Функция user32 dll wow64transition 1504 перехвачена метод codehijack метод не определен
Здравствуйте! Недавно злоумышленник получил доступ к моим персональным данным.
Везде пароли поменял, уровень доступа повысил. Но до сих пор не знаю каким образом это было осуществлено.
Лицензионное ПО dr.web ничего не находит. Посоветовали просканировать при помощи AVZ и вот тут уже много "красного", но вредоночные программы вроде как тоже не обнаружил!
Помогите разобраться заражен ПК или нет и если да, то как лечить? Спасибо!
Проверка файла после взлома
Добрый день! Сегодня взломали одного моего знакомого и увели большое количество крипты, в т.ч.
Сайт после взлома
Последний АП яндекса добавил мне 1000 с лишним страниц, которые не мои. Стал разбираться.
После взлома не работает админка
День добрый. После взлома не работает админка сайта. Сам сайт доступен. После входа в админ панель.
Не удалось установить после взлома
Короче суть вот в чем. Мне скинули скрин с игры, в нем была вшита программа и на протяжении 1-2х.
Внимание! Рекомендации написаны специально для пользователя bizi. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________
Подготовьте лог сканирования AdwCleaner.
Спасибо за оперативный ответ! Удалил то, что нашлось, логи прилагаю. На этом все?
AdwCleaner[S0].txt
AdwCleaner[R0].txt
- Пожалуйста, запустите adwcleaner.exe
- Нажмите Uninstall (Удалить).
- Подтвердите удаление нажав кнопку: Да.
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Все сделал, при выполнении скрипта ничего не обнаружено.
Но если просто запустить скан AVZ, то выдает красным вот это:
Функция kernel32.dll:ReadConsoleInputExA (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->75714F8E->77C41A70
Функция kernel32.dll:ReadConsoleInputExW (1096) перехвачена, метод ProcAddressHijack.GetProcAddress ->75714FC1->77C41AA0
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D9C9C0->7240B720
Функция ntdll.dll:NtMakeTemporaryObject (380) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetInformationFile (549) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D9C6E0->7240B540
Функция ntdll.dll:NtSetSystemTime (573) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetValueKey (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D9CA70->7240C900
Функция ntdll.dll:ZwCreateFile (1649) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D9C9C0->7240B720
Функция ntdll.dll:ZwMakeTemporaryObject (1759) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetInformationFile (1928) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D9C6E0->7240B540
Функция ntdll.dll:ZwSetSystemTime (1952) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetValueKey (1959) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D9CA70->7240C900
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE8DC0->7240B490
Функция user32.dll:SendInput (2205) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetWindowsHookExW (2303) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DF5FA0->72460DB0
А также вот такое:
C:\Windows\Temp\TS_7D78.tmp >>> подозрение на Trojan.Win32.Agent2.byu ( 1B8F9200 1E621768 004D6E44 004D6E44 131072)
Будет добры, что означает перехват этих самых функций и что делать с этим подозрением?
Не обращать внимания ни на первое, ни на второе. Перехваты могут быть у вполне легальных программ, к примеру, антивирусов. Второе - ложное срабатывание на часть драйвера принтера.
ОС инициализирует подключение к веб камере и микрофону.
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1123) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BDB2AE->74070A20
Перехватчик kernel32.dll:ReadConsoleInputExA (1123) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1124) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BDB2E1->74070A50
Перехватчик kernel32.dll:ReadConsoleInputExW (1124) нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:Wow64Transition (1503) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
Ошибка анализа библиотеки user32.dll
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->76ED26A4->7409DF00
Перехватчик advapi32.dll:CveEventWrite (1234) нейтрализован
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->76ED35CB->75C6C800
Перехватчик advapi32.dll:I_ScRegisterPreshutdownRestart (1387) нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->728FC1AA->6313FBC0
Перехватчик netapi32.dll:NetFreeAadJoinInformation (130) нейтрализован
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->728FC1D9->6313FF80
Перехватчик netapi32.dll:NetGetAadJoinInformation (131) нейтрализован
>> Опасно! Обнаружена маскировка процессов
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Боюсь представить, что ты сделаешь, если поставишь вин10. Комп в адском огне сожжёшь, когда узнаешь насколько тщательно она за тобой следит.
living creature Оракул (66128) Утилита тебе пишет, что большинство левых DLL-ок, которые ты понаустанавливал с каким-то триппером нейтрализована. но какие-то куски ещё остались, доступ к которым утилита не имеет. Скорее всего ты подцепил какой-то триппер. может с программой какой установилось. утилита половину вычистила, но что-то ещё осталось.
Следует понимать, что обнаружение перехвата тех или иных функций еще не означает, что в систему внедрился RootKit - возможно, перехват функций применяется антивирусным монитором, Firewall или иными утилитами. Например, весьма полезная и удобная утилита RegMon устанавливает свой драйвер для перехвата 13-ти функций KiST для слежения за операциями с реестром.
Функция user32.dll:Wow64Transition (1503) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
Ошибка анализа библиотеки user32.dll
P.S. windows 10 (лицензия с последними обновлениями)
Windows defender включен.
