Показано с 1 по 2 из 2.

Подозрительные перехватчики API (заявка № 62545)

  1. #1
    Junior Member Репутация
    Регистрация
    05.12.2009
    Сообщений
    1
    Вес репутации
    26

    Exclamation Подозрительные перехватчики API

    при очередном сканировании AVZ, выдал много неизвестных перехватов API, помогите разобраться что это такое.
    Код:
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
     Анализ kernel32.dll, таблица экспорта найдена в секции .text
     Анализ ntdll.dll, таблица экспорта найдена в секции .text
     Анализ user32.dll, таблица экспорта найдена в секции .text
     Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->766624B5->7577193A
    Функция advapi32.dll:I_QueryTagInformation (1361) перехвачена, метод ProcAddressHijack.GetProcAddress ->76662655->75CD72D8
    Функция advapi32.dll:I_ScIsSecurityProcess (1362) перехвачена, метод ProcAddressHijack.GetProcAddress ->7666268C->75CD733F
    Функция advapi32.dll:I_ScPnPGetServiceName (1363) перехвачена, метод ProcAddressHijack.GetProcAddress ->766626C3->75CD7C40
    Функция advapi32.dll:I_ScQueryServiceConfig (1364) перехвачена, метод ProcAddressHijack.GetProcAddress ->766626FA->75CD5F8A
    Функция advapi32.dll:I_ScSendPnPMessage (1365) перехвачена, метод ProcAddressHijack.GetProcAddress ->76662732->75CD5E7D
    Функция advapi32.dll:I_ScSendTSMessage (1366) перехвачена, метод ProcAddressHijack.GetProcAddress ->76662766->75CD71C5
    Функция advapi32.dll:I_ScValidatePnPService (1369) перехвачена, метод ProcAddressHijack.GetProcAddress ->76662799->75CD6B9D
    Функция advapi32.dll:IsValidRelativeSecurityDescriptor (1389) перехвачена, метод ProcAddressHijack.GetProcAddress ->766627D1->7576977E
    Функция advapi32.dll:PerfCreateInstance (1515) перехвачена, метод ProcAddressHijack.GetProcAddress ->76662858->74AD2187
    Функция advapi32.dll:PerfDecrementULongCounterValue (1516) перехвачена, метод ProcAddressHijack.GetProcAddress ->76662871->74AD2A1D
    Функция advapi32.dll:PerfDecrementULongLongCounterValue (1517) перехвачена, метод ProcAddressHijack.GetProcAddress ->76662896->74AD2B3C
    Функция advapi32.dll:PerfDeleteInstance (1519) перехвачена, метод ProcAddressHijack.GetProcAddress ->766628BF->74AD2259
    Функция advapi32.dll:PerfIncrementULongCounterValue (1522) перехвачена, метод ProcAddressHijack.GetProcAddress ->766628D8->74AD27B9
    Функция advapi32.dll:PerfIncrementULongLongCounterValue (1523) перехвачена, метод ProcAddressHijack.GetProcAddress ->766628FD->74AD28D6
    Функция advapi32.dll:PerfQueryInstance (1528) перехвачена, метод ProcAddressHijack.GetProcAddress ->76662926->74AD2373
    Функция advapi32.dll:PerfSetCounterRefValue (1529) перехвачена, метод ProcAddressHijack.GetProcAddress ->7666293E->74AD2447
    Функция advapi32.dll:PerfSetCounterSetInfo (1530) перехвачена, метод ProcAddressHijack.GetProcAddress ->7666295B->74AD20B0
    Функция advapi32.dll:PerfSetULongCounterValue (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->76662977->74AD2565
    Функция advapi32.dll:PerfSetULongLongCounterValue (1532) перехвачена, метод ProcAddressHijack.GetProcAddress ->76662996->74AD2680
    Функция advapi32.dll:PerfStartProvider (1533) перехвачена, метод ProcAddressHijack.GetProcAddress ->766629B9->74AD1FED
    Функция advapi32.dll:PerfStartProviderEx (1534) перехвачена, метод ProcAddressHijack.GetProcAddress ->766629D1->74AD1F34
    Функция advapi32.dll:PerfStopProvider (1535) перехвачена, метод ProcAddressHijack.GetProcAddress ->766629EB->74AD2026
    Функция advapi32.dll:SystemFunction035 (1753) перехвачена, метод ProcAddressHijack.GetProcAddress ->76662A3C->74F63EA8
    Вложения Вложения

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,627
    Вес репутации
    2917
    Выполните скрипт в AVZ
    Код:
    begin
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Больше ничего необычного
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) dazhdbog, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Подозрительные объекты
      От Subtara в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.02.2011, 18:28
    2. Подозрительные файлы.
      От harwid в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.01.2011, 19:45
    3. Подозрительные перехватчики.
      От Osakuro в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 18.04.2010, 17:09
    4. Ответов: 1
      Последнее сообщение: 31.05.2008, 20:33
    5. Ответов: 2
      Последнее сообщение: 12.02.2008, 15:11

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00969 seconds with 20 queries