Opa galera, recentemente entrei em contato com um arquivo que começou a gerar lentidão no meu computador, o arquivo parecia executar algum outro com extensão .jar.
Por meio do java decompiler consegui acessar creio que parte do código fonte deste .jar, vou postar para vocês:
http://pastebin.com/1f453jSE
Tentei usar meus conhecimentos limitados que aprendi em programação na faculdade de engenharia mas não consegui entender muito o que se passa, parece q ele edita alguns registros do windows, alguém pode dar uma olhada?
Abraços
Bom, você postou os fontes de uma classe que aproveita a implementação de java.util.prefs.Preferences (que acessa algumas partes limitadas do Registry) para acessar outras partes do Registry que ele não deveria acessar.
Como você não descompilou todo o código, não sei que chave ele está tentando mexer 
Eu to tentando conseguir o arquivo .jar denovo, mas não estou conseguindo. Tenho o .exe que executa o .jar e talvez mais coisas junto, mas agora quando tento re-executar o programa ele fala q /temp/install.jar ta faltando. Esse install.jar foi o que eu tentei descompilar, vou tentar ver se consigo achar ele denovo pra tentar descompilar denovo.
Cara, fiz o seguinte, reiniciei o windows, deixei ele executar o virus, porem com a internet desligada e deixei ele rodar o javaw.exe por apenas um tempo, consegui recuperar o arquivo .jar inteiro e mais varias coisas, pois enquanto ele rodava fiquei olhando a pasta temp do windows saca só o que achei:
appremover_log.txt:
Sat May 18 17:08:02 2013 *** Calling DetectProducts ***
Sat May 18 17:08:02 2013 *** with arguments: iMode:0 option:0 fileGen:false
Sat May 18 17:08:19 2013 Succeeded to read QATestedProducts
Sat May 18 17:08:19 2013 Succeeded to read ProductReleaseNotes
Sat May 18 17:08:19 2013 Found Avira GmbH Avira Free Antivirus 12.1.9.1236 (SEC_ID: 9) (INDEX: 744)
Sat May 18 17:08:19 2013 Found Microsoft Corp. Windows Defender 6.1.7600.16385 (SEC_ID: 10) (INDEX: 414)
Sat May 18 17:08:19 2013 Found Avira GmbH Avira Free Antivirus 12.1.9.1236 (SEC_ID: 10) (INDEX: 744)
Sat May 18 17:08:19 2013 Found Microsoft Corp. Microsoft Windows Firewall 7 (SEC_ID: 11) (INDEX: 2030)
Sat May 18 17:08:19 2013 Found Microsoft Corp. Internet Explorer 9.0.8112.16421 (SEC_ID: 1) (INDEX: 83)
Sat May 18 17:08:19 2013 Product/s will be excluded: <><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <H+BEDVDatentechnikGmbH><><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <MicrosoftCorp.><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <MicrosoftCorp.><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <MicrosoftCorp.><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <Anonymizer,Inc.><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <AppleInc.><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <Ebay,Inc.><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <Google,Inc.><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <MicrosoftCorp.><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <>
Sat May 18 17:08:19 2013 Product/s will be excluded: <Netcraft,Inc.><>
Sat May 18 17:08:19 2013 Product/s will be excluded: <>
Sat May 18 17:08:19 2013 Product/s will be excluded: <>
Sat May 18 17:08:19 2013 Product is in exclusion list,therefore it will be ignored: Microsoft Corp. Internet Explorer 9.0.8112.16421
Sat May 18 17:08:19 2013 Product is in exclusion list,therefore it will be ignored: Microsoft Corp. Windows Defender 6.1.7600.16385
Sat May 18 17:08:19 2013 Product is in exclusion list,therefore it will be ignored: Avira GmbH Avira Free Antivirus 12.1.9.1236
Sat May 18 17:08:19 2013 Product is in exclusion list,therefore it will be ignored: Microsoft Corp. Microsoft Windows Firewall 7
Sat May 18 17:08:19 2013 *** Calling InternalDataConversion ***
Sat May 18 17:08:19 2013 *** Calling DestroyProductList ***
Sat May 18 17:08:19 2013 *** Calling DestroyAppRemoverCore ***
AUCHECK_PARSER.txt
—[Mon May 20 01:21:55 2013] debug : Read the file “C:\ProgramData\Sun\Java\Java Update\jaureglist.xml” into buffer
[Mon May 20 01:21:55 2013] debug : Reached the end of the file
[Mon May 20 01:23:25 2013] debug : Read the file “C:\ProgramData\Sun\Java\Java Update\jaureglist.xml” into buffer
[Mon May 20 01:23:25 2013] debug : Reached the end of the file
java_install_reg.log
http://pastebin.com/Qcs46PMN
JavaDeployReg.log
http://pastebin.com/Rx9TC67N
Eu tenho o source code acho que inteiro agora, mas ele veio em arquivo .zip pq sao varias partes.
Se você quiser eu posto ele aqui, mas vai uma screen pra vc ter uma ideia do que tem nele
Com isso da pra ter uma ideia melhor sera?
