ProcAddressHijack.GetProcAddress. Проверьте логи

[B]ProcAddressHijack.GetProcAddress


[/B]Проблема появилась недавно, впервые пользуясь программой AVZ просканировал компьютер и обнаружил огромное количество выделенных красным текстом сообщений. В том числе и ProcAdressHjack

Небольшая часть

Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7587CF90->764A8880
Функция kernel32.dll:ReadConsoleInputExW (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7587CFC3->764A88B0
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (291) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D22C0->72343150
Функция ntdll.dll:NtSetInformationFile (591) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D1FE0->723432B0
Функция ntdll.dll:NtSetValueKey (623) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2370->72343320
Функция ntdll.dll:ZwCreateFile (1804) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D22C0->72343150
Функция ntdll.dll:ZwSetInformationFile (2102) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D1FE0->723432B0
Функция ntdll.dll:ZwSetValueKey (2134) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2370->72343320
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D8E960->72343040
Функция user32.dll:EnumWindows (1774) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DA0360->72343A00
Функция user32.dll:GetWindowThreadProcessId (2008) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D8BD70->72343A30
Функция user32.dll:IsWindowVisible (2091) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D8D9C0->72343A60
Функция user32.dll:MessageBoxA (2147) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE0CD0->72343A90
Функция user32.dll:MessageBoxExA (2148) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE0D00->72343B40
Функция user32.dll:MessageBoxExW (2149) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE0D30->72343BF0
Функция user32.dll:MessageBoxIndirectA (2150) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE0D60->72343CA0
Функция user32.dll:MessageBoxIndirectW (2151) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE0E60->72343D20
Функция user32.dll:MessageBoxW (2154) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE1100->72343DB0
Функция user32.dll:SetWindowsHookExW (2395) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D90E30->72343390
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)

Также были подозрения на keylogger в файлах 360.

Помогите с лечением

Уважаемый(ая) [B]MaoTheDevil[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

В логах ничего плохого (вирусоподобного) не видно.
Есть адварь и нежелательно ПО, это почистим.


[quote="MaoTheDevil;1507946"]впервые пользуясь программой AVZ[/quote]
Для понимания "что есть что" хорошо бы изучить [url=http://z-oleg.com/secur/avz_doc/]её документацию[/url].

Через Панель управления - Удаление программ - удалите нежелательное ПО:
[quote]
Advanced SystemCare 8
Bing Bar
IObit Uninstaller 8
McAfee Security Scan Plus
Surfing Protection
Unity Web Player
Кнопка "Яндекс" на панели задач
[/quote]

Затем:
[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Malwarebytes)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt[/COLOR][/B] (где x - любая цифра).[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

[QUOTE=Sandor;1507948]Здравствуйте!

В логах ничего плохого (вирусоподобного) не видно.
Есть адварь и нежелательно ПО, это почистим.



Для понимания "что есть что" хорошо бы изучить [url=http://z-oleg.com/secur/avz_doc/]её документацию[/url].

Через Панель управления - Удаление программ - удалите нежелательное ПО:


Затем:
[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Malwarebytes)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt[/COLOR][/B] (где x - любая цифра).[*]Прикрепите отчет к своему следующему сообщению.[/LIST][/QUOTE]

То есть, что CodeHijack, что ProcAddressHijack.GetProcAddress это не что-то опасное?

1. Не цитируйте полностью предыдущее сообщение.
2. Внимательно читайте ответы:
[quote="Sandor;1507948"]Для понимания "что есть что" хорошо бы изучить [url=http://z-oleg.com/secur/avz_doc/]её документацию[/url].[/quote]
3. Ждём запрошенные действия.

После проверки в браузер автоматически установились различные расширения от Яндекса, отчёт я прикрепил.

Я почитал, даже про разные виды вирусов, но так и не понял, разве это не руткит?

Прошу прощения, случайно прикрепил два, верный с буквой S

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Вот всё, что вы попросили.

Surfing Protection - по-прежнему в списке установленных программ.
Если стандартно не можете удалить, удалите принудительно через [url=http://www.geekuninstaller.com/geek.zip]Geek Uninstaller[/url].
Даже если ставили самостоятельно, удалите на время лечения хотя бы.

[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]Start::
CreateRestorePoint:
HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\...\MountPoints2: {3c58ee3d-090a-11ea-ac90-94de80d82ce4} - "F:\HiSuiteDownLoader.exe"
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Task: {77B52A2D-3B35-40F5-B6B7-320B412410B2} - \GameNet -> No File <==== ATTENTION
Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-3410797409-3977228375-2781727664-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=843036"
C:\Users\Захар\AppData\Local\Google\Chrome\User Data\Default\Extensions\beliehdniadoecbonbhlcgbdldccfigp
C:\Users\Захар\AppData\Local\Google\Chrome\User Data\Default\Extensions\bobeehhgpnppdghmfffdjadmbjbaeeod
C:\Users\Захар\AppData\Local\Google\Chrome\User Data\Default\Extensions\nbifdkmdojgmpmopdebnjcobekgdoncn
CHR HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci]
CHR HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bobeehhgpnppdghmfffdjadmbjbaeeod]
CHR HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif]
CHR HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd]
CHR HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj]
CHR HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn]
CHR HKLM-x32\...\Chrome\Extension: [aeembeejekghkopiabadonpmfpigojok]
CHR HKLM-x32\...\Chrome\Extension: [beliehdniadoecbonbhlcgbdldccfigp]
CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn]
CHR HKLM-x32\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg]
CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bobeehhgpnppdghmfffdjadmbjbaeeod]
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [glcimepnljoholdmjchkloafkggfoijh]
CHR HKLM-x32\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem]
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kkebkofjplobmeenbgpjneghakhlioid]
CHR HKLM-x32\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak]
CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn]
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [plfhlkbdlpfbkoclpfhbmcppophemdbm]
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji]
C:\Users\Захар\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke
2020-01-15 17:08 - 2016-02-21 16:07 - 000000000 ____D C:\Users\Захар\AppData\Roaming\IObit
2020-01-15 17:01 - 2016-02-21 16:07 - 000000000 ____D C:\Program Files (x86)\IObit
2020-01-10 02:19 - 2016-02-21 16:08 - 000000000 ____D C:\Users\Захар\AppData\LocalLow\IObit
2020-01-10 02:19 - 2016-02-21 16:07 - 000000000 ____D C:\ProgramData\IObit
2020-01-07 14:06 - 2016-02-21 16:08 - 000000000 ____D C:\ProgramData\ProductData
ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> No File
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> No File
ContextMenuHandlers1: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> No File
ContextMenuHandlers4: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> No File
EmptyTemp:
Reboot:
End::[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Fix[/B] один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер будет перезагружен автоматически.

Простите, что так долго. Совершил просто чистую переустановку WIndows, однако почти всё осталось, включая "Wow64Transition (1504) перехвачена, метод CodeHijack". По идее, это же должно было помочь?

[quote="MaoTheDevil;1508313"]перехвачена, метод CodeHijack[/quote]
Это не ошибка.