-
Junior Member
- Вес репутации
- 42
Перехват функций в системе
Здравствуйте! я заметил что у меня больше 30 секунд открывается рабочий стол. решил просканировать утилитой AVZ систему без выбора справа всех пунктов для копирования подозрительныйх объектов в карантин. после сканирования эта утилита мне показала вот такие результаты:
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtMapViewOfSection (196) перехвачена, метод APICodeHijack.JmpTo[002A003E]
Функция ntdll.dll:NtTerminateThread (349) перехвачена, метод APICodeHijack.JmpTo[00280042]
Функция ntdll.dllwMapViewOfSection (1006) перехвачена, метод APICodeHijack.JmpTo[002A003E]
Функция ntdll.dllwTerminateThread (1159) перехвачена, метод APICodeHijack.JmpTo[00280042]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:ExitWindowsEx (226) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:ChangeServiceConfigA (56) перехвачена, метод CodeHijack (метод не определен)
Функция advapi32.dll:ChangeServiceConfigW (57) перехвачена, метод CodeHijack (метод не определен)
Функция advapi32.dll:ControlService (6 перехвачена, метод CodeHijack (метод не определен)
Функция advapi32.dll:CreateServiceA (102) перехвачена, метод CodeHijack (метод не определен)
Функция advapi32.dll:CreateServiceW (103) перехвачена, метод CodeHijack (метод не определен)
Функция advapi32.dlleleteService (177) перехвачена, метод CodeHijack (метод не определен)
Функция advapi32.dllpenServiceA (431) перехвачена, метод CodeHijack (метод не определен)
Функция advapi32.dllpenServiceW (432) перехвачена, метод CodeHijack (метод не определен)
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Функция urlmon.dll:URLDownloadToCacheFileW (217) перехвачена, метод CodeHijack (метод не определен)
Функция urlmon.dll:URLDownloadToFileW (219) перехвачена, метод CodeHijack (метод не определен)
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=085700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 805044D4 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 22
Количество загруженных модулей: 354
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 7 TCP портов и 10 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 377, извлечено из архивов: 1, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 22.01.2013 19:07:48
Я полагаю что какие-то функции (системные или нет не знаю) перехватываются непонятно как и с помощью чего. есть ли опасность в этом? происследуйте пожалуйста то что будет в архиве и если что-то будет подозрительное или не очень напишите что мне делать дальше. в карантин созданное о перехвате не удалось добавить так как в разделе Просмотр карантина у меня не отобразилась папка с созданными логами. я сделал такой метод что сама утилита автоматически добавила подозрительные файлы в карантин и потом я просто заархивировал и прикрепил здесь. скажите как бороться с перехватчиками функций которые я написал выше? хочу вылечить компьютер от этого но не получается. установленный антивирус не нашел вирусов при полном сканировании. сторонние утилиты (drweb и др.) тоже ничего не нашли а функции перехвачиваются. что мне делать дальше?
Последний раз редактировалось cukanovboris; 21.01.2013 в 19:21.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) cukanovboris, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Это нормальные перехваты.
Сделайте логи по правилам (раздел диагностика п.1-3)
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-