Переодический рестарт ПК и ProcAddressHijack

[Siller]

Добрый день.

Началось все с того, что ПК в последнее время стал переодически перегружался с таймером 1 мин. Из-за ошибки:
*********
Ошибка приложения svchost.exe, версия 5.1.2600.2180, модуль imon.dll, версия 2.51.20.0, адрес 0x0000b59b.
*********

Проверился этой замечательной программой... Но вновь и вновь выходит сообщение:

*********
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C883FC4
Перехватчик kernel32.dlloadLibraryA (57 нейтрализован
>>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
********

Как вылечить этот kernel32.dll - подскажите?

В логе подробнее:

[PavelA]

Добрый день.

Началось все с того, что ПК в последнее время стал переодически перегружался с таймером 1 мин. Из-за ошибки:
*********
Ошибка приложения svchost.exe, версия 5.1.2600.2180, модуль imon.dll, версия 2.51.20.0, адрес 0x0000b59b.
*********

Как вылечить этот kernel32.dll - подскажите?

Про svchost.exe читайте в темах ниже. Вкратце нужны заплатки от Microsoft.
Лечить kernel32.dll, к радости , не нужно. Эти прививки скорее всего от антивируса Nod32 или АнтиХакера Касперского.

В AVZ выполнить скрипт

Код:

begin
SearchRootkit(true, true);
 QuarantineFile('\SystemRoot\System32\Drivers\axsbzyxd.SYS','');
RebootWindows(true);
end.

После перезагрузки прислать карантин по Правилам.

Есть немножко мусора. Можно профиксить в HijackThis:

Код:

O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe (file missing)

Если знаете что это, то оставьте. В противном случае профиксите.

Код:

O1 - Hosts: 83.142.163.178 bf2web.gamespy.com

[Rene-gad]

Ошибка приложения svchost.exe, версия 5.1.2600.2180, модуль imon.dll, версия 2.51.20.0, адрес 0x0000b59b.

Какую версию НОД пользуете?
Кстати, JavaRE неплохо было бы обновить.

[Siller]

PavelA - благодарствую за помощь!

Выполнил скрипт. Вот лог выполнения:

avz_log.txt

На счет заплаток - недавно ставил автоинсталлер 145 заплаток с датой обновления, по-моему вплоть до 15 марта. Но Microsoft Baseline Security Analyzer 2.0.1 все еще выдает несколько недостающих заплаток...

Да, действительно мусор есть - удаляю.

Rene-gad

- сечас обновил НОД до 2.7.25
- А какая щас последняя Джава? ...и разве она влияет на безопасность?

[PavelA]

Надо попробовать выполнить скрипт в Safe Mode ( F8 ).
Просто похоже в карантин ничего не попало.

[Siller]

Надо попробовать выполнить скрипт в Safe Mode ( F8 ).
Просто похоже в карантин ничего не попало.

1. Выполнил скрипт в SafeMode - результат тотже. Вообще откуда вы взяли этот файл? Просто я проверил и его нет в папке Windows.

2. Намекните как с помощью HijackThis удалить указанный выше мусор?

3. Сейчас вообще веселуха: постоянно запускается диск "с". Как будто кто-то выполняет команды: c:\... а потом начал то появляться то исчезать значек divx-а в трее, как при проигровании какого-либо видео... что за черт?

[pig]

2. Намекните как с помощью HijackThis удалить указанный выше мусор?

Читайте ответ у меня в подписи.

3. Сейчас вообще веселуха: постоянно запускается диск "с". Как будто кто-то выполняет команды: c:\... а потом начал то появляться то исчезать значек divx-а в трее, как при проигровании какого-либо видео... что за черт?

Я бы повторил логи в момент этой активности.

[Siller]

pig - благодарю - уже читаю...

А на счет переодических рестартов - я тут в нете наткнулся, что это может быть из-за открытого 445 порта... через который можно переполнить RPC буфер...что и приводит к 30секундному рестурту компа...что скажите по этому поводу? Вообще есть где-то нормальный список нужных и не нужных портов? ...в яндексе конкретного пока ничего не нашел

[PavelA]

z-oleg.com у автора AVZ
Там есть документация по Вашим вопросам.