перехватчики API

[Evgeneikis]

перехватчики API, работающих в UserMode:
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:CreateFileMappingA (196) перехвачена, метод APICodeHijack.JmpTo[016A16F6]
Функция kernel32.dll:CreateToolhelp32Snapshot (251) перехвачена, метод APICodeHijack.JmpTo[016A0EF6]
Функция kernel32.dll:MoveFileExA (986) перехвачена, метод APICodeHijack.JmpTo[016A10F6]
Функция kernel32.dll:MoveFileWithProgressA (991) перехвачена, метод APICodeHijack.JmpTo[016A11F6]
Функция kernel32.dll:Process32NextW (1057) перехвачена, метод APICodeHijack.JmpTo[016A06F6]
Функция kernel32.dll:ReadConsoleInputExA (1115) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F5AC51->74712D50
Функция kernel32.dll:ReadConsoleInputExW (1116) перехвачена, метод ProcAddressHijack.GetProcAddress ->74F5AC84->74712D80
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtAdjustPrivilegesToken (206) перехвачена, метод APICodeHijack.JmpTo[016A0176]
Функция ntdll.dll:NtClose (251) перехвачена, метод APICodeHijack.JmpTo[016A0776]
Функция ntdll.dll:NtCreateFile (271) перехвачена, метод ProcAddressHijack.GetProcAddress ->7780EAC0->73D23260
Функция ntdll.dll:NtCreateProcess (287) перехвачена, метод APICodeHijack.JmpTo[016A07F6]
Функция ntdll.dll:NtCreateProcessEx (288) перехвачена, метод APICodeHijack.JmpTo[016A0876]
Функция ntdll.dll:NtCreateThread (296) перехвачена, метод APICodeHijack.JmpTo[016A0A76]
Функция ntdll.dll:NtCreateThreadEx (297) перехвачена, метод APICodeHijack.JmpTo[016A0AF6]
Функция ntdll.dll:NtCreateUserProcess (304) перехвачена, метод APICodeHijack.JmpTo[016A08F6]
Функция ntdll.dll:NtDuplicateObject (327) перехвачена, метод APICodeHijack.JmpTo[016A0DF6]
Функция ntdll.dll:NtMapViewOfSection (393) перехвачена, метод APICodeHijack.JmpTo[016A0076]
Функция ntdll.dll:NtOpenProcess (416) перехвачена, метод APICodeHijack.JmpTo[016A0CF6]
Функция ntdll.dll:NtQueueApcThread (499) перехвачена, метод APICodeHijack.JmpTo[016A0E76]
Функция ntdll.dll:NtRaiseHardError (502) перехвачена, метод APICodeHijack.JmpTo[016A04F6]
Функция ntdll.dll:NtSetContextThread (550) перехвачена, метод APICodeHijack.JmpTo[016A00F6]
Функция ntdll.dll:NtSetInformationFile (564) перехвачена, метод ProcAddressHijack.GetProcAddress ->7780E7E0->73D23680
Функция ntdll.dll:NtSetValueKey (596) перехвачена, метод ProcAddressHijack.GetProcAddress ->7780EB70->73D56B90
Функция ntdll.dll:NtTerminateProcess (610) перехвачена, метод APICodeHijack.JmpTo[016A15F6]
Функция ntdll.dll:NtWriteVirtualMemory (662) перехвачена, метод APICodeHijack.JmpTo[016A0B76]
Функция ntdll.dll:RtlAllocateHeap (721) перехвачена, метод APICodeHijack.JmpTo[0169FFF6]
Функция ntdll.dll:RtlReportException (1306) перехвачена, метод APICodeHijack.JmpTo[016A0576]
Функция ntdll.dll:ZwAdjustPrivilegesToken (1669) перехвачена, метод APICodeHijack.JmpTo[016A0176]
Функция ntdll.dll:ZwClose (1714) перехвачена, метод APICodeHijack.JmpTo[016A0776]
Функция ntdll.dll:ZwCreateFile (1734) перехвачена, метод ProcAddressHijack.GetProcAddress ->7780EAC0->73D23260
Функция ntdll.dll:ZwCreateProcess (1750) перехвачена, метод APICodeHijack.JmpTo[016A07F6]
Функция ntdll.dll:ZwCreateProcessEx (1751) перехвачена, метод APICodeHijack.JmpTo[016A0876]
Функция ntdll.dll:ZwCreateThread (1759) перехвачена, метод APICodeHijack.JmpTo[016A0A76]
Функция ntdll.dll:ZwCreateThreadEx (1760) перехвачена, метод APICodeHijack.JmpTo[016A0AF6]
