txt
%TEMP%\rarsfx0\fonts\cancun10.txt
%TEMP%\rarsfx0\fonts\arial12bold.txt
%TEMP%\rarsfx0\readme.html
<LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x4bb119cfa154e096\zuma deluxe.exe.manifest.__tmp__
<LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x4bb119cfa154e096\zuma deluxe.exe.__tmp__
%TEMP%\spoon\cache\0x04cb1aa5d620673d\sxs\x86_winrar sfx@1.0.0.0\x86_winrar sfx@1.0.0.0.manifest.__tmp__
%TEMP%\spoon\cache\0x04cb1aa5d620673d\sxs\x86_winrar sfx@1.0.0.0\winrar sfx.manifest.__tmp__
%TEMP%\spoon\cache\0x04cb1aa5d620673d\sxs\manifests\zuma deluxe.exe_0x9b1780a572a27c8f60cd6bc7d138d24b.1.manifest.__tmp__
%TEMP%\rarsfx0\zuma.exe
%TEMP%\rarsfx0\bass.dll
%TEMP%\rarsfx0\zuma-deluxe.exe
%TEMP%\rarsfx0\sounds\cached_accuracy3.wav
%TEMP%\rarsfx0\sounds\cached_extralife.wav
%TEMP%\rarsfx0\sounds\cached_ballclick1.wav
%TEMP%\rarsfx0\sounds\cached_endoflevelpop1.wav
%TEMP%\rarsfx0\sounds\cached_earthquake.wav
%TEMP%\rarsfx0\sounds\cached_coingrab.wav
%TEMP%\rarsfx0\sounds\cached_choral1.wav
%TEMP%\rarsfx0\sounds\cached_chime1.wav
%TEMP%\rarsfx0\sounds\cached_chant8.wav
%TEMP%\rarsfx0\sounds\cached_chant6.wav
%TEMP%\rarsfx0\sounds\cached_chant5.wav
%TEMP%\rarsfx0\sounds\cached_chant4.wav
%TEMP%\rarsfx0\sounds\cached_chant3.wav
<LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0xfee3e7d42c6d9c15\netsh.exe.__tmp__
%TEMP%\rarsfx0\sounds\chant4.ogg
%TEMP%\rarsfx0\sounds\cached_chant1.wav
%TEMP%\rarsfx0\sounds\cached_chain1.wav
%TEMP%\rarsfx0\sounds\cached_button2.wav
%TEMP%\rarsfx0\sounds\cached_button1.wav
%TEMP%\rarsfx0\sounds\cached_bombexplode.wav
%TEMP%\rarsfx0\sounds\cached_ballsdestroyed5.wav
%TEMP%\rarsfx0\sounds\cached_ballsdestroyed4.wav
%TEMP%\rarsfx0\sounds\cached_ballsdestroyed3.wav
%TEMP%\rarsfx0\sounds\cached_ballsdestroyed2.wav
%TEMP%\rarsfx0\sounds\cached_ballsdestroyed1.wav
%TEMP%\rarsfx0\sounds\cached_ballclick2.wav
%TEMP%\rarsfx0\sounds\cached_chant2.wav
%TEMP%\rarsfx0\images\tut_mouse_r.jpg
%TEMP%\rarsfx0\sounds\chant5.ogg
%TEMP%\rarsfx0\images\_advdoor2a.gif
%TEMP%\rarsfx0\fonts\_cancun8.gif
%TEMP%\rarsfx0\images\_gauntsurvivalbutton.gif
%TEMP%\rarsfx0\images\_gauntsungem.gif
%TEMP%\rarsfx0\images\_gauntscreen.gif
%TEMP%\rarsfx0\images\_gauntpracticebutton.gif
%TEMP%\rarsfx0\images\_gauntnextbutton.gif
%TEMP%\rarsfx0\images\_gauntmainmenubutton.gif
%TEMP%\rarsfx0\images\_gauntjaguargem.gif
%TEMP%\rarsfx0\images\_gaunthighscore.gif
%TEMP%\rarsfx0\images\_gaunteaglegem.gif
%TEMP%\rarsfx0\images\_gauntdoor4.gif
%TEMP%\rarsfx0\images\_gauntdoor3.gif
%TEMP%\rarsfx0\images\_gauntdoor2.gif
%TEMP%\rarsfx0\images\_gauntdoor1.gif
%TEMP%\rarsfx0\images\_gauntbackbutton.gif
%TEMP%\rarsfx0\images\_gauge.gif
%TEMP%\rarsfx0\images\_dialogbutton.gif
%TEMP%\rarsfx0\images\_dialogbox.gif
%TEMP%\rarsfx0\images\_coin.gif
%TEMP%\rarsfx0\images\_checkbutton.gif
%TEMP%\rarsfx0\images\_checkboxsliver.gif
%TEMP%\rarsfx0\images\_checkboxcap.gif
%TEMP%\rarsfx0\fonts\_cancunoutline10.gif
%TEMP%\rarsfx0\images\_gaunttitle.gif
%TEMP%\rarsfx0\fonts\_cancunfloat14.gif
%TEMP%\rarsfx0\images\_grayplosion.gif
%TEMP%\rarsfx0\levels\groovefest\_groovefest01.gif
