-
Junior Member
- Вес репутации
- 13
Помогите устранить данную проблему ( Поиск RootKit и программ, перехватывающих функции API )
1. Поиск RootKit и программ, перехватывающих функции API
Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1151) перехвачена, метод ProcAddressHijack.GetProcAddress ->75A7DAAD->76141DA0
Функция kernel32.dll:ReadConsoleInputExW (1152) перехвачена, метод ProcAddressHijack.GetProcAddress ->75A7DAE0->76141DD0
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (299) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AD4BD0->6B9509F0
Функция ntdll.dll:NtSetInformationFile (60
перехвачена, метод ProcAddressHijack.GetProcAddress ->77AD48F0->6B950B50
Функция ntdll.dll:NtSetValueKey (640) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AD4C80->6B950BC0
Функция ntdll.dll
wCreateFile (1863) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AD4BD0->6B9509F0
Функция ntdll.dllwSetInformationFile (2170) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AD48F0->6B950B50
Функция ntdll.dllwSetValueKey (2202) перехвачена, метод ProcAddressHijack.GetProcAddress ->77AD4C80->6B950BC0
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->778D0490->6B9508D0
Функция user32.dll:SetWindowsHookExW (2400) перехвачена, метод ProcAddressHijack.GetProcAddress ->778D2930->6B950C30
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->763D56C8->76144570
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->763D65EF->75890B50
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll
rocessSocketNotifications (37) перехвачена, метод ProcAddressHijack.GetProcAddress ->761F4DE7->73CBDBD0
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->734AC50A->6CFEF240
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->734AC539->6CFEF5C0
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Unnamedlove, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
-
-
1. Не пользуйтесь устаревшей версией AVZ/
2. Это не проблема.
3. Сделайте логи по правилам.
-
Ответить с цитированием