Судя по длл, какое-то приложение в третьем кольце не хочет чтобы его загружали при помощи отладчика.
Что за приложение? Не старая программа с защитой типа SafeDisc?
я даже не знаю, вот полный лог:
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1117) перехвачена, метод ProcAddressHijack.GetProcAddress ->7425B332->749EF570
Перехватчик kernel32.dll:ReadConsoleInputExA (1117) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1118) перехвачена, метод ProcAddressHijack.GetProcAddress ->7425B365->749EF5A0
Перехватчик kernel32.dll:ReadConsoleInputExW (1118) нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:Wow64Transition (1503) перехвачена, метод CodeHijack (метод не определен)
>>> Код ру
Олег Олег Ученик (144) >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита) Ошибка анализа библиотеки user32.dll Анализ advapi32.dll, таблица экспорта найдена в секции .text Функция advapi32.dll:CveEventWrite (1233) перехвачена, метод ProcAddressHijack.GetProcAddress ->7411271C->74A1AF70 Перехватчик advapi32.dll:CveEventWrite (1233) нейтрализован Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1386) перехвачена, метод ProcAddressHijack.GetProcAddress ->74113643->75CBB870 Перехватчик advapi32.dll:I_ScRegisterPreshutdownRestart (1386) нейтрализован
причем не заходит почти на 80% сайтов.
Пишет Не удается получить доступ к сайту
Превышено время ожидания ответа от сайта
Интернет работает, в Автозагрузке чисто, файл Hosts чистый.
Вообще по поводу игр я должен подавать специально тему именно по их технической поддержке. Но я так же задаю тут, ведь может быть такое что из вас с таким сталкивались и проблему решили, а сами создатели не всегда могли помочь. Я даже несколько раз видел где техническая поддержка отсутствует. Ну суть не в тому. Дело в тому, что касается в основном не только игры, но и самой системы. Именно поэтому я подаю эту тему.
Ноутбук: ASUS X540UB (X540UBR)
Процессор: Intel Pentium Gold CPU 4417U 2.3 GHz, 4 логических процессора и 2 ядра
Видеокарта: NVidia GeForce MX110 с видеодрайверами NVidia GeForce MX110 и Intel HD Graphics 610
ОС: Windows 10 Профессиональная версия 2009 (20H2)
BIOS: 308 с режимом UEFI
В общем, скачал я Minecraft Windows 10 Edition, запускаю игру, запуск происходит, но тут же не проходит 3-ёх секунд как игра закрывается. Поискал в интернете решения, и заметил одну такую интересную вещь. В Управлении компьютером -> Просмотр событий -> Журналы Windows -> Приложения выводит ошибки в случаи некорректной работы игры. Я так и сделал, нашёл ошибку, и вот как она выглядит:
Код приложения, связанного со сбойным пакетом: App
Я с таким раньше никогда не сталкивался, у меня это начало происходить после обновления версии Windows 10. Я мог бы вернуться на предыдущую, но не очень хочу, я любитель новых версий, и как для меня, для новой версии с другой стороны не характерно из-за чего прошу помощи. Я с KernelBase.dll возиться не хочу зная что она главная в работе ОС.
Я ещё порыскался в интернете, нашёл программу которая может проверять не только на вирусы, но и на ошибки. Программа вывела следующее:
Внимание . База поcледний раз обновлялась 01.03.2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
Версия Windows: 10.0.19042, "Windows 10 Enterprise", дата инсталляции 05.10.2020 16:50:48 ; AVZ работает с правами администратора (+)
Функция kernel32.dll:ReadConsoleInputExW (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->7648DAEB->76ECACB0
Функция ntdll.dll:NtCreateFile (295) перехвачена, метод ProcAddressHijack.GetProcAddress ->776E1B70->72C71480
Функция ntdll.dll:NtSetInformationFile (598) перехвачена, метод ProcAddressHijack.GetProcAddress ->776E1890->72C715E0
Функция ntdll.dll:NtSetValueKey (630) перехвачена, метод ProcAddressHijack.GetProcAddress ->776E1C20->72C71650
Функция ntdll.dll:ZwCreateFile (1837) перехвачена, метод ProcAddressHijack.GetProcAddress ->776E1B70->72C71480
Функция ntdll.dll:ZwSetInformationFile (2138) перехвачена, метод ProcAddressHijack.GetProcAddress ->776E1890->72C715E0
Функция ntdll.dll:ZwSetValueKey (2170) перехвачена, метод ProcAddressHijack.GetProcAddress ->776E1C20->72C71650
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->77429500->72C71370
Функция user32.dll:EnumWindows (1774) перехвачена, метод ProcAddressHijack.GetProcAddress ->77417840->72C72010
Функция user32.dll:GetWindowThreadProcessId (2009) перехвачена, метод ProcAddressHijack.GetProcAddress ->774289A0->72C72040
Функция user32.dll:IsWindowVisible (2093) перехвачена, метод ProcAddressHijack.GetProcAddress ->77423790->72C72070
Функция user32.dll:MessageBoxA (2149) перехвачена, метод ProcAddressHijack.GetProcAddress ->7746EE90->72C74010
Функция user32.dll:MessageBoxExA (2150) перехвачена, метод ProcAddressHijack.GetProcAddress ->7746EEE0->72C74070
Функция user32.dll:MessageBoxExW (2151) перехвачена, метод ProcAddressHijack.GetProcAddress ->7746EF10->72C740D0
Функция user32.dll:MessageBoxIndirectA (2152) перехвачена, метод ProcAddressHijack.GetProcAddress ->7746EF40->72C74130
Функция user32.dll:MessageBoxIndirectW (2153) перехвачена, метод ProcAddressHijack.GetProcAddress ->7746F080->72C74180
Функция user32.dll:MessageBoxW (2156) перехвачена, метод ProcAddressHijack.GetProcAddress ->7746F3B0->72C741D0
Функция user32.dll:SetWindowsHookExW (2399) перехвачена, метод ProcAddressHijack.GetProcAddress ->7742E780->72C716C0
Функция user32.dll:ShowWindow (2407) перехвачена, метод ProcAddressHijack.GetProcAddress ->77430760->72C74230
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B042E4->76ECD680
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B0520B->76C7C660
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7515C14A->6503A7D0
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7515C179->6503AB50
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании . )!
