Подозрение на backdoor win32 agent ahj что это

Backdoor.Agent.Win32

Backdoor.Agent.Win32 – большое семейство вредоносного ПО, которое позволяет получить полный доступ к заражённому компьютеру.

Описание

Семейство Backdoor.Agent.Win32 – собирательное название BackDoor программ, написанных различными авторами на различных языках программирования, имеющих различную структуру и принцип работы.
Семейство бэкдуров Backdoor.Agent.Win32 насчитывает более 1000 модификаций.
Вредоносы этого семейства, предназначены для скрытого удалённого управления чужим компьютером.
По своей функциональности BackDoor во многом напоминают различные системы удалённого администрирования (TeamViewer, Remote Admin, VNC), разрабатываемые фирмами-производителями программных продуктов.
Основным отличием от официальных программ является скрытная установка на компьютер и предоставление полного доступа к нему третьим лицам.

Функциональность Backdoor.Agent.Win32 варьируется от версии к версии.
Основные операции, которые могут делать злоумышленники с зараженным компьютером:

• Видеть рабочий стол пользователя и все его действия
• Управлять курсором мышки
• Перехватывать нажатия клавиатуры
• Принимать или отсылать файлы
• Запускать и уничтожать файлы
• Стирать информацию
• Перезагружать компьютер
• Перенаправлять трафик на proxy-сервера злоумышленников
• Воровать банковскую и личную информацию

Внедрение

Как правило, внедрение Backdoor.Agent.Win32 на компьютер, является конечной целью вирусной атаки, поэтому данные вредоносы, могут загружаться на компьютер при помощи другого вредоносного ПО.
К примеру:
Если компьютер заражен троянской программой Downloader.Agent.Win32, то она в свою очередь может загрузить из сети Internet, бэкдур Backdoor.Agent.Win32.
Также вредоносы попадают на компьютер через файлообменные Web или Torrent сайты, где они представлены как какие-нибудь полезные программы, кодеки, кряки, кейгены и т.п.

Деструктивные действия
Заражение компьютера вредоносами семейства Backdoor.Agent.Win32 очень опасно, так как по сути злоумышленники получают полный доступ ко всей информации хранящейся на компьютере и кроме того получают над ним полный контроль.

Удаление Win32.Backdoor.Agent: Удалите Win32.Backdoor.Agent Навсегда

Что такое Win32.Backdoor.Agent

Скачать утилиту для удаления Win32.Backdoor.Agent

Удалить Win32.Backdoor.Agent вручную

Получить проффесиональную тех поддержку

Читать комментарии

Описание угрозы

Имя исполняемого файла:

Win32.Backdoor.Agent

svchost.exe

Virus

Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)

Метод заражения Win32.Backdoor.Agent

Win32.Backdoor.Agent копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла svchost.exe. Потом он создаёт ключ автозагрузки в реестре с именем Win32.Backdoor.Agent и значением svchost.exe. Вы также можете найти его в списке процессов с именем svchost.exe или Win32.Backdoor.Agent.

Если у вас есть дополнительные вопросы касательно Win32.Backdoor.Agent, пожалуйста, заполните эту форму и мы вскоре свяжемся с вами.

Скачать утилиту для удаления

Скачайте эту программу и удалите Win32.Backdoor.Agent and svchost.exe (закачка начнется автоматически):

* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить Win32.Backdoor.Agent в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.

Функции

Удаляет все файлы, созданные Win32.Backdoor.Agent.

Удаляет все записи реестра, созданные Win32.Backdoor.Agent.

Программа способна защищать файлы и настройки от вредоносного кода.

Программа может исправить проблемы с браузером и защищает настройки браузера.

Удаление гарантированно — если не справился SpyHunter предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 входит в комплект поставки.

Скачайте утилиту для удаления Win32.Backdoor.Agent от российской компании Security Stronghold

Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления Win32.Backdoor.Agent.. Утилита для удаления Win32.Backdoor.Agent найдет и полностью удалит Win32.Backdoor.Agent и все проблемы связанные с вирусом Win32.Backdoor.Agent. Быстрая, легкая в использовании утилита для удаления Win32.Backdoor.Agent защитит ваш компьютер от угрозы Win32.Backdoor.Agent которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления Win32.Backdoor.Agent сканирует ваши жесткие диски и реестр и удаляет любое проявление Win32.Backdoor.Agent. Обычное антивирусное ПО бессильно против вредоносных таких программ, как Win32.Backdoor.Agent. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с Win32.Backdoor.Agent и svchost.exe (закачка начнется автоматически):

Функции

Удаляет все файлы, созданные Win32.Backdoor.Agent.

Удаляет все записи реестра, созданные Win32.Backdoor.Agent.

Программа может исправить проблемы с браузером.

Иммунизирует систему.

Удаление гарантированно — если Утилита не справилась предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.

Наша служба поддержки готова решить вашу проблему с Win32.Backdoor.Agent и удалить Win32.Backdoor.Agent прямо сейчас!

Оставьте подробное описание вашей проблемы с Win32.Backdoor.Agent в разделе Техническая поддержка. Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с Win32.Backdoor.Agent. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления Win32.Backdoor.Agent.

Как удалить Win32.Backdoor.Agent вручную

Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с Win32.Backdoor.Agent, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены Win32.Backdoor.Agent.

Чтобы избавиться от Win32.Backdoor.Agent, вам необходимо:

1. Завершить следующие процессы и удалить соответствующие файлы:

Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать Утилиту для удаления Win32.Backdoor.Agent для безопасного решения проблемы.

2. Удалите следующие папки:

3. Удалите следующие ключи и\или значения ключей реестра:

Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать Утилиту для удаления Win32.Backdoor.Agent для безопасного решения проблемы.

