Здравствуйте, помогите пожалуйста. При сканировании AVZ красным цветом выделено множество функций перехваченных метод ProocAddressHijack. И к ПК разрешен доступ анонимного пользователя. Как это возможно устранить? Подозреваю, что у меня в компе RootKit.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Яна22, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Спасибо большое за помощь. Подскажите плиз еще 1) как закрыть административный доступ к локальным дискам C$ D$ ? 2) Еще AVZ пишет: Поиск открытых портов TCP/UDP используемых вредоносными программами. Проверка отключена пользователем. Как включить эту проверку?
Спасибо за ответ! Извините плиз, что задаю много вопросов..А фот эти строчки все равно AVZ прописывает красным. Это теперь пожизненно? Или есть какая-нибудь возможность чтобы все это нормализовать?
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1094) перехвачена, метод ProcAddressHijack.GetProcAddress ->777A297A->7619D435
Функция kernel32.dll:ReadConsoleInputExW (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->777A29AD->7619D459
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (26 перехвачена, метод ProcAddressHijack.GetProcAddress ->77ECAA40->7455B775
Функция ntdll.dll:NtSetInformationFile (549) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ECA760->7455B6F1
Функция ntdll.dll:NtSetValueKey (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ECAAF0->7455C69D
Функция ntdll.dllwCreateFile (1647) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ECAA40->7455B775
Функция ntdll.dllwSetInformationFile (1926) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ECA760->7455B6F1
Функция ntdll.dllwSetValueKey (1957) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ECAAF0->7455C69D
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->7797779D->7455B6DB
Функция user32.dll:SetWindowsHookExW (2303) перехвачена, метод ProcAddressHijack.GetProcAddress ->77985EFD->7455C801
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:SystemFunction001 (1760) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C7F2D->75894A91
Функция advapi32.dll:SystemFunction002 (1761) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C7F49->758931B5
Функция advapi32.dll:SystemFunction003 (1762) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C7F65->75893436
Функция advapi32.dll:SystemFunction004 (1763) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C7F81->75894756
Функция advapi32.dll:SystemFunction005 (1764) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C7F9D->7589489F
Функция advapi32.dll:SystemFunction034 (1793) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C8261->758932F4
Функция advapi32.dll:SystemFunction036 (1795) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C829A->758911C0
Функция advapi32.dll:SystemFunction040 (1796) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C82B6->75891256
Функция advapi32.dll:SystemFunction041 (1797) перехвачена, метод ProcAddressHijack.GetProcAddress ->758C82D2->758912AA
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C000036B]
Спасибо за ответ! Я отключила службу Сервер. Но AVZ пишет снова: Разрешен административный доступ к локальным дискам C$, D$. Подскажите пожалуйста, есть ли какой-либо способ закрыть этот доступ к локальным дискам?.
При отключенной службе "Сервер" пользоваться этими ресурсами не получится. Конечно их можно отключить совсем, но думаю для вас это будет сложно, т.к. нужно производить некоторые изменения в реестре и вводить некоторые команды в командной строке.