Backdoor и его последствия

Вложений: 3

Добрый день.
Несколько дней назад Outpost Firewall Pro обнаружил в файле acrord32.exe вирус Backdoor. Принтскрин к сожалению не сохранил. Вирус был помещен Outpost в карантин и удален.
До этого наблюдались многочисленные попытки сканирования порта 1123.
После этого я заблокировал все ай-пи с которых шло сканирование в тот день, удалил acrord32.exe и программу Adobe Reader.
Затем скачал несколько программ-антивирусов и программ антишпионов. Проверил ими компьютер.
[FONT=Verdana]Некоторые что-то нашли, все подозрительное удалил.

[/FONT]Однако теперь, при стандартном сканировании AVZ начали выскакивать красные строчки, которых до этого не было.
[SPOILER]
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
[COLOR=#ff0000]Функция kernel32.dll:CreateProcessInternalW (101) перехвачена, метод APICodeHijack.JmpTo[7C8197B0][/COLOR]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
[COLOR=#ff0000]Функция ntdll.dll:NtCreateFile (123) перехвачена, метод APICodeHijack.JmpTo[7C90D0AE]
Функция ntdll.dll:NtDeleteValueKey (153) перехвачена, метод APICodeHijack.JmpTo[7C90D26E]
Функция ntdll.dll:NtOpenFile (204) перехвачена, метод APICodeHijack.JmpTo[7C90D59E]
Функция ntdll.dll:NtOpenProcess (211) перехвачена, метод APICodeHijack.JmpTo[7C90D5FE]
Функция ntdll.dll:NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[7C90DBAE]
Функция ntdll.dll:NtSetInformationFile (315) перехвачена, метод APICodeHijack.JmpTo[7C90DC5E]
Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод APICodeHijack.JmpTo[7C90DDCE]
Функция ntdll.dll:ZwCreateFile (934) перехвачена, метод APICodeHijack.JmpTo[7C90D0AE]
Функция ntdll.dll:ZwDeleteValueKey (963) перехвачена, метод APICodeHijack.JmpTo[7C90D26E]
Функция ntdll.dll:ZwOpenFile (1014) перехвачена, метод APICodeHijack.JmpTo[7C90D59E]
Функция ntdll.dll:ZwOpenProcess (1021) перехвачена, метод APICodeHijack.JmpTo[7C90D5FE]
Функция ntdll.dll:ZwSetContextThread (1114) перехвачена, метод APICodeHijack.JmpTo[7C90DBAE]
Функция ntdll.dll:ZwSetInformationFile (1125) перехвачена, метод APICodeHijack.JmpTo[7C90DC5E]
Функция ntdll.dll:ZwSetValueKey (1148) перехвачена, метод APICodeHijack.JmpTo[7C90DDCE][/COLOR]
Анализ user32.dll, таблица экспорта найдена в секции .text
[COLOR=#ff0000]Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[100C32D6]
Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[100C3302]
Функция user32.dll:PostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[7E37AAFD]
Функция user32.dll:PostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[7E368CCB]
Функция user32.dll:SendInput (571) перехвачена, метод APICodeHijack.JmpTo[7E37F140]
Функция user32.dll:SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[7E37F3C2]
Функция user32.dll:SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[7E37929A]
Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[100C3252]
Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[100C327E]
Функция user32.dll:keybd_event (727) перехвачена, метод APICodeHijack.JmpTo[7E3B6783]
Функция user32.dll:mouse_event (728) перехвачена, метод APICodeHijack.JmpTo[7E3B673F][/COLOR]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
[COLOR=#ff0000]Функция advapi32.dll:CreateServiceA (102) перехвачена, метод APICodeHijack.JmpTo[77E27211]
Функция advapi32.dll:CreateServiceW (103) перехвачена, метод APICodeHijack.JmpTo[77E273A9][/COLOR]
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
[COLOR=#ff0000]Функция ws2_32.dll:WSAConnect (33) перехвачена, метод APICodeHijack.JmpTo[71AA0C81]
Функция ws2_32.dll:WSALookupServiceBeginW (63) перехвачена, метод APICodeHijack.JmpTo[71A935EF]
Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo[71A94A07]
Функция ws2_32.dll:listen (13) перехвачена, метод APICodeHijack.JmpTo[71A98CD3][/COLOR]
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
[COLOR=#ff0000]Функция rasapi32.dll:RasDialW (22) перехвачена, метод APICodeHijack.JmpTo[76EE68DB][/COLOR]
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
[/SPOILER]
[COLOR=#ff0000][/COLOR]Непонятно что это и что с этим делать?
Мой компьютер заражен?
Логи сканирования прикреплены.

Уважаемый(ая) [B]vo2013[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Это нормальные записи

Логи в порядке

Спасибо за пояснение.