Перейти к содержанию

[РЕШЕНО] Функция kernel32.dll:ReadConsoleInputExA (1133) перехвачена,


Рекомендуемые сообщения

Добрый день, просканировал систему через АВЗ и увидел много красных сточек, однако в конце авз написал что , найдено вирусов 0, подозрений 0, скинул лог внизу, подскажите что это за красные строки?  Спасибо.

1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A5DD24->76D0EB60
Функция kernel32.dll:ReadConsoleInputExW (1134) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A5DD57->76D0EB90

 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (150) перехвачена, метод APICodeHijack.JmpTo[75992D96]
Функция ntdll.dll:NtCreateFile (296) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B92FD0->671125C0
Функция ntdll.dll:NtSetInformationFile (600) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B92CF0->67112720
Функция ntdll.dll:NtSetValueKey (632) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B93080->67112790

Функция ntdll.dll:RtlDecompressBuffer (896) перехвачена, метод APICodeHijack.JmpTo[75992466]
Функция ntdll.dll:RtlQueryEnvironmentVariable (1322) перехвачена, метод APICodeHijack.JmpTo[759924A6]
Функция ntdll.dll:ZwCreateFile (1841) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B92FD0->671125C0
Функция ntdll.dll:ZwSetInformationFile (2143) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B92CF0->67112720
Функция ntdll.dll:ZwSetValueKey (2175) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B93080->67112790

 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->777FB970->671124B0
Функция user32.dll:EnumWindows (1774) перехвачена, метод ProcAddressHijack.GetProcAddress ->777E9CA0->67113150
Функция user32.dll:GetWindowThreadProcessId (2009) перехвачена, метод ProcAddressHijack.GetProcAddress ->777FAE10->67113180
Функция user32.dll:IsWindowVisible (2093) перехвачена, метод ProcAddressHijack.GetProcAddress ->777F5C00->671131B0
Функция user32.dll:MessageBoxA (2149) перехвачена, метод ProcAddressHijack.GetProcAddress ->77841100->67115150
Функция user32.dll:MessageBoxExA (2150) перехвачена, метод ProcAddressHijack.GetProcAddress ->77841150->671151B0
Функция user32.dll:MessageBoxExW (2151) перехвачена, метод ProcAddressHijack.GetProcAddress ->77841180->67115210
Функция user32.dll:MessageBoxIndirectA (2152) перехвачена, метод ProcAddressHijack.GetProcAddress ->778411B0->67115270
Функция user32.dll:MessageBoxIndirectW (2153) перехвачена, метод ProcAddressHijack.GetProcAddress ->778412F0->671152C0
Функция user32.dll:MessageBoxW (2156) перехвачена, метод ProcAddressHijack.GetProcAddress ->77841620->67115310
Функция user32.dll:SetWindowsHookExW (2399) перехвачена, метод ProcAddressHijack.GetProcAddress ->77800BA0->67112800
Функция user32.dll:ShowWindow (2407) перехвачена, метод ProcAddressHijack.GetProcAddress ->77802B80->67115370
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)

 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CreateServiceA (1145) перехвачена, метод APICodeHijack.JmpTo[75998196]
Функция advapi32.dll:CreateServiceW (1147) перехвачена, метод APICodeHijack.JmpTo[759981E6]

Функция advapi32.dll:CryptDecrypt (1199) перехвачена, метод APICodeHijack.JmpTo[75998506]
Функция advapi32.dll:CryptDuplicateKey (1204) перехвачена, метод APICodeHijack.JmpTo[759984D6]
Функция advapi32.dll:CryptGenKey (1211) перехвачена, метод APICodeHijack.JmpTo[75998476]
Функция advapi32.dll:CryptImportKey (1221) перехвачена, метод APICodeHijack.JmpTo[759984A6]
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->77426812->76D11560
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->77427739->76E0C140
Функция advapi32.dll:LogonUserA (1418) перехвачена, метод APICodeHijack.JmpTo[75998396]
Функция advapi32.dll:LogonUserExA (1419) перехвачена, метод APICodeHijack.JmpTo[759983F6]
Функция advapi32.dll:LogonUserExW (1421) перехвачена, метод APICodeHijack.JmpTo[75998436]
Функция advapi32.dll:LogonUserW (1422) перехвачена, метод APICodeHijack.JmpTo[759983C6]

 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->6708D14A->67001560
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->6708D179->670018E0

---------------------------------------------------

C:\Program Files\Avast Software\Avast\x86\aswhook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Avast Software\Avast\x86\aswhook.dll>>> Поведенческий анализ 

