С неделю назад проверил свою ось на предмет хуков и инжектов. Многие тулзы (вроде AVZ) говорили, что всё чисто. Решил самостоятельно подумать над этой проблемой и написал программу, которая проверяет всё и вся на снятие хуков (с инжектами у меня не вышло). Нашёл hdtext.dll, который-то и снимает хуки. Оказалось, что он ещё инжектирует свой код, куда только можно.
Вот его функции:
kernel32.CloseHandle
kernel32.CreateFileMappingA
kernel32.GetCurrentProcess
kernel32.GetCurrentProcessId
kernel32.GetModuleFileNameA
kernel32.GetModuleHandleA
kernel32.GetProcAddress
kernel32.MapViewOfFile
kernel32.OpenFileMappingA
kernel32.UnmapViewOfFile
kernel32.VirtualProtectEx
kernel32.WriteProcessMemory
kernel32.lstrcmpiA
USER32.SetWindowsHookExA - хаха
kernel32.CloseHandle
kernel32.CreateFileA
kernel32.GetFileType
kernel32.GetFileSize
kernel32.GetStdHandle
kernel32.RaiseException
kernel32.ReadFile
ntdll.RtlUnwind
kernel32.SetEndOfFile
kernel32.SetFilePointer
kernel32.UnhandledExceptionFilter
kernel32.WriteFile
USER32.CharNextA
kernel32.ExitProcess
USER32.MessageBoxA
kernel32.FindClose
kernel32.FindFirstFileA
kernel32.FreeLibrary
kernel32.GetCommandLineA
ntdll.RtlGetLastWin32Error
kernel32.GetLocaleInfoA
kernel32.GetModuleFileNameA
kernel32.GetModuleHandleA
kernel32.GetProcAddress
kernel32.GetStartupInfoA
kernel32.GetThreadLocale
kernel32.LoadLibraryExA
kernel32.lstrcpyA
kernel32.lstrcpynA
kernel32.lstrlenA
ADVAPI32.RegCloseKey
ADVAPI32.RegOpenKeyExA
ADVAPI32.RegQueryValueExA
kernel32.VirtualQuery
oleaut32.VariantClear
kernel32.GetStartupInfoA>
kernel32.LocalAlloc
kernel32.LocalFree
kernel32.VirtualAlloc
kernel32.VirtualFree
kernel32.InitializeCriticalSection
ntdll.RtlEnterCriticalSection
ntdll.RtlLeaveCriticalSection
ntdll.RtlDeleteCriticalSection
По идее программа простая, но вот только кав ругается при загрузке, что её нет. Пришлось вернуть на место. Вроде программа неопасная (маскимум кейлог), а всё же проникла в кав и диктует ему условия.
Проверь себя, нет ли у тебя этой дряни.
Вот его функции:
kernel32.CloseHandle
kernel32.CreateFileMappingA
kernel32.GetCurrentProcess
kernel32.GetCurrentProcessId
kernel32.GetModuleFileNameA
kernel32.GetModuleHandleA
kernel32.GetProcAddress
kernel32.MapViewOfFile
kernel32.OpenFileMappingA
kernel32.UnmapViewOfFile
kernel32.VirtualProtectEx
kernel32.WriteProcessMemory
kernel32.lstrcmpiA
USER32.SetWindowsHookExA - хаха
kernel32.CloseHandle
kernel32.CreateFileA
kernel32.GetFileType
kernel32.GetFileSize
kernel32.GetStdHandle
kernel32.RaiseException
kernel32.ReadFile
ntdll.RtlUnwind
kernel32.SetEndOfFile
kernel32.SetFilePointer
kernel32.UnhandledExceptionFilter
kernel32.WriteFile
USER32.CharNextA
kernel32.ExitProcess
USER32.MessageBoxA
kernel32.FindClose
kernel32.FindFirstFileA
kernel32.FreeLibrary
kernel32.GetCommandLineA
ntdll.RtlGetLastWin32Error
kernel32.GetLocaleInfoA
kernel32.GetModuleFileNameA
kernel32.GetModuleHandleA
kernel32.GetProcAddress
kernel32.GetStartupInfoA
kernel32.GetThreadLocale
kernel32.LoadLibraryExA
kernel32.lstrcpyA
kernel32.lstrcpynA
kernel32.lstrlenA
ADVAPI32.RegCloseKey
ADVAPI32.RegOpenKeyExA
ADVAPI32.RegQueryValueExA
kernel32.VirtualQuery
oleaut32.VariantClear
kernel32.GetStartupInfoA>
kernel32.LocalAlloc
kernel32.LocalFree
kernel32.VirtualAlloc
kernel32.VirtualFree
kernel32.InitializeCriticalSection
ntdll.RtlEnterCriticalSection
ntdll.RtlLeaveCriticalSection
ntdll.RtlDeleteCriticalSection
По идее программа простая, но вот только кав ругается при загрузке, что её нет. Пришлось вернуть на место. Вроде программа неопасная (маскимум кейлог), а всё же проникла в кав и диктует ему условия.
Проверь себя, нет ли у тебя этой дряни.