Подозрение на троян

Вообщем с недавних ор у меня начал глючить буфер обмена. После входа в винду всё пучком, но через некоторое время и (или) некоторых манипилация (может вход в интернет и др.) буфер обмена работать перестовал. Пункт меню "Копировать", а вот вставлять не получалось. Буфер был пуст.

Помимо этого ущёл логин и пасс на ftp моего сайта, после чего он был взломан, и в низу страниц добавлена строка подгрузки фрейма с вирусом.

Существует подозрение что троян копирует буфер и отсылает в сеть, но иногда вываливаеться, ломая механизм буфера обмена.

В логах ничего плохого не вижу. Базы AVZ надо обновить.

Сделать лог из [url]http://virusinfo.info/showthread.php?t=10387[/url] в Safe Mode.

Поиск и нейтрализации RootKit UserMode и KernelMode (в нормальном режиме)

[QUOTE]Выполняется стандартный скрипт: 1. Поиск и нейтрализации RootKit UserMode и KernelMode
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->7C882FEC
Перехватчик kernel32.dll:GetProcAddress (408) нейтрализован
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C882F9C
Перехватчик kernel32.dll:LoadLibraryA (578) нейтрализован
>>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C882FB0
Перехватчик kernel32.dll:LoadLibraryExA (579) нейтрализован
>>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C882FD8
Перехватчик kernel32.dll:LoadLibraryExW (580) нейтрализован
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ACD3->7C882FC4
Перехватчик kernel32.dll:LoadLibraryW (581) нейтрализован
Детектирована модификация IAT: LoadLibraryA - 7C882F9C<>7C801D77
Адрес в IAT восстановлен: LoadLibraryA
Детектирована модификация IAT: GetProcAddress - 7C882FEC<>7C80AC28
Адрес в IAT восстановлен: GetProcAddress
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:RegisterRawInputDevices (546) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D8C9AA->7D1E0080
Перехватчик user32.dll:RegisterRawInputDevices (546) нейтрализован
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 86536108 (297)
>>> Внимание, таблица KiST перемещена ! (804E2D20(284)->86536108(297))
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен[/QUOTE]

Сейчас сделаю в SM.

Не торопись. Должно получиться немного другое. читай внимательней.

Вот аожалуйста. Всё в SM.

Не вижу ничего плохого.

Мавр сделал своё дело и ушёл?

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Punto Switcher какой версии? Слежение за буфером обмена включено? Есть подозрение, что это он ломает буфер обмена, либо в одиночку, либо с кем-нибудь таким же на пару.

PS 2.9

Если стоит птица "Следить за буфером обмена", попробуйте убрать.

У меня буфер обмена чётко замерзает при таких действиях:
- в Excel запускаю макрос, экспортирующий лист в текстовый файл специального формата. Лист большой, макрос работает секунд тридцать
- тем временем открываю два других текстовых файла в Блокноте
- выделяю кусок одного файла, копирую в буфер
- в другой Блокнот ничего не вставляется, пока не отработает макрос в Excel
Windows 2000 Server SP4 на P-IV, Excel 2003, PS 2.9 (слежение за буфером выключено)

Да пока вроде не вываливаеться. Всем спасибо.