ProcAddressHijack.GetProcAddress. Проверьте логи

[MaoTheDevil]

ProcAddressHijack.GetProcAddress


Проблема появилась недавно, впервые пользуясь программой AVZ просканировал компьютер и обнаружил огромное количество выделенных красным текстом сообщений. В том числе и ProcAdressHjack

Небольшая часть

Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7587CF90->764A8880
Функция kernel32.dll:ReadConsoleInputExW (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7587CFC3->764A88B0
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (291) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D22C0->72343150
Функция ntdll.dll:NtSetInformationFile (591) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D1FE0->723432B0
Функция ntdll.dll:NtSetValueKey (623) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2370->72343320
Функция ntdll.dllwCreateFile (1804) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D22C0->72343150
Функция ntdll.dllwSetInformationFile (2102) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D1FE0->723432B0
Функция ntdll.dllwSetValueKey (2134) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2370->72343320
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D8E960->72343040
Функция user32.dll:EnumWindows (1774) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DA0360->72343A00
Функция user32.dll:GetWindowThreadProcessId (200 перехвачена, метод ProcAddressHijack.GetProcAddress ->76D8BD70->72343A30
Функция user32.dll:IsWindowVisible (2091) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D8D9C0->72343A60
Функция user32.dll:MessageBoxA (2147) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE0CD0->72343A90
Функция user32.dll:MessageBoxExA (214 перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE0D00->72343B40
Функция user32.dll:MessageBoxExW (2149) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE0D30->72343BF0
Функция user32.dll:MessageBoxIndirectA (2150) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE0D60->72343CA0
Функция user32.dll:MessageBoxIndirectW (2151) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE0E60->72343D20
Функция user32.dll:MessageBoxW (2154) перехвачена, метод ProcAddressHijack.GetProcAddress ->76DE1100->72343DB0
Функция user32.dll:SetWindowsHookExW (2395) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D90E30->72343390
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)

Также были подозрения на keylogger в файлах 360.

Помогите с лечением

[Info_bot]

Уважаемый(ая) MaoTheDevil, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Sandor]

Здравствуйте!

В логах ничего плохого (вирусоподобного) не видно.
Есть адварь и нежелательно ПО, это почистим.

впервые пользуясь программой AVZ

Для понимания "что есть что" хорошо бы изучить её документацию.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 8
Bing Bar
IObit Uninstaller 8
McAfee Security Scan Plus
Surfing Protection
Unity Web Player
Кнопка "Яндекс" на панели задач

Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

[MaoTheDevil]

Здравствуйте!

В логах ничего плохого (вирусоподобного) не видно.
Есть адварь и нежелательно ПО, это почистим.



Для понимания "что есть что" хорошо бы изучить её документацию.

Через Панель управления - Удаление программ - удалите нежелательное ПО:


Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

То есть, что CodeHijack, что ProcAddressHijack.GetProcAddress это не что-то опасное?

[Sandor]

1. Не цитируйте полностью предыдущее сообщение.
2. Внимательно читайте ответы:

Для понимания "что есть что" хорошо бы изучить её документацию.

3. Ждём запрошенные действия.

[MaoTheDevil]

После проверки в браузер автоматически установились различные расширения от Яндекса, отчёт я прикрепил.

Я почитал, даже про разные виды вирусов, но так и не понял, разве это не руткит?

Прошу прощения, случайно прикрепил два, верный с буквой S

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[MaoTheDevil]

Вот всё, что вы попросили.

[Sandor]

Surfing Protection - по-прежнему в списке установленных программ.
Если стандартно не можете удалить, удалите принудительно через Geek Uninstaller.
Даже если ставили самостоятельно, удалите на время лечения хотя бы.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\...\MountPoints2: {3c58ee3d-090a-11ea-ac90-94de80d82ce4} - "F:\HiSuiteDownLoader.exe" 
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  Task: {77B52A2D-3B35-40F5-B6B7-320B412410B2} - \GameNet -> No File <==== ATTENTION
  Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  Toolbar: HKU\S-1-5-21-3410797409-3977228375-2781727664-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=843036"
  C:\Users\Захар\AppData\Local\Google\Chrome\User Data\Default\Extensions\beliehdniadoecbonbhlcgbdldccfigp
  C:\Users\Захар\AppData\Local\Google\Chrome\User Data\Default\Extensions\bobeehhgpnppdghmfffdjadmbjbaeeod
  C:\Users\Захар\AppData\Local\Google\Chrome\User Data\Default\Extensions\nbifdkmdojgmpmopdebnjcobekgdoncn
  CHR HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci]
  CHR HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bobeehhgpnppdghmfffdjadmbjbaeeod]
  CHR HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif]
  CHR HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd]
  CHR HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj]
  CHR HKU\S-1-5-21-3410797409-3977228375-2781727664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn]
  CHR HKLM-x32\...\Chrome\Extension: [aeembeejekghkopiabadonpmfpigojok]
  CHR HKLM-x32\...\Chrome\Extension: [beliehdniadoecbonbhlcgbdldccfigp]
  CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn]
  CHR HKLM-x32\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg]
  CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [bobeehhgpnppdghmfffdjadmbjbaeeod]
  CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [glcimepnljoholdmjchkloafkggfoijh]
  CHR HKLM-x32\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem]
  CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [kkebkofjplobmeenbgpjneghakhlioid]
  CHR HKLM-x32\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak]
  CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn]
  CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [plfhlkbdlpfbkoclpfhbmcppophemdbm]
  CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji]
  C:\Users\Захар\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke
  2020-01-15 17:08 - 2016-02-21 16:07 - 000000000 ____D C:\Users\Захар\AppData\Roaming\IObit
  2020-01-15 17:01 - 2016-02-21 16:07 - 000000000 ____D C:\Program Files (x86)\IObit
  2020-01-10 02:19 - 2016-02-21 16:08 - 000000000 ____D C:\Users\Захар\AppData\LocalLow\IObit
  2020-01-10 02:19 - 2016-02-21 16:07 - 000000000 ____D C:\ProgramData\IObit
  2020-01-07 14:06 - 2016-02-21 16:08 - 000000000 ____D C:\ProgramData\ProductData
  ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> No File
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> No File
  ContextMenuHandlers1: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> No File
  ContextMenuHandlers4: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> No File
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[MaoTheDevil]

Простите, что так долго. Совершил просто чистую переустановку WIndows, однако почти всё осталось, включая "Wow64Transition (1504) перехвачена, метод CodeHijack". По идее, это же должно было помочь?

[Sandor]

перехвачена, метод CodeHijack

Это не ошибка.