Показано с 1 по 9 из 9.

Перехватчики API. RootKit? (заявка № 173996)

  1. #1
    Junior Member Репутация
    Регистрация
    05.01.2015
    Сообщений
    10
    Вес репутации
    34

    Перехватчики API. RootKit?

    Здравствуйте, помогите пожалуйста. При сканировании AVZ красным цветом выделено множество функций перехваченных метод ProocAddressHijack. И к ПК разрешен доступ анонимного пользователя. Как это возможно устранить? Подозреваю, что у меня в компе RootKit.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Яна22, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    При сканировании AVZ красным цветом выделено множество функций перехваченных метод ProocAddressHijack
    Это нормальные записи в логе.

    И к ПК разрешен доступ анонимного пользователя.
    Для отключения этого выполните скрипт в AVZ:

    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RebootWindows(false);
    end.
    Компьютер перезагрузится. В остальном логи у вас в порядке.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #4
    Junior Member Репутация
    Регистрация
    05.01.2015
    Сообщений
    10
    Вес репутации
    34
    Спасибо большое за помощь. Подскажите плиз еще 1) как закрыть административный доступ к локальным дискам C$ D$ ? 2) Еще AVZ пишет: Поиск открытых портов TCP/UDP используемых вредоносными программами. Проверка отключена пользователем. Как включить эту проверку?

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Поиск открытых портов TCP/UDP используемых вредоносными программами. Проверка отключена пользователем. Как включить эту проверку?
    А ее и не надо включать если вас об этом не просят.

    как закрыть административный доступ к локальным дискам C$ D$ ?
    Достаточно будет отключить службу "Сервер".
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. #6
    Junior Member Репутация
    Регистрация
    05.01.2015
    Сообщений
    10
    Вес репутации
    34
    Спасибо за ответ! Извините плиз, что задаю много вопросов..А фот эти строчки все равно AVZ прописывает красным. Это теперь пожизненно? Или есть какая-нибудь возможность чтобы все это нормализовать?



    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
    Функция kernel32.dll:ReadConsoleInputExA (1094) перехвачена, метод ProcAddressHijack.GetProcAddress ->777A297A->7619D435
    Функция kernel32.dll:ReadConsoleInputExW (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->777A29AD->7619D459
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:NtCreateFile (26 перехвачена, метод ProcAddressHijack.GetProcAddress ->77ECAA40->7455B775
    Функция ntdll.dll:NtSetInformationFile (549) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ECA760->7455B6F1
    Функция ntdll.dll:NtSetValueKey (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ECAAF0->7455C69D
    Функция ntdll.dllwCreateFile (1647) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ECAA40->7455B775
    Функция ntdll.dllwSetInformationFile (1926) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ECA760->7455B6F1
    Функция ntdll.dllwSetValueKey (1957) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ECAAF0->7455C69D
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->7797779D->7455B6DB
    Функция user32.dll:SetWindowsHookExW (2303) перехвачена, метод ProcAddressHijack.GetProcAddress ->77985EFD->7455C801
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Функция advapi32.dll:SystemFunction001 (1760) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C7F2D->75894A91
    Функция advapi32.dll:SystemFunction002 (1761) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C7F49->758931B5
    Функция advapi32.dll:SystemFunction003 (1762) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C7F65->75893436
    Функция advapi32.dll:SystemFunction004 (1763) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C7F81->75894756
    Функция advapi32.dll:SystemFunction005 (1764) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C7F9D->7589489F
    Функция advapi32.dll:SystemFunction034 (1793) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C8261->758932F4
    Функция advapi32.dll:SystemFunction036 (1795) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C829A->758911C0
    Функция advapi32.dll:SystemFunction040 (1796) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C82B6->75891256
    Функция advapi32.dll:SystemFunction041 (1797) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C82D2->758912AA
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    1.5 Проверка обработчиков IRP
    Ошибка загрузки драйвера - проверка прервана [C000036B]

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    А фот эти строчки все равно AVZ прописывает красным.
    Эти строчки есть на любом компьютере. Опасности они не представляют.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. #8
    Junior Member Репутация
    Регистрация
    05.01.2015
    Сообщений
    10
    Вес репутации
    34
    Спасибо за ответ! Я отключила службу Сервер. Но AVZ пишет снова: Разрешен административный доступ к локальным дискам C$, D$. Подскажите пожалуйста, есть ли какой-либо способ закрыть этот доступ к локальным дискам?.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    При отключенной службе "Сервер" пользоваться этими ресурсами не получится. Конечно их можно отключить совсем, но думаю для вас это будет сложно, т.к. нужно производить некоторые изменения в реестре и вводить некоторые команды в командной строке.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

Похожие темы

  1. sp??.sys - Подозрение на RootKit, Перехватчик KernelMode
    От hogward в разделе Вредоносные программы
    Ответов: 42
    Последнее сообщение: 08.04.2013, 17:39
  2. RootKit Перехватчик KernelMode spno.sys
    От Pradromalo в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 21.10.2010, 14:51
  3. Перехватчик sp** подозрение на RootKit
    От koksinator в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 27.04.2009, 20:18
  4. Перехватчик не определен(RootKit?)
    От arrrrrt в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 22.02.2009, 10:10
  5. rootkit, перехватчик kernel32...
    От lerson в разделе Помогите!
    Ответов: 28
    Последнее сообщение: 24.08.2006, 12:42

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00594 seconds with 20 queries