Перейти к содержанию

Подозрение на Backdoor.Win32.Agent.ahj


Рекомендуемые сообщения

Добрый день Все началось с того, что 26.08 вечером при завершении работы компьютера на заставке появилась табличка, "Не выключайте компьютер, идет настройка обновлений". Но именно это меня и смутило, так как я хорошо помнил, что никаких заплаток для обновления Windows 7(64) Максимальная. утром на 26.08.2019 я не ставил. На следующее утро 27.08.2019 я обнаружил, что мой журнал обновлений Windows пуст, что и послужило первым звоночком для тревоги. Разобравшись я убедился, что сами обновления вроде как остались на месте в "Установленные обновления" Так же на 27.08 вышла парочка заплаток которые я установил КВ4511525 и КВ4512514.

С этого момента я начал проверять компьютер. Для начала сделал все проверки при помощи КИС 2019 Полную, Быструю, Поиск уязвимостей, Руткитов, все что только можно. Результат нулевой.

После этого, я скачал AVZ с http://z-oleg.comОбновил и запустил от имени администратора. Результат меня напугал, утилита выдала мне большое количество подозрения на шпионские вирусы.

C:\Windows\Installer\$PatchCache$\Managed\7FA53761D8D11863495A5C876AE18C23\4.8.3761\PenIMC_AMD64.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039ED763 0AD009C8 0023D29E 0022B028 17968)
C:\Windows\Installer\$PatchCache$\Managed\7FA53761D8D11863495A5C876AE18C23\4.8.3761\PenIMC_X86.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\NaturalLanguage6.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\NlsData0009.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\NlsLexicons0009.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\NaturalLanguage6.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039ED763 0AD009C8 0023D29E 0022B028 17968)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\NlsData0009.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039ED763 0AD009C8 0023D29E 0022B028 17968)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\NlsLexicons0009.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039ED763 0AD009C8 0023D29E 0022B028 17968)
C:\Windows\System32\msvcp110_clr0400.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\System32\msvcr100_clr0400.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\System32\msvcr110_clr0400.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\SysWOW64\msvcp110_clr0400.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\SysWOW64\msvcr100_clr0400.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\SysWOW64\msvcr110_clr0400.dll;2;Подозрение на Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll;5;Подозрение на Keylogger или троянскую DLL

Для начала я прогнал выборочно файлы указанные под подозрением через сайт www.virustotal.com и virusdesk.kaspersky.ru но он так же не признал в них опасности.

Потом я обратился в тех поддержку Касперского, отправлял им логи, но они ничего не нашли. 

​Замечен интересный факт, что AVZ находит эти файлы не постоянно, а периодически. К примеру утром при проверке эти файлы были под подозрением, а после обеда "Список пуст" Через какое-то время ситуация повторяется. 

Эти файлы были созданы системой в основном 28,03 и до 26,08 AVZ не видел в них никакой проблемы. 

 

По сей момент я нахожусь в замешательстве,не понимая удалить их или оставить так как это может нарушить работу системы или недобросовестные программы успеют наделать мне горя на ПК.
Я так же попробовал разобраться в датах выхода обновлений, но та сайте Майкросовт так толком никакого списка с датами не обнаружил, только редкие упоминания.
Пожалуйста, помогите разобраться. Если у кого все еще стоит семерка, прорвете, поделитесь результатом. 

Не исключаю что это Майкрософт следит за нами, так как это прописано в  пользовательском соглашении.  :help: 

Ссылка на сообщение
Поделиться на другие сайты

А как это? Мне для себя, разобраться. Просто как я писал ранее, обнаружения проходят время от времени.


Может это какой-то баг, который нужно сообщить автору AVZ?

Ссылка на сообщение
Поделиться на другие сайты

Скорее всего это не баг, у AVZ было подозрение на ту или иную угрозу, видимо это связанно с работой эвристики.

P.S. Если вы можете стабильно воспроизвести проблему, то есть смысл написать разработчику AVZ.

Ссылка на сообщение
Поделиться на другие сайты

Ситуация актуальна. Отправил автору ссылку на тему и указанные файлы в карантине, буду ждать ответа. Надеюсь, что отпишутся сюда. 

Ссылка на сообщение
Поделиться на другие сайты

 

 


буду ждать ответа. Надеюсь, что отпишутся сюда.
Боюсь, что ждать придётся очень долго учитывая его активность за последний год.