Как предотвратить заражение рекламным ПО? Мы рекомендуем использовать Adguard:

4. Сбросить настройки браузеров

Win32.Backdoor.Agent иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию «Сбросить настройки браузеров» в «Инструментах» в программе Spyhunter Remediation Tool для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие Win32.Backdoor.Agent. Для сброса настроек браузеров вручную используйте данную инструкцию:

Для Internet Explorer

• Если вы используете Windows XP, кликните Пуск, и Открыть. Введите следующее в поле Открыть без кавычек и нажмите Enter: «inetcpl.cpl».
• Если вы используете Windows 7 или Windows Vista, кликните Пуск. Введите следующее в поле Искать без кавычек и нажмите Enter: «inetcpl.cpl».
• Выберите вкладку Дополнительно
• Под Сброс параметров браузера Internet Explorer, кликните Сброс. И нажмите Сброс ещё раз в открывшемся окне.
• Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.
• После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Для Google Chrome

• Найдите папку установки Google Chrome по адресу: C:\Users\»имя пользователя»\AppData\Local\Google\Chrome\Application\User Data.
• В папке User Data, найдите файл Default и переименуйте его в DefaultBackup.
• Запустите Google Chrome и будет создан новый файл Default.
• Настройки Google Chrome сброшены

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Для Mozilla Firefox

• Откройте Firefox
• В меню выберите Помощь >Информация для решения проблем.
• Кликните кнопку Сбросить Firefox.
• После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить.

Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

This pest often comes with: smitfraud gp

Backdoor.Win32.Agent.bhyr

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Программа является приложением Windows (PE-EXE файл). Имеет размер 107170 байт. Написана на C++. MD5: 62daa0d7a49f1338513759b79622489f
SHA1: ede54613de2c21244c7849759c4bf82f1b7d827e

Деструктивная активность

При запуске бэкдор извлекает из своего тела файл и сохраняет его под следующим именем:

%SystemDrive%\Documents and Settings\Local User\lss.dll

Данный файл имеет размер 17916481 байт и детектируется Антивирусом Касперского как Backdoor.Win32.Agent.bhyr. Далее бэкдор создает службу с именем «360svc» (отображаемое имя службы «Serial Number Service»), а также создает следующие ключи системного реестра:

[HKLM\System\ControlSet001\Services\360svc] "Description"="might not be down loaded to the device." "IsalouentlMdl"="%Original Filename%" [HKLM\System\ControlSet001\Services\360svc\Parameters] "ServiceDll"="%SystemDrive%\Documents and Settings\Local User\lss.dll"

Также бэкдор добавляет в конец списка значения следующего ключа системного реестра строку с именем созданной службы «360svc»:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"

• получает оригинальное имя бэкдора путем чтения ключа реестра:

[HKLM\System\ControlSet001\Services\360svc] "IsalouentlMdl"

moyu***cp.net

[HKLM\System\CurrentControlSet\Services\360svc] "Type"="288"

При работе бэкдор создает уникальный идентификатор с именем «YuAnk Update».

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить оригинальный файл бэкдора, если он существует. Его расположение на зараженном компьютере можно установить прочитав значение следующего ключа системного реестра:

[HKLM\System\ControlSet001\Services\360svc] "IsalouentlMdl"

[HKLM\System\ControlSet001\Services\360svc] [HKLM\System\CurrentControlSet\Services\360svc]

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"

%SystemDrive%\Documents and Settings\Local User\lss.dll

Trojan-Downloader.Win32.Agent.ns

Изучение показало, что зловред выполнен в виде dll, которая внедряется в запущенные процессы (что и привело к ее обнаружению). Размер файла — 6657 байта, он ничем не сжат. У файла весьма убедительные поддельные копирайты — «Microsoft Corporation», «Microsoft OLE Extensions for Windows» версия «4.71.2900.0000». OLEADM.dll экспортирует единственную функцию, причем без имени. Установку файла выполняет дроппер, который как правило называется toolbar.exe, размер 8192 байта, сжат UPX. Дроппер прописывает ключи отложенного переименования в реестре, задавая ключ PendingFileRenameOperations. В результате программируется операция переименования:

\??\C:\WINDOWS\system32\oleadm32.dll \??\C:\WINDOWS\system32\wininet.dll

oleadm32.dll хранится внутри toolbar.exe и создается им при запуске.
В результате после перезагрузки пораженного компьютера появляется перехват функции wininet.dll:HttpSendRequestA, что позволяет данному «зверю» отлавливать HTTP запросы. Перехват производится модификацией самого wininet.dll на диске, причем размер и дата файла wininet.dll на диске не изменяется (я обнаружил изменения сравнением эталонного и реально wininet.dll). В результате такого хитроумного метода внедрения в систему в реестре нет ни одной ссылки на oleadm32.dll .
Модификации кода wininet.dll достаточно оригинальны — меняется точка входа в функцию инициализации DLL, причем новая точка входа указывает на зону между DOS заголовком и заголовком PE файла (троянский код начинается по смещению 40h от начала файла — эта зона между заголовками не используется и ее применение позволяет поместить троянский код без увеличения размера файла — похожий метод применялся в Чернобыльском вирусе и аналогах). Обнаружить факт заражения можно просмотром начала файла — в зараженном файле по смещению 4A (это самое начала файла) видна текстовая строка «OLEADM».

Лечение
Для лечения Trojan-Downloader.Win32.Agent.ns необходимо удалить библиотеку oleadm32.dll и восстановить файл wininet.dll из резервной копии. После удаления oleadm32.dll измененная wininet.dll продолжает нормально работать — не найдя oleadm32.dll троянский код отдает управление штатной функции инициализации wininet.dll, поэтому дальнейшая ее инициализация проходит нормально, но перехват функции AVZ по прежнему регистрирует.