%TEMP%\rarsfx0\images\_mmeyeleft.gif
%TEMP%\rarsfx0\images\_moregamesscreen.gif
%TEMP%\rarsfx0\images\_mmufo.gif
%TEMP%\rarsfx0\images\_mmsun.gif
%TEMP%\rarsfx0\images\_mmscreen.gif
%TEMP%\rarsfx0\images\_mmquitbutton.gif
%TEMP%\rarsfx0\images\_mmoptionsbutton.gif
%TEMP%\rarsfx0\images\_mmmoregamesbutton.gif
%TEMP%\rarsfx0\images\_mmhat.gif
%TEMP%\rarsfx0\images\_mmgauntletbutton.gif
%TEMP%\rarsfx0\images\_mmeyeright.gif
%TEMP%\rarsfx0\images\_mmeyemask.gif
%TEMP%\rarsfx0\images\_mmarcadebutton.gif
%TEMP%\rarsfx0\levels\space\space.dat
%TEMP%\rarsfx0\images\_menubutton.gif
%TEMP%\rarsfx0\images\_menubar.gif
%TEMP%\rarsfx0\images\_loaderbar.gif
%TEMP%\rarsfx0\levels\underover\_left.gif
%TEMP%\rarsfx0\images\_hole.gif
%TEMP%\rarsfx0\images\_helpfront.gif
%TEMP%\rarsfx0\images\_hatchback.gif
%TEMP%\rarsfx0\levels\groovefest\_groovefest03.gif
%TEMP%\rarsfx0\levels\groovefest\_groovefest02.gif
%TEMP%\rarsfx0\images\_godhead.gif
%TEMP%\rarsfx0\fonts\_cancunfat8.gif
%TEMP%\rarsfx0\fonts\_cancun13.gif
%TEMP%\rarsfx0\fonts\_cancun12.gif
%TEMP%\rarsfx0\images\_advdoor2b.gif
%TEMP%\rarsfx0\images\_advdoor1b.gif
%TEMP%\rarsfx0\images\_advdoor1a.gif
%TEMP%\rarsfx0\images\_advback.gif
%TEMP%\rarsfx0\properties\partner.xml.sig
%TEMP%\rarsfx0\sounds\warning1.ogg
%TEMP%\rarsfx0\sounds\ufo1.ogg
%TEMP%\rarsfx0\sounds\slowdown1.ogg
%TEMP%\rarsfx0\sounds\rolling.ogg
%TEMP%\rarsfx0\sounds\reverse1.ogg
%TEMP%\rarsfx0\sounds\pop.ogg
%TEMP%\rarsfx0\sounds\lighttrail2.ogg
%TEMP%\rarsfx0\sounds\jewelappear.ogg
%TEMP%\rarsfx0\sounds\gemvanishes.ogg
%TEMP%\rarsfx0\sounds\gapbonus1.ogg
%TEMP%\rarsfx0\sounds\frogland2.ogg
%TEMP%\rarsfx0\sounds\fireball1.ogg
%TEMP%\rarsfx0\sounds\extralife.ogg
%TEMP%\rarsfx0\sounds\endoflevelpop1.ogg
%TEMP%\rarsfx0\sounds\earthquake.ogg
%TEMP%\rarsfx0\sounds\coingrab.ogg
%TEMP%\rarsfx0\sounds\choral1.ogg
%TEMP%\rarsfx0\sounds\chime1.ogg
%TEMP%\rarsfx0\images\_advdoor1c.gif
%TEMP%\rarsfx0\images\_advdoor2c.gif
%TEMP%\rarsfx0\images\_baslowlight.gif
%TEMP%\rarsfx0\images\_advdoor3b.gif
%TEMP%\rarsfx0\fonts\_cancun10.gif
%TEMP%\rarsfx0\images\_advdoor3a.gif
%TEMP%\rarsfx0\images\_ballshadow.gif
%TEMP%\rarsfx0\images\_ballalpha.gif
%TEMP%\rarsfx0\images\_balight.gif
%TEMP%\rarsfx0\images\_babomb.gif
%TEMP%\rarsfx0\images\_babackwardslight.gif
%TEMP%\rarsfx0\images\_baaccuracylight.gif
%TEMP%\rarsfx0\fonts\_arial12bold.gif
%TEMP%\rarsfx0\images\_advtitle.gif
%TEMP%\rarsfx0\images\_advtemple4.gif
%TEMP%\rarsfx0\sounds\chant8.ogg
%TEMP%\rarsfx0\images\_advtemple3v.gif
%TEMP%\rarsfx0\images\_advtemple3.gif
%TEMP%\rarsfx0\images\_advtemple2.gif
%TEMP%\rarsfx0\images\_advtemple1.gif
%TEMP%\rarsfx0\images\_advplaybutton.gif
%TEMP%\rarsfx0\images\_advmiddle.gif
%TEMP%\rarsfx0\images\_advmainmenubutton.gif
%TEMP%\rarsfx0\images\_advhighscore.gif
%TEMP%\rarsfx0\images\_advdoor4c.gif
%TEMP%\rarsfx0\images\_advdoor4b.gif
%TEMP%\rarsfx0\images\_advdoor4a.gif
%TEMP%\rarsfx0\images\_advdoor3c.gif
%TEMP%\rarsfx0\sounds\chant6.ogg
<LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0xfee3e7d42c6d9c15\netsh.exe.manifest.__tmp__