Эта цепочка заблокирована. Вы можете просмотреть вопрос или оставить свой голос, если сведения окажутся полезными, но вы не можете написать ответ в этой цепочке.
Оскорбление — это любое поведение, которое беспокоит или расстраивает человека или группу лиц. К угрозам относятся любые угрозы самоубийством, насилием, нанесением ущерба и др. Любое содержимое для взрослых или недопустимое на веб-сайте сообщества. Любое изображение, обсуждение наготы или ссылка на подобные материалы. Оскорбительное, грубое или вульгарное поведение и другие проявления неуважения. Любое поведение, нарушающее лицензионные соглашения, в том числе предоставление ключей продуктов или ссылок на пиратское ПО. Незатребованная массовая рассылка или реклама. Любые ссылки или пропаганда сайтов с вирусным, шпионским, вредоносным или фишинговым ПО. Любое другое неуместное содержимое или поведение в соответствии с правилами использования и кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другими вариантами оскорбления или эксплуатации детей.
Дочка привела подругу, у которой была проблема входа в интернет (не пускало вообще), а так как уменя уже была подобная оказия я согласился помочь.
Функция kernel32.dll:ReadConsoleInputExA (1094) перехвачена, метод ProcAddressHijack.GetProcAddress ->75AC297A->775BCC01
Функция kernel32.dll:ReadConsoleInputExW (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->75AC29AD->775BCC25
Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CD280->6D4AB775
Функция ntdll.dll:NtSetInformationFile (549) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CCFA0->6D4AB6F1
Функция ntdll.dll:NtSetValueKey (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CD330->6D4AC69D
Функция ntdll.dll:ZwCreateFile (1647) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CD280->6D4AB775
Функция ntdll.dll:ZwSetInformationFile (1926) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CCFA0->6D4AB6F1
Функция ntdll.dll:ZwSetValueKey (1957) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CD330->6D4AC69D
Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->7553779D->6D4AB6DB
Функция user32.dll:SetWindowsHookExW (2303) перехвачена, метод ProcAddressHijack.GetProcAddress ->7554534B->6D4AC801
Проверял ноутбук следующими утилитами/программами: AVZ, Kaspersky Virus Removal Tool, Dr.Web CureIt!, Avast Internet Security, Malwarebytes Anti-Malware, hitmanpro_x64, VIPRERescue (более 40 утилит). результат "нулевой" (((
Есть ли вариант "отскриптовать" предустановленную винду?
P.S. Пробовал переустановить Windows 8.1 с флешки (образом скачанным с оф сайта) и пробовал обновить до 10ки, в обоих случаях загрузка (запуск установщика) был прерван.
Эта цепочка заблокирована. Вы можете просмотреть вопрос или оставить свой голос, если сведения окажутся полезными, но вы не можете написать ответ в этой цепочке.
Оскорбление — это любое поведение, которое беспокоит или расстраивает человека или группу лиц. К угрозам относятся любые угрозы самоубийством, насилием, нанесением ущерба и др. Любое содержимое для взрослых или недопустимое на веб-сайте сообщества. Любое изображение, обсуждение наготы или ссылка на подобные материалы. Оскорбительное, грубое или вульгарное поведение и другие проявления неуважения. Любое поведение, нарушающее лицензионные соглашения, в том числе предоставление ключей продуктов или ссылок на пиратское ПО. Незатребованная массовая рассылка или реклама. Любые ссылки или пропаганда сайтов с вирусным, шпионским, вредоносным или фишинговым ПО. Любое другое неуместное содержимое или поведение в соответствии с правилами использования и кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другими вариантами оскорбления или эксплуатации детей.
Читайте также: