Показано с 1 по 4 из 4.

Перехват функций в системе (заявка № 130753)

  1. #1
    Junior Member Репутация
    Регистрация
    18.01.2013
    Сообщений
    2
    Вес репутации
    15

    Перехват функций в системе

    Здравствуйте! я заметил что у меня больше 30 секунд открывается рабочий стол. решил просканировать утилитой AVZ систему без выбора справа всех пунктов для копирования подозрительныйх объектов в карантин. после сканирования эта утилита мне показала вот такие результаты:

    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:NtMapViewOfSection (196) перехвачена, метод APICodeHijack.JmpTo[002A003E]
    Функция ntdll.dll:NtTerminateThread (349) перехвачена, метод APICodeHijack.JmpTo[00280042]
    Функция ntdll.dllwMapViewOfSection (1006) перехвачена, метод APICodeHijack.JmpTo[002A003E]
    Функция ntdll.dllwTerminateThread (1159) перехвачена, метод APICodeHijack.JmpTo[00280042]
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:ExitWindowsEx (226) перехвачена, метод CodeHijack (метод не определен)
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Функция advapi32.dll:ChangeServiceConfigA (56) перехвачена, метод CodeHijack (метод не определен)
    Функция advapi32.dll:ChangeServiceConfigW (57) перехвачена, метод CodeHijack (метод не определен)
    Функция advapi32.dll:ControlService (6 перехвачена, метод CodeHijack (метод не определен)
    Функция advapi32.dll:CreateServiceA (102) перехвачена, метод CodeHijack (метод не определен)
    Функция advapi32.dll:CreateServiceW (103) перехвачена, метод CodeHijack (метод не определен)
    Функция advapi32.dlleleteService (177) перехвачена, метод CodeHijack (метод не определен)
    Функция advapi32.dllpenServiceA (431) перехвачена, метод CodeHijack (метод не определен)
    Функция advapi32.dllpenServiceW (432) перехвачена, метод CodeHijack (метод не определен)
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Функция urlmon.dll:URLDownloadToCacheFileW (217) перехвачена, метод CodeHijack (метод не определен)
    Функция urlmon.dll:URLDownloadToFileW (219) перехвачена, метод CodeHijack (метод не определен)
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=085700)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
    SDT = 8055C700
    KiST = 805044D4 (284)
    Проверено функций: 284, перехвачено: 0, восстановлено: 0
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    Анализ для процессора 2
    Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
    Поиск маскировки процессов и драйверов завершен
    1.5 Проверка обработчиков IRP
    Драйвер успешно загружен
    Проверка завершена
    2. Проверка памяти
    Количество найденных процессов: 22
    Количество загруженных модулей: 354
    Проверка памяти завершена
    3. Сканирование дисков
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    В базе 317 описаний портов
    На данном ПК открыто 7 TCP портов и 10 UDP портов
    Проверка завершена, подозрительные порты не обнаружены
    7. Эвристичеcкая проверка системы
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    Проверка завершена
    9. Мастер поиска и устранения проблем
    Проверка завершена
    Просканировано файлов: 377, извлечено из архивов: 1, найдено вредоносных программ 0, подозрений - 0
    Сканирование завершено в 22.01.2013 19:07:48
    Я полагаю что какие-то функции (системные или нет не знаю) перехватываются непонятно как и с помощью чего. есть ли опасность в этом? происследуйте пожалуйста то что будет в архиве и если что-то будет подозрительное или не очень напишите что мне делать дальше. в карантин созданное о перехвате не удалось добавить так как в разделе Просмотр карантина у меня не отобразилась папка с созданными логами. я сделал такой метод что сама утилита автоматически добавила подозрительные файлы в карантин и потом я просто заархивировал и прикрепил здесь. скажите как бороться с перехватчиками функций которые я написал выше? хочу вылечить компьютер от этого но не получается. установленный антивирус не нашел вирусов при полном сканировании. сторонние утилиты (drweb и др.) тоже ничего не нашли а функции перехвачиваются. что мне делать дальше?
    Последний раз редактировалось cukanovboris; 21.01.2013 в 19:21.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) cukanovboris, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    Это нормальные перехваты.
    Сделайте логи по правилам (раздел диагностика п.1-3)


  5. #4
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,515
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) cukanovboris, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Перехват функций API
      От tripankrata в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 11.12.2012, 11:48
    2. Перехват функций (имя меняется)
      От nismoxid в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 04:41
    3. Перехват функций
      От Xel в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 10.02.2008, 16:56
    4. Перехват функций - зараза ?
      От silenser в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 15.08.2007, 17:25
    5. Перехват функций в отчете AVZ 4.22
      От Peina в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 20.12.2006, 00:31

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00409 seconds with 21 queries