Moves the following files

from <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\xsandbox.bin.__tmp__ to <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\xsandbox.bin
from %TEMP%\spoon\cache\0x04cb1aa5d620673d\sxs\manifests\zuma deluxe.exe_0x9b1780a572a27c8f60cd6bc7d138d24b.1.manifest.__tmp__ to %TEMP%\spoon\cache\0x04cb1aa5d620673d\sxs\manifests\zuma deluxe.exe_0x9b1780a572a27c8f60cd6bc7d138d24b.1.manifest
from %TEMP%\spoon\cache\0x04cb1aa5d620673d\sxs\x86_winrar sfx@1.0.0.0\winrar sfx.manifest.__tmp__ to %TEMP%\spoon\cache\0x04cb1aa5d620673d\sxs\x86_winrar sfx@1.0.0.0\winrar sfx.manifest
from %TEMP%\spoon\cache\0x04cb1aa5d620673d\sxs\x86_winrar sfx@1.0.0.0\x86_winrar sfx@1.0.0.0.manifest.__tmp__ to %TEMP%\spoon\cache\0x04cb1aa5d620673d\sxs\x86_winrar sfx@1.0.0.0\x86_winrar sfx@1.0.0.0.manifest
from <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x4bb119cfa154e096\zuma deluxe.exe.__tmp__ to <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x4bb119cfa154e096\zuma deluxe.exe
from <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x4bb119cfa154e096\zuma deluxe.exe.manifest.__tmp__ to <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x4bb119cfa154e096\zuma deluxe.exe.manifest
from <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x3c86e8c62b185708\zuma-deluxe.exe.__tmp__ to <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x3c86e8c62b185708\zuma-deluxe.exe
from <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x3c86e8c62b185708\zuma-deluxe.exe.manifest.__tmp__ to <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x3c86e8c62b185708\zuma-deluxe.exe.manifest
from <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x3c86e8c62b185708\server.exe.__tmp__ to <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x3c86e8c62b185708\server.exe
from <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x3c86e8c62b185708\server.exe.manifest.__tmp__ to <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x3c86e8c62b185708\server.exe.manifest
from <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x370bc87b1a30108f\zuma.exe.__tmp__ to <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x370bc87b1a30108f\zuma.exe
from <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x370bc87b1a30108f\zuma.exe.manifest.__tmp__ to <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x370bc87b1a30108f\zuma.exe.manifest
from <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0xfee3e7d42c6d9c15\netsh.exe.__tmp__ to <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0xfee3e7d42c6d9c15\netsh.exe
from <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0xfee3e7d42c6d9c15\netsh.exe.manifest.__tmp__ to <LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0xfee3e7d42c6d9c15\netsh.exe.manifest

Network activity

UDP

DNS ASK fr#####rver.linkpc.net

Miscellaneous

Searches for the following windows

ClassName: 'EDIT' WindowName: ''

Creates and executes the following

'<LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x4bb119cfa154e096\zuma deluxe.exe' /864A627C-C6B2-464A-AA13-25D62F282BD8
'<LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x3c86e8c62b185708\zuma-deluxe.exe' /864A627C-C6B2-464A-AA13-25D62F282BD8
'<LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x3c86e8c62b185708\server.exe' /864A627C-C6B2-464A-AA13-25D62F282BD8
'<LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0x370bc87b1a30108f\zuma.exe' /864A627C-C6B2-464A-AA13-25D62F282BD8
'<LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0xfee3e7d42c6d9c15\netsh.exe' /864A627C-C6B2-464A-AA13-25D62F282BD8
'<LS_APPDATA>\turbo.net\sandbox\1.0.0.0\local\stubexe\0xfee3e7d42c6d9c15\netsh.exe' /864A627C-C6B2-464A-AA13-25D62F282BD8' (with hidden window)

Технології

Терміни

Навчання

Міфи

Technical Information

Рекомендации по лечению

Демо бесплатно на 14 дней