-
Junior Member
- Вес репутации
- 64
Как узнать кто перехватил метод (APICodeHijack.JmpTo)
Как узнать какая гадость перехватывает системные вызовы?
При этом накачал кучу антивирусов и ремуверов... и ни один ничего не может найти.
Машинка: Win 2003 Server, Winroute (прокси сервер)
Winroute переодически пишет что выполняется сканирование портов с прокси во внутреннюю сеть, но при этом еще ни разу не было никакой записи о сканировании самого прокси.
AVZ выдал следующее:
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryExW (587) перехвачена, метод APICodeHijack.JmpTo[600D1EFF]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:SystemFunction035 (617) перехвачена, метод APICodeHijack.JmpTo[600D1541]
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[67001634]
Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[670017CF]
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Сделать как описано в правилах для получения логов пока (от недели до двух) не представляется возможным. Ответы желательно присылать на [email protected].
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru: