|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Помогите сбить перехватчиков c user32.dll, advapi32.dll, netapi.dll |
|
|
Помогите сбить перехватчиков c user32.dll, advapi32.dll, netapi.dll
|
|
Новый участник Сообщения: 2 |
Добрый день!
Заметил, что с моего компьютера идет странный трафик по UDP. В результате проверки утилитой avz обнаружил, что практически все функции из netapi32.dll перехвачены. Вот часть результатов сканирования: Код:
 Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:DefDlgProcA (1657) перехвачена, метод ProcAddressHijack.GetProcAddress ->75885F5A->77358954 Функция user32.dll:DefDlgProcW (1658) перехвачена, метод ProcAddressHijack.GetProcAddress ->75885F75->77343F44 ... Анализ advapi32.dll, таблица экспорта найдена в секции .text Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->752A24B5->7508C334 Функция advapi32.dll:I_QueryTagInformation (1361) перехвачена, метод ProcAddressHijack.GetProcAddress ->752A2655->76D172D8 ... Анализ netapi32.dll, таблица экспорта найдена в секции .text Функция netapi32.dll:DavAddConnection (1) перехвачена, метод ProcAddressHijack.GetProcAddress ->73E73B10->73E429DD Функция netapi32.dll:DavDeleteConnection (2) перехвачена, метод ProcAddressHijack.GetProcAddress ->73E73B29->73E4181B Будьте любезны, помогите разобраться кто бы это мог все перехватывать. |
|
|
Отправлено: 22:42, 25-06-2010 |
скептик-оптимист
Сообщения: 5709
|
Профиль | Отправить PM | Цитировать • HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
F2 - REG:system.ini: UserInit=userinit.exe Подозрительного вроде ничего не видно. Системы обновлений windows или другого ПО отключены ? • Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. |
|
------- Отправлено: 23:01, 25-06-2010 | #2 |
|
Новый участник Сообщения: 2
|
Профиль | Отправить PM | Цитировать Я сделала следуюшие шаги, но меня продолжает мучить вопрос, кто же перехватывает вызовы функций.
Хочется выяснить цель этого "некто". пофиксить эти строки в HiJackThis - выполнил вот лог от Malwarebytes Anti-Malware: Код:
Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Версия базы данных: 4239 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 26.06.2010 1:01:24 mbam-log-2010-06-26 (01-01-24).txt Тип сканирования: Полное сканирование (C:\|) Просканированные объекты: 242240 Времени прошло: 29 минут, 20 секунд Зараженные процессы в памяти: 0 Зараженные модули в памяти: 0 Зараженные ключи в реестре: 0 Зараженные параметры в реестре: 0 Объекты реестра заражены: 0 Зараженные папки: 0 Зараженные файлы: 0 Зараженные процессы в памяти: (Вредоносных программ не обнаружено) Зараженные модули в памяти: (Вредоносных программ не обнаружено) Зараженные ключи в реестре: (Вредоносных программ не обнаружено) Зараженные параметры в реестре: (Вредоносных программ не обнаружено) Объекты реестра заражены: (Вредоносных программ не обнаружено) Зараженные папки: (Вредоносных программ не обнаружено) Зараженные файлы: (Вредоносных программ не обнаружено) |
|
Отправлено: 09:51, 26-06-2010 | #3 |
|
скептик-оптимист
Сообщения: 5709
|
Профиль | Отправить PM | Цитировать Давайте еще сделайте логи
•Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. И отключите Службу времени Windows(синхронизацию с сервером времени ...).. часто она начинает долбать трафик. |
|
------- Отправлено: 18:06, 26-06-2010 | #4 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Ошибка - [решено] Ошибка: системная библиотека user32.dll перемещена в памяти... | ruddystepa | Microsoft Windows 2000/XP | 127 | 05-08-2017 21:58 | |
| [решено] Использование User32.dll вместо MouseClick | HORRIBLE | AutoIt | 11 | 30-03-2010 12:02 | |
| Загрузка - после восстановления User32.dll появляется черный экран | ymuhin | Microsoft Windows 2000/XP | 14 | 14-12-2008 19:56 | |
| Разное - [решено] dwmapi.dll; mpr.dll; shlwapi.dll | Reset5 | Microsoft Windows 2000/XP | 2 | 14-06-2008 16:31 | |
| Загрузка - user32.dll - Точка входа в процедуру Close Clip... | kolchoz | Microsoft Windows 2000/XP | 7 | 10-08-2007 19:24 | |
|
|
Время: 02:18. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
