Показано с 1 по 9 из 9.

Перехватчики API. RootKit? (заявка № 173996)

  1. #1
    Junior Member Репутация
    Регистрация
    05.01.2015
    Сообщений
    10
    Вес репутации
    8

    Перехватчики API. RootKit?

    Здравствуйте, помогите пожалуйста. При сканировании AVZ красным цветом выделено множество функций перехваченных метод ProocAddressHijack. И к ПК разрешен доступ анонимного пользователя. Как это возможно устранить? Подозреваю, что у меня в компе RootKit.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) Яна22, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,240
    Вес репутации
    1022
    При сканировании AVZ красным цветом выделено множество функций перехваченных метод ProocAddressHijack
    Это нормальные записи в логе.

    И к ПК разрешен доступ анонимного пользователя.
    Для отключения этого выполните скрипт в AVZ:

    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RebootWindows(false);
    end.
    Компьютер перезагрузится. В остальном логи у вас в порядке.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  5. #4
    Junior Member Репутация
    Регистрация
    05.01.2015
    Сообщений
    10
    Вес репутации
    8
    Спасибо большое за помощь. Подскажите плиз еще 1) как закрыть административный доступ к локальным дискам C$ D$ ? 2) Еще AVZ пишет: Поиск открытых портов TCP/UDP используемых вредоносными программами. Проверка отключена пользователем. Как включить эту проверку?

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,240
    Вес репутации
    1022
    Поиск открытых портов TCP/UDP используемых вредоносными программами. Проверка отключена пользователем. Как включить эту проверку?
    А ее и не надо включать если вас об этом не просят.

    как закрыть административный доступ к локальным дискам C$ D$ ?
    Достаточно будет отключить службу "Сервер".
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  7. #6
    Junior Member Репутация
    Регистрация
    05.01.2015
    Сообщений
    10
    Вес репутации
    8
    Спасибо за ответ! Извините плиз, что задаю много вопросов..А фот эти строчки все равно AVZ прописывает красным. Это теперь пожизненно? Или есть какая-нибудь возможность чтобы все это нормализовать?



    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
    Функция kernel32.dll:ReadConsoleInputExA (1094) перехвачена, метод ProcAddressHijack.GetProcAddress ->777A297A->7619D435
    Функция kernel32.dll:ReadConsoleInputExW (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->777A29AD->7619D459
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:NtCreateFile (26 перехвачена, метод ProcAddressHijack.GetProcAddress ->77ECAA40->7455B775
    Функция ntdll.dll:NtSetInformationFile (549) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ECA760->7455B6F1
    Функция ntdll.dll:NtSetValueKey (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ECAAF0->7455C69D
    Функция ntdll.dllwCreateFile (1647) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ECAA40->7455B775
    Функция ntdll.dllwSetInformationFile (1926) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ECA760->7455B6F1
    Функция ntdll.dllwSetValueKey (1957) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ECAAF0->7455C69D
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->7797779D->7455B6DB
    Функция user32.dll:SetWindowsHookExW (2303) перехвачена, метод ProcAddressHijack.GetProcAddress ->77985EFD->7455C801
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Функция advapi32.dll:SystemFunction001 (1760) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C7F2D->75894A91
    Функция advapi32.dll:SystemFunction002 (1761) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C7F49->758931B5
    Функция advapi32.dll:SystemFunction003 (1762) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C7F65->75893436
    Функция advapi32.dll:SystemFunction004 (1763) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C7F81->75894756
    Функция advapi32.dll:SystemFunction005 (1764) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C7F9D->7589489F
    Функция advapi32.dll:SystemFunction034 (1793) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C8261->758932F4
    Функция advapi32.dll:SystemFunction036 (1795) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C829A->758911C0
    Функция advapi32.dll:SystemFunction040 (1796) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C82B6->75891256
    Функция advapi32.dll:SystemFunction041 (1797) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C82D2->758912AA
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    1.5 Проверка обработчиков IRP
    Ошибка загрузки драйвера - проверка прервана [C000036B]

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,240
    Вес репутации
    1022
    А фот эти строчки все равно AVZ прописывает красным.
    Эти строчки есть на любом компьютере. Опасности они не представляют.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  9. #8
    Junior Member Репутация
    Регистрация
    05.01.2015
    Сообщений
    10
    Вес репутации
    8
    Спасибо за ответ! Я отключила службу Сервер. Но AVZ пишет снова: Разрешен административный доступ к локальным дискам C$, D$. Подскажите пожалуйста, есть ли какой-либо способ закрыть этот доступ к локальным дискам?.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,240
    Вес репутации
    1022
    При отключенной службе "Сервер" пользоваться этими ресурсами не получится. Конечно их можно отключить совсем, но думаю для вас это будет сложно, т.к. нужно производить некоторые изменения в реестре и вводить некоторые команды в командной строке.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

Присоединяйтесь к нам в соцсетях!

Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

Похожие темы

  1. sp??.sys - Подозрение на RootKit, Перехватчик KernelMode
    От hogward в разделе Вредоносные программы
    Ответов: 42
    Последнее сообщение: 08.04.2013, 17:39
  2. RootKit Перехватчик KernelMode spno.sys
    От Pradromalo в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 21.10.2010, 14:51
  3. Перехватчик sp** подозрение на RootKit
    От koksinator в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 27.04.2009, 20:18
  4. Перехватчик не определен(RootKit?)
    От arrrrrt в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 22.02.2009, 10:10
  5. rootkit, перехватчик kernel32...
    От lerson в разделе Помогите!
    Ответов: 28
    Последнее сообщение: 24.08.2006, 12:42

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00865 seconds with 21 queries