 

А по сабжу, перед тем как сообщать и проблеме надо было проверить на последней версии утилиты. Та что скачивается с оф. сайта Олега сильно устарела и не совсем корректно работает на x64 системах. Актуальная версия AVZ находится в автологере (просто она не релизная, поэтому на оф. сайте её нет). В логах AVZ из комплекта Автологера этой пролемы нет.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Petr_M
      Привет! Ребята, помогите разобраться, please! Я использую Kaspersky Internet Security на одном компьютере, на другом у меня - Kaspersky Security Cloud. Сканеру, который есть в этих пакетах, я доверяю на 99 процентов, по крайней мере лучше не знаю. Но хотелось бы иметь еще один какой-нибудь сканер (который не требует инсталляции), на всякий случай. Можно ли доверять AVZ, если он давно не выпускает новые версии? "Курейтом" не пользуюсь, потому что он сильно загружает комп и засоряет его логами, которые потом невозможно удалить... Я помню, здесь, на форуме, кто-то называл еще сканеры, но вот вспомнить не могу. Заранее спасибо!
    • От Ytkaaa
      Здравствуйте, возникла проблема, запустил скан avz,  ничего не нашел, но есть красные строчки, ниже напишу их, это нормально?
      Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->754ACF90->753AA3C0
      Функция kernel32.dll:ReadConsoleInputExW (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->754ACFC3->753AA3F0
      Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
      Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->770A3F84->753ACCE0
      Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->770A4EAB->7612C650
    • От Igor_ST
      Добрый день. Знаю, что на форуме есть такая тема, но не получается ее открыть. Переадресация с поискового сайта открывает только начальную страницу форума.
       
      Необходимо с помощью psexec выполнять батник, который запускает avz и выполняет стандартные скрипты проверки, на ПК во внутренней сети компании. В мои руки попал батник, пытаюсь запустить его на своем ПК для теста. Но я не могу его наладить, он не хочет выполняться. 
       
      @Echo Off
      If '%1==' GoTo :Eof
      title AVZ Scan %1
      SET Logfile="LOGS\%1_%date%\script.log"
      SET LookForFile="\\%1\c$\AVZ4\LOG\virusinfo_syscheck.htm"
      mkdir "LOGS\%1_%date%"
      echo %date% %time% Start scanning proccess. Target %1 >> %Logfile%
      rem Update AV bases
      "%~dp0AVZ4\avz.exe" HiddenMode=3 Script="%~dp0ScriptUpdate.txt"
      rem drop avz4 to target
      xcopy "%~dp0AVZ4" \\%1\c$\AVZ4 /S /I /Q /Y >> %Logfile%
      rem run AVZ on target
      "%~dp0psexec" \\%1 -d c:\avz4\avz.exe HiddenMode=3 Script=c:\avz4\ScriptScan.txt >> %Logfile%
      rem Wait ending of scan 
      :CheckForFile
      echo %date% %time% Waiting log-file on %1 >> %Logfile%
      IF EXIST %LookForFile% GOTO FoundIt
      TIMEOUT /T 60 >nul    
      GOTO CheckForFile

      rem Getting Logs
      :FoundIt
      ECHO Found: %LookForFile% , getting >> %Logfile%
      xcopy \\%1\c$\AVZ4\LOG\*.* "LOGS\%1_%date%" >> %Logfile%
      echo Delete AVZ from %1 >> %Logfile%
      rd /S /Q \\%1\c$\AVZ4 > nul
       
      Прошу помочь с этим батником или подсказать код нового.
       
      Алгоритм следующий:
       копирование папки avz на диск с удаленного ПК - обновление avz (необязательно) - выполнение скриптов проверки - создает лог файл в формате .htm в папке на моем ПК.
       
       
       
    • От VachEv
      Здравствуйте.
      Недавно у меня стояла Windows 7. И неожиданно отключился доступ к интернету. Когда коллективом начали копаться глубже, не включался брандмауэр, и еще куча служб связанных с сетью. Все это было связано с Правами и доступом. Разобраться не смогли, поэтому на свободное место установили сборку Windows 10.
      После установки Винд.10, поотключал в настройках все что мог лишнее, типа магазинов, сообщений и проч.
      И хоть компьютер работал  ПОКА не медленно, обратил внимание на количество процессов  svchost. Запустил программу  анализ процесса svchost: SvchostAnalyzer.exe -67 лишних процессов.
      У меня стоял антивирус Аваст, и он никак не реагировал. Скачал и установил Malwarebytes Premium 3.6.1.2711, и тоже все нормально, вирусов нет.
      Скачал и запустил AVZ, который хоть и написал о каких то перехватах, но сообщил, что опасности тоже нет.
      Не знаю с чего начинать, как удалить лишние процессы, которых пока 67, но неизвестно сколько будет дальше. 
      Прошу помочь, т.к. я в вирусах лох. 
       



      avz_sysinfo.htm
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
×
×
  • Создать...