Новый участник
Сообщения: 7
Благодарности: 0
|
Профиль
|
Отправить PM
| Цитировать
снова перезапускается проводник
То что творится, с этим не связано? (Все перехваченные помечены красным курсивом)
1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1106) перехвачена, метод ProcAddressHijack.GetProcAddress ->74C5A037->76925600
Функция kernel32.dll:ReadConsoleInputExW (1107) перехвачена, метод ProcAddressHijack.GetProcAddress ->74C5A06A->76925630
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (270) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F740->71071ED0
Функция ntdll.dll:NtSetInformationFile (558) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F460->71071E10
Функция ntdll.dll:NtSetValueKey (590) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F7F0->710A7310
Функция ntdll.dll:ZwCreateFile (1689) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F740->71071ED0
Функция ntdll.dll:ZwSetInformationFile (1975) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F460->71071E10
Функция ntdll.dll:ZwSetValueKey (2007) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F7F0->710A7310
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->74EF34B0->71071DC0
Функция user32.dll:SetWindowsHookExW (2340) перехвачена, метод ProcAddressHijack.GetProcAddress ->74EFFA00->710A7390
Функция user32.dll:gSharedInfo (2435) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1386) перехвачена, метод ProcAddressHijack.GetProcAddress ->74AE78BB->778BBD30
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (139) перехвачена, метод ProcAddressHijack.GetProcAddress ->778EC3AE->70B5A460
Функция netapi32.dll:NetGetAadJoinInformation (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->778EC3DD->70B5A7D0
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)
>>>> Обнаружена маскировка процесса 1164 c:\program files (x86)\nvidia corporation\3d vision\nvscpapisvr.exe
>>>> Обнаружена маскировка процесса 1940 c:\program files (x86)\360\total security\safemon\qhactivedefense.exe
>>>> Обнаружена маскировка процесса 2240 c:\windows\syswow64\asgt.exe
>>>> Обнаружена маскировка процесса 2364 c:\program files (x86)\nvidia corporation\netservice\nvnetworkservice.exe
>>>> Обнаружена маскировка процесса 2384 c:\program files (x86)\glasswire\gwctlsrv.exe
>>>> Обнаружена маскировка процесса 3448 c:\program files (x86)\360\total security\safemon\qhwatchdog.exe
>>>> Обнаружена маскировка процесса 2620 c:\program files (x86)\google\update\googleupdate.exe
>>>> Обнаружена маскировка процесса 4508 c:\program files (x86)\nvidia corporation\update core\nvbackend.exe
>>>> Обнаружена маскировка процесса 4272 c:\program files (x86)\glasswire\gwidlmon.exe
>>>> Обнаружена маскировка процесса 5672 c:\program files\windowsapps\microsoft.messaging_1.10.11003.0_x86__8wekyb3d8bbwe\skypehost.exe
>>>> Обнаружена маскировка процесса 5616 c:\program files (x86)\common files\java\java update\jusched.exe
>>>> Обнаружена маскировка процесса 5896 c:\program files (x86)\360\total security\safemon\qhsafetray.exe
>>>> Обнаружена маскировка процесса 2252 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\browser.exe
>>>> Обнаружена маскировка процесса 5880 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\45.0.2454.3388\crash_service.exe
>>>> Обнаружена маскировка процесса 856 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\browser.exe
>>>> Обнаружена маскировка процесса 5280 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\browser.exe
>>>> Обнаружена маскировка процесса 5232 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\browser.exe
>>>> Обнаружена маскировка процесса 4460 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\browser.exe
>>>> Обнаружена маскировка процесса 284 c:\program files (x86)\common files\java\java update\jucheck.exe
>>>> Обнаружена маскировка процесса 8052 c:\users\pathfinder\desktop\avz4\avz.exe
|
