Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Помогите сбить перехватчиков c user32.dll, advapi32.dll, netapi.dll

Ответить
Настройки темы
Помогите сбить перехватчиков c user32.dll, advapi32.dll, netapi.dll

Новый участник


Сообщения: 2
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip avptool_sysinfo.zip
(54.1 Kb, 3 просмотров)
Тип файла: zip hijackthis.zip
(2.6 Kb, 10 просмотров)
Добрый день!

Заметил, что с моего компьютера идет странный трафик по UDP.
В результате проверки утилитой avz обнаружил, что практически все функции из netapi32.dll перехвачены.
Вот часть результатов сканирования:
Код: Выделить весь код
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:DefDlgProcA (1657) перехвачена, метод ProcAddressHijack.GetProcAddress ->75885F5A->77358954
Функция user32.dll:DefDlgProcW (1658) перехвачена, метод ProcAddressHijack.GetProcAddress ->75885F75->77343F44
...
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->752A24B5->7508C334
Функция advapi32.dll:I_QueryTagInformation (1361) перехвачена, метод ProcAddressHijack.GetProcAddress ->752A2655->76D172D8
 ...
  Анализ netapi32.dll, таблица экспорта найдена в секции .text 
Функция netapi32.dll:DavAddConnection (1) перехвачена, метод ProcAddressHijack.GetProcAddress ->73E73B10->73E429DD
Функция netapi32.dll:DavDeleteConnection (2) перехвачена, метод ProcAddressHijack.GetProcAddress ->73E73B29->73E4181B
Всего перехвачено около 280 функций.
Будьте любезны, помогите разобраться кто бы это мог все перехватывать.

Отправлено: 22:42, 25-06-2010

 

Аватара для iskander-k

скептик-оптимист


Moderator


Сообщения: 5718
Благодарности: 1115

Профиль | Отправить PM | Цитировать


HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код: Выделить весь код
F2 - REG:system.ini: UserInit=userinit.exe

Подозрительного вроде ничего не видно. Системы обновлений windows или другого ПО отключены ?


• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

-------
Мягкий и пушистый - если не гладить против шерсти.




Вам помог совет? Нажмите на ссылку Полезное сообщение .

Это сообщение посчитали полезным следующие участники:

Отправлено: 23:01, 25-06-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 2
Благодарности: 0

Профиль | Отправить PM | Цитировать


Я сделала следуюшие шаги, но меня продолжает мучить вопрос, кто же перехватывает вызовы функций.
Хочется выяснить цель этого "некто".


пофиксить эти строки в HiJackThis - выполнил

вот лог от Malwarebytes Anti-Malware:
Код: Выделить весь код
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Версия базы данных: 4239

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

26.06.2010 1:01:24
mbam-log-2010-06-26 (01-01-24).txt

Тип сканирования: Полное сканирование (C:\|)
Просканированные объекты: 242240
Времени прошло: 29 минут, 20 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 0
Зараженные папки: 0
Зараженные файлы: 0

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
(Вредоносных программ не обнаружено)
Спасибо.

Отправлено: 09:51, 26-06-2010 | #3


Аватара для iskander-k

скептик-оптимист


Moderator


Сообщения: 5718
Благодарности: 1115

Профиль | Отправить PM | Цитировать


Давайте еще сделайте логи

•Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.


И отключите Службу времени Windows(синхронизацию с сервером времени ...).. часто она начинает долбать трафик.

-------
Мягкий и пушистый - если не гладить против шерсти.




Вам помог совет? Нажмите на ссылку Полезное сообщение .

Это сообщение посчитали полезным следующие участники:

Отправлено: 18:06, 26-06-2010 | #4



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Помогите сбить перехватчиков c user32.dll, advapi32.dll, netapi.dll

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Ошибка - [решено] Ошибка: системная библиотека user32.dll перемещена в памяти... ruddystepa Microsoft Windows 2000/XP 127 05-08-2017 21:58
[решено] Использование User32.dll вместо MouseClick HORRIBLE AutoIt 11 30-03-2010 12:02
Загрузка - после восстановления User32.dll появляется черный экран ymuhin Microsoft Windows 2000/XP 14 14-12-2008 19:56
Разное - [решено] dwmapi.dll; mpr.dll; shlwapi.dll Reset5 Microsoft Windows 2000/XP 2 14-06-2008 16:31
Загрузка - user32.dll - Точка входа в процедуру Close Clip... kolchoz Microsoft Windows 2000/XP 7 10-08-2007 19:24




 
Переход