Перейти к содержанию

Подозрение на Backdoor.Win32.Agent.ahj


Рекомендуемые сообщения

Добрый день Все началось с того, что 26.08 вечером при завершении работы компьютера на заставке появилась табличка, "Не выключайте компьютер, идет настройка обновлений". Но именно это меня и смутило, так как я хорошо помнил, что никаких заплаток для обновления Windows 7(64) Максимальная. утром на 26.08.2019 я не ставил. На следующее утро 27.08.2019 я обнаружил, что мой журнал обновлений Windows пуст, что и послужило первым звоночком для тревоги. Разобравшись я убедился, что сами обновления вроде как остались на месте в "Установленные обновления" Так же на 27.08 вышла парочка заплаток которые я установил КВ4511525 и КВ4512514.

С этого момента я начал проверять компьютер. Для начала сделал все проверки при помощи КИС 2019 Полную, Быструю, Поиск уязвимостей, Руткитов, все что только можно. Результат нулевой.

После этого, я скачал AVZ с http://z-oleg.comОбновил и запустил от имени администратора. Результат меня напугал, утилита выдала мне большое количество подозрения на шпионские вирусы.

C:\Windows\Installer\$PatchCache$\Managed\7FA53761D8D11863495A5C876AE18C23\4.8.3761\PenIMC_AMD64.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039ED763 0AD009C8 0023D29E 0022B028 17968)
C:\Windows\Installer\$PatchCache$\Managed\7FA53761D8D11863495A5C876AE18C23\4.8.3761\PenIMC_X86.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\NaturalLanguage6.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\NlsData0009.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\NlsLexicons0009.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\NaturalLanguage6.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039ED763 0AD009C8 0023D29E 0022B028 17968)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\NlsData0009.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039ED763 0AD009C8 0023D29E 0022B028 17968)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\NlsLexicons0009.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039ED763 0AD009C8 0023D29E 0022B028 17968)
C:\Windows\System32\msvcp110_clr0400.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\System32\msvcr100_clr0400.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\System32\msvcr110_clr0400.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\SysWOW64\msvcp110_clr0400.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\SysWOW64\msvcr100_clr0400.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\SysWOW64\msvcr110_clr0400.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll;5;Подозрение на Keylogger или троянскую DLL

Для начала я прогнал выборочно файлы указанные под подозрением через сайт www.virustotal.com и virusdesk.kaspersky.ru но он так же не признал в них опасности.

Потом я обратился в тех поддержку Касперского, отправлял им логи, но они ничего не нашли. 

​Замечен интересный факт, что AVZ находит эти файлы не постоянно, а периодически. К примеру утром при проверке эти файлы были под подозрением, а после обеда "Список пуст" Через какое-то время ситуация повторяется. 

Эти файлы были созданы системой в основном 28,03 и до 26,08 AVZ не видел в них никакой проблемы. 

 

По сей момент я нахожусь в замешательстве,не понимая удалить их или оставить так как это может нарушить работу системы или недобросовестные программы успеют наделать мне горя на ПК.
Я так же попробовал разобраться в датах выхода обновлений, но та сайте Майкросовт так толком никакого списка с датами не обнаружил, только редкие упоминания.
Пожалуйста, помогите разобраться. Если у кого все еще стоит семерка, прорвете, поделитесь результатом. 

Не исключаю что это Майкрософт следит за нами, так как это прописано в  пользовательском соглашении.  :help: 

Ссылка на сообщение
Поделиться на другие сайты

А как это? Мне для себя, разобраться. Просто как я писал ранее, обнаружения проходят время от времени.


Может это какой-то баг, который нужно сообщить автору AVZ?

Ссылка на сообщение
Поделиться на другие сайты

Скорее всего это не баг, у AVZ было подозрение на ту или иную угрозу, видимо это связанно с работой эвристики.

P.S. Если вы можете стабильно воспроизвести проблему, то есть смысл написать разработчику AVZ.

Ссылка на сообщение
Поделиться на другие сайты

Ситуация актуальна. Отправил автору ссылку на тему и указанные файлы в карантине, буду ждать ответа. Надеюсь, что отпишутся сюда. 

