Перехватчики API, работающие в UserMode

**Mishaka** · 19.01.2017, 05:23

Здравствуйте, проверил систему утилитой AVZ, результаты меня насторожили:

1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtMakeTemporaryObject (344) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetSystemTime (532) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll: ZwMakeTemporaryObject (1594) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll: ZwSetSystemTime (1782) перехвачена, метод CodeHijack (метод не определен)
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:SendInput (2143) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetParent (2191) перехвачена, метод CodeHijack (метод не определен)

Я сделал в AVZ скрипт сбора информации для раздела "Помогите" virusinfo.info
Его результаты прикрепляю к сообщению. Стоит ли мне беспокоиться или это ложная тревога? Надеюсь на Вашу помощь. Заранее благодарен.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 19.01.2017, 05:24

Уважаемый(ая) Mishaka, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Mishaka** · 19.01.2017, 13:12

Я проверил систему до этого утилитой Dr. Web CureIt и после этого AVZ стал находить эти перехватчики..
Выполнил после этотого в AVZ скрипт "поиска и нейтрализации RootKit UserMode и KernelMode", перезагрузил машину. Эти перехватчики пропали при проверке.
Что смешно, если опять проверить систему утилитой Dr. Web CureIt - то после этого AVZ опять находит перехватчики эти =).
Запускаешь заново в AVZ скрипт "поиска и нейтрализации RootKit UserMode и KernelMode", перезагружаешь машину и вуаля нету перехватчиков..
Что это за чудеса непонятно =(

**thyrex** · 21.01.2017, 04:06

Нужно умерить свою паранойю.

Это вполне легитимные записи

Перехватчики API, работающие в UserMode (заявка № 208269)

Опции темы