Вирус-troyan-downloader.win32.agent.bhl

[Andreyuser]

При сканировании всех файлов avz  поместил в карантин с подозрением на -troyan-downloader.win32.agent.bhl.

Но до конца полное  сканирование не дошло, а утилита автоматически закрылась. Подозрительный файл был обнаружен в папке C:\Program Files\MSI\Live Update 5. Файл был помещен в карантин, но после перезагрузки компьютера файла в карантине  уже нет. Также при каждом сканировании утилитой обнаружены перехватчики:

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

 Анализ kernel32.dll, таблица экспорта найдена в секции .text

 Анализ ntdll.dll, таблица экспорта найдена в секции .text

 Анализ user32.dll, таблица экспорта найдена в секции .text

 Анализ advapi32.dll, таблица экспорта найдена в секции .text

 Анализ ws2_32.dll, таблица экспорта найдена в секции .text

 Анализ wininet.dll, таблица экспорта найдена в секции .text

 Анализ rasapi32.dll, таблица экспорта найдена в секции .text

 Анализ urlmon.dll, таблица экспорта найдена в секции .text

 Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

 Драйвер успешно загружен

 SDT найдена (RVA=085700)

 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000

   SDT = 8055C700

   KiST = 80504480 (284)

Проверено функций: 284, перехвачено: 0, восстановлено: 0

1.3 Проверка IDT и SYSENTER

 Анализ для процессора 1

 Анализ для процессора 2

 Анализ для процессора 3

 Анализ для процессора 4

CmpCallCallBacks = 00093D84

Disable callback - уже нейтирализованы

 Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

 Поиск маскировки процессов и драйверов завершен

1.5 Проверка обработчиков IRP

 Драйвер успешно загружен

\FileSystem\ntfs[iRP_MJ_CREATE] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_CLOSE] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_WRITE] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_INFORMATION] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_INFORMATION] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_EA] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_EA] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_VOLUME_INFORMATION] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_VOLUME_INFORMATION] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DIRECTORY_CONTROL] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_FILE_SYSTEM_CONTROL] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DEVICE_CONTROL] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_LOCK_CONTROL] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_SECURITY] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_SECURITY] = 8AAF01F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_PNP] = 8AAF01F8 -> перехватчик не определен

 Проверка завершена

2. Проверка памяти

 Количество найденных процессов: 38

 Количество загруженных модулей: 530

Проверка памяти завершена

 

[mike 1]

Плохого по логам не увидел. 

[Andreyuser]

Подскажите \FileSystem\ntfs[iRP_MJ_CREATE] = 8AAF01F8 -> перехватчик не определен -что это такое?

Сделал повторное  сканирование утилитой avz и опять найден и помещен в карантин:

3. Сканирование дисков

C:\Program Files\MSI\Live Update 5\LU5\DL_FILE\temp/{RAR-SFX}/Common\UI\TmJsTitanium.cmpt\skins\Tyranium.cmpt\resources\common.lproj\tyranium\images\timer_no_internet.png >>> подозрение на Trojan-Downloader.Win32.Agent.bhl ( 0EB234D0 0F6B7460 00282045 0026C67E 13001)

Файл успешно помещен в карантин (C:\Program Files\MSI\Live Update 5\LU5\DL_FILE\temp)

Кака прислать его на анализ?

[mike 1]

1. Перехваты от эмулятора дисков Daemon Tools. 

 

2. Всего лишь подозрение.  

[Andreyuser]

Daemon Tools уже давно был удален. Наверное остались следы  в реестре?

?Заархивировал подозрительный файл и загрузил его на файлообменник:  http://turbobit.net/bcl8ja2zv3y9.html- посмотрите пожалуйста!

Изменено 7 марта, 2014 пользователем Andreyuser

[thyrex]

Вам же написали - ничего интересного