Andreyuser 2 Жалоба Опубликовано 7 марта, 2014 При сканировании всех файлов avz поместил в карантин с подозрением на -troyan-downloader.win32.agent.bhl. Но до конца полное сканирование не дошло, а утилита автоматически закрылась. Подозрительный файл был обнаружен в папке C:\Program Files\MSI\Live Update 5. Файл был помещен в карантин, но после перезагрузки компьютера файла в карантине уже нет. Также при каждом сканировании утилитой обнаружены перехватчики: Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=085700) Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000 SDT = 8055C700 KiST = 80504480 (284) Проверено функций: 284, перехвачено: 0, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 Анализ для процессора 3 Анализ для процессора 4 CmpCallCallBacks = 00093D84 Disable callback - уже нейтирализованы Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Поиск маскировки процессов и драйверов завершен 1.5 Проверка обработчиков IRP Драйвер успешно загружен \FileSystem\ntfs[iRP_MJ_CREATE] = 8AAF01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_CLOSE] = 8AAF01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_WRITE] = 8AAF01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_QUERY_INFORMATION] = 8AAF01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_SET_INFORMATION] = 8AAF01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_QUERY_EA] = 8AAF01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_SET_EA] = 8AAF01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_QUERY_VOLUME_INFORMATION] = 8AAF01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_SET_VOLUME_INFORMATION] = 8AAF01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_DIRECTORY_CONTROL] = 8AAF01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_FILE_SYSTEM_CONTROL] = 8AAF01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_DEVICE_CONTROL] = 8AAF01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_LOCK_CONTROL] = 8AAF01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_QUERY_SECURITY] = 8AAF01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_SET_SECURITY] = 8AAF01F8 -> перехватчик не определен \FileSystem\ntfs[iRP_MJ_PNP] = 8AAF01F8 -> перехватчик не определен Проверка завершена 2. Проверка памяти Количество найденных процессов: 38 Количество загруженных модулей: 530 Проверка памяти завершена Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
mike 1 969 Жалоба Опубликовано 7 марта, 2014 Плохого по логам не увидел. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Andreyuser 2 Жалоба Опубликовано 7 марта, 2014 Подскажите \FileSystem\ntfs[iRP_MJ_CREATE] = 8AAF01F8 -> перехватчик не определен -что это такое? Сделал повторное сканирование утилитой avz и опять найден и помещен в карантин: 3. Сканирование дисков C:\Program Files\MSI\Live Update 5\LU5\DL_FILE\temp/{RAR-SFX}/Common\UI\TmJsTitanium.cmpt\skins\Tyranium.cmpt\resources\common.lproj\tyranium\images\timer_no_internet.png >>> подозрение на Trojan-Downloader.Win32.Agent.bhl ( 0EB234D0 0F6B7460 00282045 0026C67E 13001) Файл успешно помещен в карантин (C:\Program Files\MSI\Live Update 5\LU5\DL_FILE\temp) Кака прислать его на анализ? Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
mike 1 969 Жалоба Опубликовано 7 марта, 2014 1. Перехваты от эмулятора дисков Daemon Tools. 2. Всего лишь подозрение. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Andreyuser 2 Жалоба Опубликовано 7 марта, 2014 (изменено) Daemon Tools уже давно был удален. Наверное остались следы в реестре? ?Заархивировал подозрительный файл и загрузил его на файлообменник: http://turbobit.net/bcl8ja2zv3y9.html- посмотрите пожалуйста! Изменено 7 марта, 2014 пользователем Andreyuser Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
thyrex 1 175 Жалоба Опубликовано 7 марта, 2014 Вам же написали - ничего интересного 1 Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