-----------------------------------------------------

9. Мастер поиска и устранения проблем
 >>  Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
 >>  Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
 >>  Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
 >>  Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
 >>  Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
 >>  Таймаут завершения процессов находится за пределами допустимых значений
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.
Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

В логах только немного мусора, который и почистим.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O22 - Task (.job): update-sys.job - C:\Program Files (x86)\Skillbrains\Updater\Updater.exe (file missing)
O22 - Tasks: (damaged) \Microsoft\Windows\Autochk\Proxy - C:\WINDOWS\system32\rundll32.exe /d acproxy.dll,PerformAutochkOperations (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) \Microsoft\Windows\CertificateServicesClient\SystemTask - {58FB76B9-AC85-4E55-AC04-427593B1D060},SYSTEM - C:\WINDOWS\system32\dimsjob.dll (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) \Microsoft\Windows\Customer Experience Improvement Program\Consolidator - C:\WINDOWS\System32\wsqmcons.exe (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) \Microsoft\Windows\Windows Error Reporting\QueueReporting - C:\WINDOWS\system32\wermgr.exe -upload (user missing) (sign: 'Microsoft')
O22 - Tasks: update-sys - C:\Program Files (x86)\Skillbrains\Updater\Updater.exe -runmode=checkupdate (file missing)

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.

Ссылка на сообщение
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------


Notepad++ (64-bit x64) v.8.5.3 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.23.114.0530.0001 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Microsoft Teams v.1.5.00.30767 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 99.0.4788.65 v.99.0.4788.65 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.13 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Auslogics BoostSpeed 13 v.13.0.0.3 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

по возможности исправьте указанное, и на этом закончим

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Kostia1 сказал:

а так в целом все нормально? Никаких угроз и вирусов нету?

я еще в четвертом сообщении темы написал, что никаких вирусов у Вас нет.

 

В сканировании МВАМ тоже не было никакой необходимости.

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • shirosempay
      От shirosempay
      Пару дней назад у меня украли аккаунт в Steam,не думал что у меня вирус на компе. Сегодня же при включении пк увидел консоль,и через пару часов в Discord Всем моим чатам отправилась какая-то реклама.
      Увидел на вашем форуме программу Avbr,при ее запуске и начале скана,комп нагружается,лагает,пытается выключить прогу,а после пишет что то насчет кэша microsoft edge и перезагружается,не знаю что и делать,помогите пожалуйста(
    • distress
      От distress
      Добрый день, получилось так что словил серьезный майнер с автозапуском порно-сайта через редирект.
      Все что похожее есть по другим темам прочитал, понял что все очень индивидуально, у каждого свои логи и вариант решения. Переустановить систему нет возможности, стоят важные программы, файлы.
      Скачал AV block remover и сделал collectionlog, файлы прикрепляю.
      Помогите пожалуйста.CollectionLog-2024.05.15-22.04.zipAV_block_remove_2024.05.15-18.34.log
    • ArtMuz
      От ArtMuz
      Здравствуйте, 
      После установки разных программ установился данный вирус. Пытался несколько раз вылечить, но после перезагрузки троян восстанавливается. Расположение: C:\ProgramData\VideoExpert-c0f6fd3a-9c9e-4948-9dca-21495ea22c37\ Логи прикреплены
      CollectionLog-2024.05.13-22.50.zip
    • stnslv0
    • Президент
      От Президент
      На рабочем столе услышал что все вентиляторы усердно работают, повышают шум вентиляторов волнами, в простое системы. Дошло аж до теплого воздуха от радиатора. Проц до 70 градусов и видяха до 60. Открываю диспетчер задачь, успеваю засечь нагрузку ЦП в 80% и резко падает до 2%, все скрытое отключается. И так пока диспетчер задач сам не закрывается на Вин 10, все тихо и спокойно, низкие температуры, нагрузка ЦП макс до 4% при малом действии. Затем через время, диспетчер задач перестает открываться дольше чем на долю секунды. Пока не перезагрузишь.
      К сожалению давно не работал с ПК, не понимаю уже, какой антивирус искать, поможет ли антивирус в таком случае. Так что помогите более подробно, какие программы скачать, какую вам информацию предоставить.
      Подозрение пока что есть только на торрент игры айдж вондерс 4, плюс регистрация с меню, мол для сейва аккаунта. Только во время этой игры обратил внимание, что система стала сильно шумно работать. Остальную историю могу отдельно после лечения перебрать, поискать подозрения.
×
×
  • Создать...