Перейти к содержанию

Вирус-troyan-downloader.win32.agent.bhl


Andreyuser

Рекомендуемые сообщения

При сканировании всех файлов avz  поместил в карантин с подозрением на -troyan-downloader.win32.agent.bhl.

Но до конца полное  сканирование не дошло, а утилита автоматически закрылась. Подозрительный файл был обнаружен в папке C:\Program Files\MSI\Live Update 5. Файл был помещен в карантин, но после перезагрузки компьютера файла в карантине  уже нет. Также при каждом сканировании утилитой обнаружены перехватчики:

Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=085700)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
   SDT = 8055C700
   KiST = 80504480 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Анализ для процессора 3
 Анализ для процессора 4
CmpCallCallBacks = 00093D84
Disable callback - уже нейтирализованы
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
\FileSystem\ntfs[iRP_MJ_CREATE] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_CLOSE] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_WRITE] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_QUERY_INFORMATION] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_SET_INFORMATION] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_QUERY_EA] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_SET_EA] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_QUERY_VOLUME_INFORMATION] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_SET_VOLUME_INFORMATION] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_DIRECTORY_CONTROL] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_FILE_SYSTEM_CONTROL] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_DEVICE_CONTROL] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_LOCK_CONTROL] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_QUERY_SECURITY] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_SET_SECURITY] = 8AAF01F8 -> перехватчик не определен
\FileSystem\ntfs[iRP_MJ_PNP] = 8AAF01F8 -> перехватчик не определен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 38
 Количество загруженных модулей: 530
Проверка памяти завершена
 
Ссылка на комментарий
Поделиться на другие сайты

Подскажите \FileSystem\ntfs[iRP_MJ_CREATE] = 8AAF01F8 -> перехватчик не определен -что это такое?


Сделал повторное  сканирование утилитой avz и опять найден и помещен в карантин:

3. Сканирование дисков
C:\Program Files\MSI\Live Update 5\LU5\DL_FILE\temp/{RAR-SFX}/Common\UI\TmJsTitanium.cmpt\skins\Tyranium.cmpt\resources\common.lproj\tyranium\images\timer_no_internet.png >>> подозрение на Trojan-Downloader.Win32.Agent.bhl ( 0EB234D0 0F6B7460 00282045 0026C67E 13001)
Файл успешно помещен в карантин (C:\Program Files\MSI\Live Update 5\LU5\DL_FILE\temp)
Кака прислать его на анализ?
Ссылка на комментарий
Поделиться на другие сайты

Daemon Tools уже давно был удален. Наверное остались следы  в реестре?

?Заархивировал подозрительный файл и загрузил его на файлообменник:  http://turbobit.net/bcl8ja2zv3y9.html- посмотрите пожалуйста!

Изменено пользователем Andreyuser
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Obivan
      От Obivan
      Есть несколько проблем которые я заметил в работе своего компа после того как на новогодних каникулах в него поиграли детишки. В браузере хром невозможно ничего скачать, всегда обнаружен вирус, даже там где его не может быть. Заблочились обновления виндовс. Винда 11 про 22н2. Все, что на форумах обычно пишут сделать- делал, ничего не помогло. Антивирус стоит Касперский эндпоинт секурити. Сканировал куреит, авз, малвар и пр, что-то там нашлось, удалилось и вылечилось, но эффекта не дало. Кто знает, что делать? Давайте разбираться!
      CollectionLog-2025.01.16-19.59.zip
    • TloBeJluTeJlb
      От TloBeJluTeJlb
      Здравствуйте, перед обращением прошерстил темы похожих проблем, но не нашёл своей. John каким-то совершенно непостижимым образом почти не влиял на работоспособность системы, а заметил я его исключительно из-за пропажи доступа к файлам Касперского, который полностью перестал запускаться. 

      Побился об ближайшую стену, подумал, прошёлся KVRT, которым ничего не нашло, подумал ещё немного, включил AV_block_remover. Он нашёл, сделал своё дело, но доступ к папке антивируса я всё ещё не получил :D! FRST, от нечего делать, тоже был задействован, но немного опосля. Короче говоря, я, даже после удаления злополучного майнера из системы, не могу получить доступ к своим же файлам.



       

      FRST.txt Fixlog.txt Addition.txt AV_block_remove_2025.01.20-07.45.log
    • jiil
      От jiil
      Обнаружил на пк вирус или майнер, подозрения начались после общего замедления работы системы, забитый под 100% ЦП, после попыток использовать антивирус, он не запускался, при попытке скачать новый антивирус браузер вылетает, после попыток зайти в проводник в скрытые папки (Program Data) проводник тоже вылетает, смог воспользоваться AVbr с изменение имени исполняемого файла получил следующий лог
       

    • sater123
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • Salieri
      От Salieri
      Наткнулся на вирус, с файлов игры ( пиратки ) , нужнаCollectionLog-2024.12.16-15.54.zipFRST.txtAddition.txt помощь, система тормозит, производительность упала. Логи ниже
×
×
  • Создать...