[РЕШЕНО] Функция kernel32.dll:ReadConsoleInputExA (1133) перехвачена,

[Kostia1 0]

Добрый день, просканировал систему через АВЗ и увидел много красных сточек, однако в конце авз написал что , найдено вирусов 0, подозрений 0, скинул лог внизу, подскажите что это за красные строки?  Спасибо.

1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A5DD24->76D0EB60
Функция kernel32.dll:ReadConsoleInputExW (1134) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A5DD57->76D0EB90
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (150) перехвачена, метод APICodeHijack.JmpTo[75992D96]
Функция ntdll.dll:NtCreateFile (296) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B92FD0->671125C0
Функция ntdll.dll:NtSetInformationFile (600) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B92CF0->67112720
Функция ntdll.dll:NtSetValueKey (632) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B93080->67112790
Функция ntdll.dll:RtlDecompressBuffer (896) перехвачена, метод APICodeHijack.JmpTo[75992466]
Функция ntdll.dll:RtlQueryEnvironmentVariable (1322) перехвачена, метод APICodeHijack.JmpTo[759924A6]
Функция ntdll.dll:ZwCreateFile (1841) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B92FD0->671125C0
Функция ntdll.dll:ZwSetInformationFile (2143) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B92CF0->67112720
Функция ntdll.dll:ZwSetValueKey (2175) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B93080->67112790
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->777FB970->671124B0
Функция user32.dll:EnumWindows (1774) перехвачена, метод ProcAddressHijack.GetProcAddress ->777E9CA0->67113150
Функция user32.dll:GetWindowThreadProcessId (2009) перехвачена, метод ProcAddressHijack.GetProcAddress ->777FAE10->67113180
Функция user32.dll:IsWindowVisible (2093) перехвачена, метод ProcAddressHijack.GetProcAddress ->777F5C00->671131B0
Функция user32.dll:MessageBoxA (2149) перехвачена, метод ProcAddressHijack.GetProcAddress ->77841100->67115150
Функция user32.dll:MessageBoxExA (2150) перехвачена, метод ProcAddressHijack.GetProcAddress ->77841150->671151B0
Функция user32.dll:MessageBoxExW (2151) перехвачена, метод ProcAddressHijack.GetProcAddress ->77841180->67115210
Функция user32.dll:MessageBoxIndirectA (2152) перехвачена, метод ProcAddressHijack.GetProcAddress ->778411B0->67115270
Функция user32.dll:MessageBoxIndirectW (2153) перехвачена, метод ProcAddressHijack.GetProcAddress ->778412F0->671152C0
Функция user32.dll:MessageBoxW (2156) перехвачена, метод ProcAddressHijack.GetProcAddress ->77841620->67115310
Функция user32.dll:SetWindowsHookExW (2399) перехвачена, метод ProcAddressHijack.GetProcAddress ->77800BA0->67112800
Функция user32.dll:ShowWindow (2407) перехвачена, метод ProcAddressHijack.GetProcAddress ->77802B80->67115370
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CreateServiceA (1145) перехвачена, метод APICodeHijack.JmpTo[75998196]
Функция advapi32.dll:CreateServiceW (1147) перехвачена, метод APICodeHijack.JmpTo[759981E6]
Функция advapi32.dll:CryptDecrypt (1199) перехвачена, метод APICodeHijack.JmpTo[75998506]
Функция advapi32.dll:CryptDuplicateKey (1204) перехвачена, метод APICodeHijack.JmpTo[759984D6]
Функция advapi32.dll:CryptGenKey (1211) перехвачена, метод APICodeHijack.JmpTo[75998476]
Функция advapi32.dll:CryptImportKey (1221) перехвачена, метод APICodeHijack.JmpTo[759984A6]
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->77426812->76D11560
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->77427739->76E0C140
Функция advapi32.dll:LogonUserA (1418) перехвачена, метод APICodeHijack.JmpTo[75998396]
Функция advapi32.dll:LogonUserExA (1419) перехвачена, метод APICodeHijack.JmpTo[759983F6]
Функция advapi32.dll:LogonUserExW (1421) перехвачена, метод APICodeHijack.JmpTo[75998436]
Функция advapi32.dll:LogonUserW (1422) перехвачена, метод APICodeHijack.JmpTo[759983C6]
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->6708D14A->67001560
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->6708D179->670018E0
---------------------------------------------------

C:\Program Files\Avast Software\Avast\x86\aswhook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Avast Software\Avast\x86\aswhook.dll>>> Поведенческий анализ 

-----------------------------------------------------

9. Мастер поиска и устранения проблем
 >>  Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
 >>  Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
 >>  Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
 >>  Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
 >>  Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
 >>  Таймаут завершения процессов находится за пределами допустимых значений
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей

[thyrex 1 419]

Здравствуйте.
Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению.
 

[Kostia1 0]

+

CollectionLog-2023.06.25-20.02.zip

[thyrex 1 419]

В логах только немного мусора, который и почистим.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O22 - Task (.job): update-sys.job - C:\Program Files (x86)\Skillbrains\Updater\Updater.exe (file missing)
O22 - Tasks: (damaged) \Microsoft\Windows\Autochk\Proxy - C:\WINDOWS\system32\rundll32.exe /d acproxy.dll,PerformAutochkOperations (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) \Microsoft\Windows\CertificateServicesClient\SystemTask - {58FB76B9-AC85-4E55-AC04-427593B1D060},SYSTEM - C:\WINDOWS\system32\dimsjob.dll (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) \Microsoft\Windows\Customer Experience Improvement Program\Consolidator - C:\WINDOWS\System32\wsqmcons.exe (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) \Microsoft\Windows\Windows Error Reporting\QueueReporting - C:\WINDOWS\system32\wermgr.exe -upload (user missing) (sign: 'Microsoft')
O22 - Tasks: update-sys - C:\Program Files (x86)\Skillbrains\Updater\Updater.exe -runmode=checkupdate (file missing)

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Kostia1 0]

+

CollectionLog-2023.06.26-13.05.zip

[thyrex 1 419]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  
• Прикрепите этот файл в своем следующем сообщении.

[Kostia1 0]

+SecurityCheck.txt

[thyrex 1 419]

--------------------------- [ OtherUtilities ] ----------------------------

Notepad++ (64-bit x64) v.8.5.3 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.23.114.0530.0001 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Microsoft Teams v.1.5.00.30767 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 99.0.4788.65 v.99.0.4788.65 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.13 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Auslogics BoostSpeed 13 v.13.0.0.3 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

по возможности исправьте указанное, и на этом закончим

[Kostia1 0]

а так в целом все нормально? Никаких угроз и вирусов нету?

 

сканирование выполнил вот файл

1113.txt

[thyrex 1 419]

3 часа назад, Kostia1 сказал:

а так в целом все нормально? Никаких угроз и вирусов нету?

я еще в четвертом сообщении темы написал, что никаких вирусов у Вас нет.

 

В сканировании МВАМ тоже не было никакой необходимости.

[Kostia1 0]

спасибо

[thyrex 1 419]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".