Перейти к содержанию
Авторизация  
Andreyuser

Вирус-troyan-downloader.win32.agent.bhl

Рекомендуемые сообщения

При сканировании всех файлов avz  поместил в карантин с подозрением на -troyan-downloader.win32.agent.bhl.

Но до конца полное  сканирование не дошло, а утилита автоматически закрылась. Подозрительный файл был обнаружен в папке C:\Program Files\MSI\Live Update 5. Файл был помещен в карантин, но после перезагрузки компьютера файла в карантине  уже нет. Также при каждом сканировании утилитой обнаружены перехватчики:

Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=085700)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
   SDT = 8055C700
   KiST = 80504480 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Анализ для процессора 3
 Анализ для процессора 4
CmpCallCallBacks = 00093D84
Disable callback - уже нейтирализованы
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
\FileSystem\ntfs[iRP_MJ_CREATE] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_CLOSE] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_WRITE] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_QUERY_INFORMATION] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_SET_INFORMATION] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_QUERY_EA] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_SET_EA] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_QUERY_VOLUME_INFORMATION] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_SET_VOLUME_INFORMATION] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_DIRECTORY_CONTROL] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_FILE_SYSTEM_CONTROL] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_DEVICE_CONTROL] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_LOCK_CONTROL] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_QUERY_SECURITY] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_SET_SECURITY] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_PNP] = 8AAF01F8 -> перехватчик не определен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 38
 Количество загруженных модулей: 530
Проверка памяти завершена
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Подскажите \FileSystem\ntfs[iRP_MJ_CREATE] = 8AAF01F8 -> перехватчик не определен -что это такое?


Сделал повторное  сканирование утилитой avz и опять найден и помещен в карантин:

3. Сканирование дисков
C:\Program Files\MSI\Live Update 5\LU5\DL_FILE\temp/{RAR-SFX}/Common\UI\TmJsTitanium.cmpt\skins\Tyranium.cmpt\resources\common.lproj\tyranium\images\timer_no_internet.png >>> подозрение на Trojan-Downloader.Win32.Agent.bhl ( 0EB234D0 0F6B7460 00282045 0026C67E 13001)
Файл успешно помещен в карантин (C:\Program Files\MSI\Live Update 5\LU5\DL_FILE\temp)
Кака прислать его на анализ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Перехваты от эмулятора дисков Daemon Tools. 

 

2. Всего лишь подозрение.  

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Daemon Tools уже давно был удален. Наверное остались следы  в реестре?

?Заархивировал подозрительный файл и загрузил его на файлообменник:  http://turbobit.net/bcl8ja2zv3y9.html- посмотрите пожалуйста!

Изменено пользователем Andreyuser

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вам же написали - ничего интересного :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...