-
Junior Member
- Вес репутации
- 48
Функция netapi32.dll:NetUseEnum (249) перехвачена, метод ProcAddressHijack.GetProcAddress ->71D551FB->71CF3184
Прошу помочь с такой вот проблемой. Есть подозрение на вредоносный код.
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll
efDlgProcA (1657) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E95F5A->77018944
Функция user32.dll
efDlgProcW (165
перехвачена, метод ProcAddressHijack.GetProcAddress ->75E95F75->77003F54
Функция user32.dll
efWindowProcA (1664) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E95F90->76FE2893
Функция user32.dll
efWindowProcW (1665) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E95FAB->76FD247D
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B324B5->75DBC334
Функция advapi32.dll:I_QueryTagInformation (1361) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B32655->75D872D8
Логи прилепил.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В AVZ выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\wsmpprovhost.exe','');
DeleteFile('C:\Windows\system32\wsmpprovhost.exe');
DeleteFile('C:\Windows\Tasks\At1.job');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Базы AVZ обновите! Логи повторите.
Paula rhei.
Поддержать проект можно тут
-
