Вирус-troyan-downloader.win32.agent.bhl

7 марта, 2014

При сканировании всех файлов avz поместил в карантин с подозрением на -troyan-downloader.win32.agent.bhl.

Но до конца полное сканирование не дошло, а утилита автоматически закрылась. Подозрительный файл был обнаружен в папке C:\Program Files\MSI\Live Update 5. Файл был помещен в карантин, но после перезагрузки компьютера файла в карантине уже нет. Также при каждом сканировании утилитой обнаружены перехватчики:

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=085700)

Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000

SDT = 8055C700

KiST = 80504480 (284)

Проверено функций: 284, перехвачено: 0, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Анализ для процессора 2

Анализ для процессора 3

Анализ для процессора 4

CmpCallCallBacks = 00093D84

Disable callback - уже нейтирализованы

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Поиск маскировки процессов и драйверов завершен

1.5 Проверка обработчиков IRP

Драйвер успешно загружен

\FileSystem\ntfs[iRP_MJ_CREATE] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_CLOSE] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_WRITE] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_INFORMATION] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_INFORMATION] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_EA] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_EA] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_VOLUME_INFORMATION] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_VOLUME_INFORMATION] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DIRECTORY_CONTROL] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_FILE_SYSTEM_CONTROL] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DEVICE_CONTROL] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_LOCK_CONTROL] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_SECURITY] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_SECURITY] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_PNP] = 8AAF01F8 -> перехватчик не определен

Проверка завершена

2. Проверка памяти

Количество найденных процессов: 38

Количество загруженных модулей: 530

Проверка памяти завершена

7 марта, 2014

Плохого по логам не увидел.

7 марта, 2014

Подскажите \FileSystem\ntfs[iRP_MJ_CREATE] = 8AAF01F8 -> перехватчик не определен -что это такое?

Сделал повторное сканирование утилитой avz и опять найден и помещен в карантин:

3. Сканирование дисков

C:\Program Files\MSI\Live Update 5\LU5\DL_FILE\temp/{RAR-SFX}/Common\UI\TmJsTitanium.cmpt\skins\Tyranium.cmpt\resources\common.lproj\tyranium\images\timer_no_internet.png >>> подозрение на Trojan-Downloader.Win32.Agent.bhl ( 0EB234D0 0F6B7460 00282045 0026C67E 13001)

Файл успешно помещен в карантин (C:\Program Files\MSI\Live Update 5\LU5\DL_FILE\temp)

Кака прислать его на анализ?

7 марта, 2014

1. Перехваты от эмулятора дисков Daemon Tools.

2. Всего лишь подозрение.

7 марта, 2014

Daemon Tools уже давно был удален. Наверное остались следы в реестре?

?Заархивировал подозрительный файл и загрузил его на файлообменник: http://turbobit.net/bcl8ja2zv3y9.html- посмотрите пожалуйста!

Изменено 7 марта, 2014 пользователем Andreyuser

7 марта, 2014

Вам же написали - ничего интересного

Вирус-troyan-downloader.win32.agent.bhl

Рекомендуемые сообщения

Andreyuser

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Andreyuser

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Andreyuser

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum