Меня напугал лог антистиллера.

GrishaMazzlov

GrishaMazzlov

https://t.me/RealCashFlow101
Автор темы
Проверенный
1,781
938
Приветствую! Меня напугал лог антистиллера, причём в той сборке, где никаких читов нет. Скажите, есть ли вредонос?
[PATCHED] > [ZwOpenProcess] > [C:\Windows\System32\KERNELBASE.dll] > {DesiredAccess: 4096}
[PATCHED] > [ZwOpenProcess] > [C:\Windows\System32\KERNELBASE.dll] > {DesiredAccess: 4096}
[PATCHED] > [ZwOpenProcess] > [C:\Windows\System32\KERNELBASE.dll] > {DesiredAccess: 4096}
[PATCHED] > [ZwOpenProcess] > [C:\Windows\System32\KERNELBASE.dll] > {DesiredAccess: 4096}
[PATCHED] > [ZwOpenProcess] > [C:\Windows\System32\KERNELBASE.dll] > {DesiredAccess: 4096}
[PATCHED] > [ZwOpenProcess] > [C:\Windows\System32\KERNELBASE.dll] > {DesiredAccess: 4096}
[PATCHED] > [ZwOpenProcess] > [C:\Windows\System32\KERNELBASE.dll] > {DesiredAccess: 4096}
[PATCHED] > [ZwOpenProcess] > [C:\Windows\System32\KERNELBASE.dll] > {DesiredAccess: 4096}
[PATCHED] > [ZwOpenProcess] > [C:\Windows\System32\KERNELBASE.dll] > {DesiredAccess: 4096}
[PATCHED] > [ZwOpenProcess] > [C:\Windows\System32\KERNELBASE.dll] > {DesiredAccess: 4096}
[PATCHED] > [ZwOpenProcess] > [C:\Windows\System32\KERNELBASE.dll] > {DesiredAccess: 4096}
[PATCHED] > [ZwOpenProcess] > [C:\Windows\System32\KERNELBASE.dll] > {DesiredAccess: 4096}
[PATCHED] > [ZwOpenProcess] > [C:\Windows\System32\KERNELBASE.dll] > {DesiredAccess: 4096}
[PATCHED] > [ZwOpenProcess] > [C:\Windows\System32\KERNELBASE.dll] > {DesiredAccess: 4096}
[WARNING] > [URLDownloadToFileA] > [D:\Games\PC Games\SAMP 0.3.7\MoonLoader.asi] > {szURL: https://blast.hk/moonloader/data/version-info.json | szFileName: C:\Users\Nikus\AppData\Local\Temp\moonloader-version.json}
[WARNING] > [URLDownloadToFileW] > [C:\Windows\SYSTEM32\urlmon.dll] > {szURL: https://blast.hk/moonloader/data/version-info.json | szFileName: C:\Users\Nikus\AppData\Local\Temp\moonloader-version.json}
[WARNING] > [InternetOpenW] > [C:\Windows\SYSTEM32\urlmon.dll] > {lpszAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; InfoPath.3; Zoom 3.6.0)}
[WARNING] > [InternetOpenA] > [C:\Windows\SYSTEM32\WININET.DLL] > {lpszAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; InfoPath.3; Zoom 3.6.0)}
[WARNING] > [InternetConnectW] > [C:\Windows\SYSTEM32\urlmon.dll] > {lpszServerName: blast.hk | lpszUserName: - | lpszPassword: -}
[WARNING] > [InternetConnectA] > [C:\Windows\SYSTEM32\WININET.DLL] > {lpszServerName: blast.hk | lpszUserName: - | lpszPassword: -}
[WARNING] > [HttpOpenRequestW] > [C:\Windows\SYSTEM32\urlmon.dll] > {lpszObjectName: /moonloader/data/version-info.json}
[PATCHED] > [ZwQueueApcThread] > [C:\Windows\System32\sechost.dll]
[WARNING] > [gethostbyname] > [D:\Games\PC Games\SAMP 0.3.7\samp.dll] > {name: DESKTOP-I291KS8}
[WARNING] > [gethostbyname] > [D:\Games\PC Games\SAMP 0.3.7\samp.dll] > {name: 80.66.82.252}
[WARNING] > [gethostbyname] > [D:\Games\PC Games\SAMP 0.3.7\samp.dll] > {name: 80.66.82.252}
[PATCHED] > [RtlInitUnicodeString] > [C:\Windows\System32\KERNELBASE.dll] > {SourceString: .\!0AntiStealerByDarkP1xel32.dbg\*}
[PATCHED] > [RtlInitUnicodeStringEx] > [C:\Windows\SYSTEM32\ntdll.dll] > {SourceString: .\!0AntiStealerByDarkP1xel32.dbg\*}
[PATCHED] > [RtlInitUnicodeString] > [C:\Windows\System32\KERNELBASE.dll] > {SourceString: .\!0AntiStealerByDarkP1xel32.pdb\*}
[PATCHED] > [RtlInitUnicodeStringEx] > [C:\Windows\SYSTEM32\ntdll.dll] > {SourceString: .\!0AntiStealerByDarkP1xel32.pdb\*}
 
Решение
sᴀxᴏɴ
Нет здесь никакого стиллера.
GrishaMazzlov написал(а):
Меня больше эти строки интересуют: [WARNING] > [URLDownloadToFileA] > [D:\Games\PC Games\SAMP 0.3.7\MoonLoader.asi] > {szURL: https://blast.hk/moonloader/data/version-info.json | szFileName: C:\Users\Nikus\AppData\Local\Temp\moonloader-version.json}
[WARNING] > [URLDownloadToFileW] > [C:\Windows\SYSTEM32\urlmon.dll] > {szURL: https://blast.hk/moonloader/data/version-info.json | szFileName: C:\Users\Nikus\AppData\Local\Temp\moonloader-version.json}
[WARNING] > [InternetOpenW] > [C:\Windows\SYSTEM32\urlmon.dll] > {lpszAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; InfoPath.3; Zoom 3.6.0)}
[WARNING] > [InternetOpenA] > [C:\Windows\SYSTEM32\WININET.DLL] >...
Нажмите для раскрытия...
Сортировка по дате Сортировка по голосам
F

FogRider

Активный
188
70
Позитивный голос 0 Негативный голос
GrishaMazzlov

GrishaMazzlov

https://t.me/RealCashFlow101
Автор темы
Проверенный
1,781
938
FogRider написал(а):
Вопрос: И зачем тебе это?

samp.dll действительно собирает такую информацию, как название компьютера и IP-адрес, но стиллеру это никак не поможет.
Нажмите для раскрытия...
Меня больше эти строки интересуют:
Код: 
[WARNING] > [URLDownloadToFileA] > [D:\Games\PC Games\SAMP 0.3.7\MoonLoader.asi] > {szURL: https://blast.hk/moonloader/data/version-info.json | szFileName: C:\Users\Nikus\AppData\Local\Temp\moonloader-version.json}
[WARNING] > [URLDownloadToFileW] > [C:\Windows\SYSTEM32\urlmon.dll] > {szURL: https://blast.hk/moonloader/data/version-info.json | szFileName: C:\Users\Nikus\AppData\Local\Temp\moonloader-version.json}
[WARNING] > [InternetOpenW] > [C:\Windows\SYSTEM32\urlmon.dll] > {lpszAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; InfoPath.3; Zoom 3.6.0)}
[WARNING] > [InternetOpenA] > [C:\Windows\SYSTEM32\WININET.DLL] > {lpszAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; InfoPath.3; Zoom 3.6.0)}
[WARNING] > [InternetConnectW] > [C:\Windows\SYSTEM32\urlmon.dll] > {lpszServerName: blast.hk | lpszUserName: - | lpszPassword: -}
[WARNING] > [InternetConnectA] > [C:\Windows\SYSTEM32\WININET.DLL] > {lpszServerName: blast.hk | lpszUserName: - | lpszPassword: -}
[WARNING] > [HttpOpenRequestW] > [C:\Windows\SYSTEM32\urlmon.dll] > {lpszObjectName: /moonloader/data/version-info.json}
 
Последнее редактирование модератором:
Позитивный голос 0 Негативный голос
M

Majunti

Известный
529
165
GrishaMazzlov написал(а):
Меня больше эти строки интересуют: [WARNING] > [URLDownloadToFileA] > [D:\Games\PC Games\SAMP 0.3.7\MoonLoader.asi] > {szURL: https://blast.hk/moonloader/data/version-info.json | szFileName: C:\Users\Nikus\AppData\Local\Temp\moonloader-version.json}
[WARNING] > [URLDownloadToFileW] > [C:\Windows\SYSTEM32\urlmon.dll] > {szURL: https://blast.hk/moonloader/data/version-info.json | szFileName: C:\Users\Nikus\AppData\Local\Temp\moonloader-version.json}
[WARNING] > [InternetOpenW] > [C:\Windows\SYSTEM32\urlmon.dll] > {lpszAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; InfoPath.3; Zoom 3.6.0)}
[WARNING] > [InternetOpenA] > [C:\Windows\SYSTEM32\WININET.DLL] > {lpszAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; InfoPath.3; Zoom 3.6.0)}
[WARNING] > [InternetConnectW] > [C:\Windows\SYSTEM32\urlmon.dll] > {lpszServerName: blast.hk | lpszUserName: - | lpszPassword: -}
[WARNING] > [InternetConnectA] > [C:\Windows\SYSTEM32\WININET.DLL] > {lpszServerName: blast.hk | lpszUserName: - | lpszPassword: -}
[WARNING] > [HttpOpenRequestW] > [C:\Windows\SYSTEM32\urlmon.dll] > {lpszObjectName: /moonloader/data/version-info.json}
Нажмите для раскрытия...
Походу стиллер пытался обойти антистиллер
 
Позитивный голос 0 Негативный голос
GrishaMazzlov

GrishaMazzlov

https://t.me/RealCashFlow101
Автор темы
Проверенный
1,781
938
Позитивный голос 0 Негативный голос
GrishaMazzlov

GrishaMazzlov

https://t.me/RealCashFlow101
Автор темы
Проверенный
1,781
938
Majunti написал(а):
Походу стиллер пытался обойти антистиллер
Нажмите для раскрытия...
www.blast.hk

Lua - CorrectionWords - Автоисправление в SA:MP

CorrectionWords Автоисправление слов Автор - Royan Millans При копировании на другие источники, просьба указывать авторство* Описание: Автоисправление и проверка слов на грамотность прямо в SA:MP, имеет 3 режима: Автоисправление сразу после отправки сообщения(возможны задержки) При нахождении...
www.blast.hk www.blast.hk
 
Позитивный голос 0 Негативный голос
M

Majunti

Известный
529
165
Позитивный голос 0 Негативный голос
iEramur

iEramur

Известный
171
113
Это больше похоже на проверку обновлений мунлоадера (хотя может это такая маскировка, хз). Там же читается, что идёт запрос на сервер бластхака, видимо логинится(?) и получает какой-то жсон файл с версией(правда нипанятна, почему json качается а не просто число в запросе получают). Ну по идее json же ведь неисполняемый файл, и больше ничего подозрительного нет, так что все окей.
 
Позитивный голос 0 Негативный голос
sᴀxᴏɴ

sᴀxᴏɴ

#Mary
Всефорумный модератор
791
846
Нет здесь никакого стиллера.
GrishaMazzlov написал(а):
Меня больше эти строки интересуют: [WARNING] > [URLDownloadToFileA] > [D:\Games\PC Games\SAMP 0.3.7\MoonLoader.asi] > {szURL: https://blast.hk/moonloader/data/version-info.json | szFileName: C:\Users\Nikus\AppData\Local\Temp\moonloader-version.json}
[WARNING] > [URLDownloadToFileW] > [C:\Windows\SYSTEM32\urlmon.dll] > {szURL: https://blast.hk/moonloader/data/version-info.json | szFileName: C:\Users\Nikus\AppData\Local\Temp\moonloader-version.json}
[WARNING] > [InternetOpenW] > [C:\Windows\SYSTEM32\urlmon.dll] > {lpszAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; InfoPath.3; Zoom 3.6.0)}
[WARNING] > [InternetOpenA] > [C:\Windows\SYSTEM32\WININET.DLL] > {lpszAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; InfoPath.3; Zoom 3.6.0)}
[WARNING] > [InternetConnectW] > [C:\Windows\SYSTEM32\urlmon.dll] > {lpszServerName: blast.hk | lpszUserName: - | lpszPassword: -}
[WARNING] > [InternetConnectA] > [C:\Windows\SYSTEM32\WININET.DLL] > {lpszServerName: blast.hk | lpszUserName: - | lpszPassword: -}
[WARNING] > [HttpOpenRequestW] > [C:\Windows\SYSTEM32\urlmon.dll] > {lpszObjectName: /moonloader/data/version-info.json}
Нажмите для раскрытия...
Это проверка обновлений мунлоадера (check-moonloader-updates). Логи под спойлер или в code в следующий раз!
 
  • Нравится
Реакции: GrishaMazzlov
Позитивный голос 0 Негативный голос
Решение
Войдите или зарегистрируйтесь для ответа.

Похожие темы

  1. Лебiгович
    Моя история игры в SAMP с 2013 года!
      • Нравится
      • Вау
      • Ха-ха
    Ответы
    26
    Просмотры
    5K
    Общение
    nitarav
    N
  2. lemeXe
    ARIZONA ROLE PLAY 2023
      • Нравится
      • Bug
      • Вау
    Ответы
    18
    Просмотры
    4K
    Юмор/Креатив
    Владимир Владимирович
    Владимир Владимирович
  3. sarygaexbo
    • Вопрос
    не работает крестик в менюшке imgui
    Ответы
    6
    Просмотры
    275
    Вопросы
    ChromiusJ
    ChromiusJ
  4. PanSeek
    Интервью с DarkP1xel
      • Нравится
      • Влюблен
      • Злость
    Ответы
    54
    Просмотры
    8K
    Общение
    GrishaMazzlov
    GrishaMazzlov
  5. Azller Lollison
    Эксклюзив Исходник Информация Слив исходника лоадера RAPOGLIFF (клиентская и серверная часть)
      • Нравится
      • Вау
    Ответы
    2
    Просмотры
    3K
    Lua
    imring
    imring
Сверху Снизу