Функция ntdll.dll:ZwCreateUserProcess (1767) перехвачена, метод APICodeHijack.JmpTo[016A08F6]
Функция ntdll.dll:ZwDuplicateObject (1789) перехвачена, метод APICodeHijack.JmpTo[016A0DF6]
Функция ntdll.dll:ZwMapViewOfSection (1854) перехвачена, метод APICodeHijack.JmpTo[016A0076]
Функция ntdll.dll:ZwOpenProcess (1877) перехвачена, метод APICodeHijack.JmpTo[016A0CF6]
Функция ntdll.dll:ZwQueueApcThread (1960) перехвачена, метод APICodeHijack.JmpTo[016A0E76]
Функция ntdll.dll:ZwRaiseHardError (1963) перехвачена, метод APICodeHijack.JmpTo[016A04F6]
Функция ntdll.dll:ZwSetContextThread (2011) перехвачена, метод APICodeHijack.JmpTo[016A00F6]
Функция ntdll.dll:ZwSetInformationFile (2025) перехвачена, метод ProcAddressHijack.GetProcAddress ->7780E7E0->73D23680
Функция ntdll.dll:ZwSetValueKey (2057) перехвачена, метод ProcAddressHijack.GetProcAddress ->7780EB70->73D56B90
Функция ntdll.dll:ZwTerminateProcess (2071) перехвачена, метод APICodeHijack.JmpTo[016A15F6]
Функция ntdll.dll:ZwWriteVirtualMemory (2123) перехвачена, метод APICodeHijack.JmpTo[016A0B76]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1534) перехвачена, метод ProcAddressHijack.GetProcAddress ->753E7D00->73D22FE0
Функция user32.dll:GetMessageA (1883) перехвачена, метод APICodeHijack.JmpTo[016A20F6]
Функция user32.dll:GetMessageW (1887) перехвачена, метод APICodeHijack.JmpTo[016A2176]
Функция user32.dll:PeekMessageA (2152) перехвачена, метод APICodeHijack.JmpTo[016A21F6]
Функция user32.dll:PeekMessageW (2153) перехвачена, метод APICodeHijack.JmpTo[016A2276]
Функция user32.dll:SetWindowsHookExA (2350) перехвачена, метод APICodeHijack.JmpTo[016A22F6]
Функция user32.dll:SetWindowsHookExW (2351) перехвачена, метод ProcAddressHijack.GetProcAddress ->753EAB10->73D56C10
Функция user32.dll:UnhookWindowsHookEx (2395) перехвачена, метод APICodeHijack.JmpTo[016A23F6]
Функция user32.dll:UserClientDllInitialize (2420) перехвачена, метод APICodeHijack.JmpTo[016A1B76]
Функция user32.dll:Wow64Transition (1503) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CryptAcquireContextA (1194) перехвачена, метод APICodeHijack.JmpTo[016A1CF6]
Функция advapi32.dll:CryptAcquireContextW (1195) перехвачена, метод APICodeHijack.JmpTo[016A1D76]
Функция advapi32.dll:CryptCreateHash (1197) перехвачена, метод APICodeHijack.JmpTo[016A1DF6]
Функция advapi32.dll:CryptExportKey (1209) перехвачена, метод APICodeHijack.JmpTo[016A1E76]
Функция advapi32.dll:CryptGetHashParam (1214) перехвачена, метод APICodeHijack.JmpTo[016A1EF6]
Функция advapi32.dll:CryptHashData (1218) перехвачена, метод APICodeHijack.JmpTo[016A1F76]
Функция advapi32.dll:CryptImportKey (1220) перехвачена, метод APICodeHijack.JmpTo[016A1FF6]
Функция advapi32.dll:CveEventWrite (1233) перехвачена, метод ProcAddressHijack.GetProcAddress ->758B2ED2->7472FDC0
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1386) перехвачена, метод ProcAddressHijack.GetProcAddress ->758B3DF9->74FEAD20
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:GetAddrInfoExW (31) перехвачена, метод APICodeHijack.JmpTo[016A24F6]
Функция ws2_32.dll:GetAddrInfoW (32) перехвачена, метод APICodeHijack.JmpTo[016A2576]
Функция ws2_32.dll:gethostbyname (52) перехвачена, метод APICodeHijack.JmpTo[016A25F6]
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->73FDC40A->70AE0D40
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->73FDC439->70AE10B0

[Info_bot]

Уважаемый(ая) Evgeneikis, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Логи в порядке.