-
Junior Member
- Вес репутации
- 22
ProcAddressHijack.GetProcAddress. Проверьте логи
ProcAddressHijack.GetProcAddress
Проблема появилась недавно, впервые пользуясь программой AVZ просканировал компьютер и обнаружил огромное количество выделенных красным текстом сообщений. В том числе и ProcAdressHjack
Небольшая часть
Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7587CF90->764A8880
Функция kernel32.dll:ReadConsoleInputExW (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7587CFC3->764A88B0
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (291) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D22C0->72343150
Функция ntdll.dll:NtSetInformationFile (591) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D1FE0->723432B0
Функция ntdll.dll:NtSetValueKey (623) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2370->72343320
Функция ntdll.dll
wCreateFile (1804) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D22C0->72343150
Функция ntdll.dll
wSetInformationFile (2102) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D1FE0->723432B0
Функция ntdll.dll
wSetValueKey (2134) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2370->72343320
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D8E960->72343040
Функция user32.dll:EnumWindows (1774) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DA0360->72343A00
Функция user32.dll:GetWindowThreadProcessId (200
перехвачена, метод ProcAddressHijack.GetProcAddress ->76D8BD70->72343A30
Функция user32.dll:IsWindowVisible (2091) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D8D9C0->72343A60
Функция user32.dll:MessageBoxA (2147) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE0CD0->72343A90
Функция user32.dll:MessageBoxExA (214
перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE0D00->72343B40
Функция user32.dll:MessageBoxExW (2149) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE0D30->72343BF0
Функция user32.dll:MessageBoxIndirectA (2150) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE0D60->72343CA0
Функция user32.dll:MessageBoxIndirectW (2151) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE0E60->72343D20
Функция user32.dll:MessageBoxW (2154) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE1100->72343DB0
Функция user32.dll:SetWindowsHookExW (2395) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D90E30->72343390
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
Также были подозрения на keylogger в файлах 360.
Помогите с лечением
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) MaoTheDevil, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
-
-
Здравствуйте!
В логах ничего плохого (вирусоподобного) не видно.
Есть адварь и нежелательно ПО, это почистим.

Сообщение от
MaoTheDevil
впервые пользуясь программой AVZ
Для понимания "что есть что" хорошо бы изучить её документацию.
Через Панель управления - Удаление программ - удалите нежелательное ПО:
Advanced SystemCare 8
Bing Bar
IObit Uninstaller 8
McAfee Security Scan Plus
Surfing Protection
Unity Web Player
Кнопка "Яндекс" на панели задач
Затем:
- Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
- Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
- Прикрепите отчет к своему следующему сообщению.
-
-
Junior Member
- Вес репутации
- 22

Сообщение от
Sandor
Здравствуйте!
В логах ничего плохого (вирусоподобного) не видно.
Есть адварь и нежелательно ПО, это почистим.
Для понимания "что есть что" хорошо бы изучить
её документацию.
Через Панель управления - Удаление программ - удалите нежелательное ПО:
Затем:
- Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
- Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
- Прикрепите отчет к своему следующему сообщению.
То есть, что CodeHijack, что ProcAddressHijack.GetProcAddress это не что-то опасное?
-
1. Не цитируйте полностью предыдущее сообщение.
2. Внимательно читайте ответы:

Сообщение от
Sandor
3. Ждём запрошенные действия.
-
-
Junior Member
- Вес репутации
- 22
После проверки в браузер автоматически установились различные расширения от Яндекса, отчёт я прикрепил.
Я почитал, даже про разные виды вирусов, но так и не понял, разве это не руткит?
Прошу прощения, случайно прикрепил два, верный с буквой S
-
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
-
-
Junior Member
- Вес репутации
- 22
Вот всё, что вы попросили.
-
Surfing Protection - по-прежнему в списке установленных программ.
Если стандартно не можете удалить, удалите принудительно через Geek Uninstaller.
Даже если ставили самостоятельно, удалите на время лечения хотя бы.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:
Start::
CreateRestorePoint:
HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\...\MountPoints2: {3c58ee3d-090a-11ea-ac90-94de80d82ce4} - "F:\HiSuiteDownLoader.exe"
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Task: {77B52A2D-3B35-40F5-B6B7-320B412410B2} - \GameNet -> No File <==== ATTENTION
Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-3410797409-3977228375-2781727664-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=843036"
C:\Users\Захар\AppData\Local\Google\Chrome\User Data\Default\Extensions\beliehdniadoecbonbhlcgbdldccfigp
C:\Users\Захар\AppData\Local\Google\Chrome\User Data\Default\Extensions\bobeehhgpnppdghmfffdjadmbjbaeeod
C:\Users\Захар\AppData\Local\Google\Chrome\User Data\Default\Extensions\nbifdkmdojgmpmopdebnjcobekgdoncn
CHR HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci]
CHR HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bobeehhgpnppdghmfffdjadmbjbaeeod]
CHR HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif]
CHR HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd]
CHR HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj]
CHR HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn]
CHR HKLM-x32\...\Chrome\Extension: [aeembeejekghkopiabadonpmfpigojok]
CHR HKLM-x32\...\Chrome\Extension: [beliehdniadoecbonbhlcgbdldccfigp]
CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn]
CHR HKLM-x32\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg]
CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bobeehhgpnppdghmfffdjadmbjbaeeod]
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [glcimepnljoholdmjchkloafkggfoijh]
CHR HKLM-x32\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem]
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kkebkofjplobmeenbgpjneghakhlioid]
CHR HKLM-x32\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak]
CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn]
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [plfhlkbdlpfbkoclpfhbmcppophemdbm]
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji]
C:\Users\Захар\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke
2020-01-15 17:08 - 2016-02-21 16:07 - 000000000 ____D C:\Users\Захар\AppData\Roaming\IObit
2020-01-15 17:01 - 2016-02-21 16:07 - 000000000 ____D C:\Program Files (x86)\IObit
2020-01-10 02:19 - 2016-02-21 16:08 - 000000000 ____D C:\Users\Захар\AppData\LocalLow\IObit
2020-01-10 02:19 - 2016-02-21 16:07 - 000000000 ____D C:\ProgramData\IObit
2020-01-07 14:06 - 2016-02-21 16:08 - 000000000 ____D C:\ProgramData\ProductData
ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> No File
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> No File
ContextMenuHandlers1: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> No File
ContextMenuHandlers4: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> No File
EmptyTemp:
Reboot:
End::
- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
-
-
Junior Member
- Вес репутации
- 22
Простите, что так долго. Совершил просто чистую переустановку WIndows, однако почти всё осталось, включая "Wow64Transition (1504) перехвачена, метод CodeHijack". По идее, это же должно было помочь?
-

Сообщение от
MaoTheDevil
перехвачена, метод CodeHijack
Это не ошибка.
-