Ссылка на сообщение
Поделиться на другие сайты

 

 


буду ждать ответа. Надеюсь, что отпишутся сюда.
Боюсь, что ждать придётся очень долго учитывая его активность за последний год.

 

А по сабжу, перед тем как сообщать и проблеме надо было проверить на последней версии утилиты. Та что скачивается с оф. сайта Олега сильно устарела и не совсем корректно работает на x64 системах. Актуальная версия AVZ находится в автологере (просто она не релизная, поэтому на оф. сайте её нет). В логах AVZ из комплекта Автологера этой пролемы нет.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Тарас333
      От Тарас333
      Здравствуйте, помогите, похоже руткит!
      CollectionLog-2024.02.07-23.03.zip
    • Vovabubl
      От Vovabubl
      Брат поймал на компьютер вирус-майнер John. Пытаюсь дистанционно помочь ему через прогу AnyDesk.
      Началось все с попыток установить ему Яндекс браузер. Брат его удалил чтобы переустановить, однако установка всегда прерывалась ошибкой, доходя до ~40%. Все файлы предыдещего Яндекс браузера почистили, но не помогло. Скачивали установщик из разных источников - безрезультатно. Затем обнаружилась скрытая папка пользователя John (см. скриншот ниже). Содержимого нет или не отображается. При запуске диспетчера задач наблюдаем резкий скачок нагрузки до 100%, затем спад до нормальных значений (не уверен, связано ли это с вирусом). Вирус блокирует доступ к сайтам антивирусных программ, пересылал через файлообменник установщик Malwarebytes - после установки его сразу же "снесло". Сейчас выполняем повторное сканирование через утилиту AVZ - первое результатов не принесло.

       
      После первого скана попробовал применить скрипт, подсмотренный на этом форуме:
      begin DeleteService('MBAMChameleon'); DeleteService('MBAMService'); DeleteService('MBAMIService'); DeleteFile('C:\ProgramData\MB3Install\MBAMIService.exe','64'); DeleteFile('C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe','64'); DeleteFile('C:\Windows\System32\Drivers\MbamChameleon.sys','64'); ExecuteSysClean; RebootWindows(false); end. После выполнения скрипта при входе в диспетчер задач - скачок нагрузки до 30%, затем понижается. Однако, все еще нет доступа к сайтам антивирусов и сами антивирусы не устанавливаются. Прошу знатоков помочь в этом деле. Логи прикреплю чуть позже, по завершению сканирования.

      UPD: AVbr не запускается даже после переименования файла.

      UPD 2: Второе сканирование AVZ опять безрезультатно (скриншот ниже). 0 вредоносных программ и подозрений. Логи также прикреплю ниже.

       
      Логи второго сканирования:
      avz_log.txt
    • ANDREWvl
      От ANDREWvl
      Здравствуйте.
      Логи приложил.
      Подозрения возникли после того, как аваст на некоторых компах начал ругаться.
      безопасно прервано подключение к изза заражения  SMB:CVE-2017-0144
      Логи с сервера, к которому было подключение.
       
      на сервере заметил в programData папки 360safe, avast software, eset, everynote, grizzly, puzzle media и тд.
       
      Все созданы одной датой - позавчера
      Замечал еще такую папку - RDP WRAPPER. Через avz удалил
       
      Надеюсь ничего сильно страшного.
       
       
      ЗЫ. Скрипт сбора отработал только первую часть до перезагрузки. Перезагружать не стал - сервер все ж
       
      CollectionLog-2023.11.01-12.12.zip
      да, в эти папки из far2 не попасть - доступ запрещен
    • Anov
      От Anov
      Здравствуйте.   Обновил базу приложения AVZ через File → Database Update, после чего при попытке запустить сканирование системы программа неизменно выдаёт ошибку Range check error. Приложение версии 5.50 от 05.03.2021.   Выполнил обновление базы также для старой версии программы 4.46 от 27.02.2016, после чего старая версия программы тоже начала выдавать ту же самую ошибку.   Как это исправить?
    • AFG
      От AFG
      Установил программу, после чего сервер 1С упал, нет возможности работать, проверил с помощью AVZ в файле был троян и много ещё чего, после удаления заражённой программы, при сканировании остались ошибки.
      avz_log.txt
×
×
  • Создать...