刚刚用sreng查出
API HOOK
警告!System Repair Engineer 提醒
你下面的函数内容与预期值不符,他
们可能被一些恶意的软件所修改:
入口点错误:LoadLibraryExW
这个该怎麽处理阿 最近金山不停的查出什麽pcrob的木马 杀了之后不久又有 不死不灭的 机子速度也慢了 请帮忙啊
參考答案:你的日志我看了,没有问题。
LoadLibraryExW 是Ewido 改写的
类似的可以参考
装了杀毒软件后,这个是正常的。
鉴于很多计算机病毒(如灰鸽子后门程序等)采用 Win32 API HOOK 技术来达到隐藏自身的目的,System Repair Engineer (SREng) 从 2.3 版本开始正式提供对Win32 API HOOK 检测的支持。
System Repair Engineer API HOOK 检测功能是专门为有一定计算机知识的人设计的一个高级功能,其主要目的是警示用户系统里面的哪些API和预期值不符。一个有经验的分析人员能够从不符的API名称里面得知潜在的危险是什么。
需要注意的是,目前已经发现有一些正常的软件也会对一些Win32 API进行HOOK操作以完成一些特殊的功能。列表如下:
会进行API HOOK的正常软件名单:
Kaspersky Antivirus Kaspersky Antivirus 对下列 Win32 API 进行了HOOK操作:
LoadLibraryA
LoadLibraryW
LoadLibraryExA
LoadLibraryExW
如果你安装了Kaspersky Antivirus,那么看到的警告提示信息是正常的。可以忽略。
Agnitum
Outpost Firewall Pro 4.0 Agnitum's Outpost Firewall Pro 4.0 对下列 Win32 API 进行了HOOK操作:
NtCreateThread
NtRestoreKey
NtSetValueKey
NtTerminateProcess
ZwCreateThread
ZwRestoreKey
ZwSetValueKey
ZwTerminateProcess
CreateProcessA
CreateProcessW
CreateRemoteThread
如果你安装了Agnitum's Outpost Firewall Pro 4.0,那么看到的警告提示信息是正常的。可以忽略。
当 System Repair Engineer (SREng) 发现有Win32 API 被 HOOK 的时候,会在桌面右下角弹出警告气泡,同时,智能扫描的扫描日志里面也能够记录被 HOOK 的API内容。
王朝知道反病毒区知识专家崔衍渠
