Подозрение на кейлоггер в системных бибилиотеках RPCLTC1.DLL WINSPOOL.DRV lz32.dll riched32.dll

[Wasapl]

Добрый день!

У меня есть два старых сервера работающих на WinNT (4.0.1381, Service Pack 6). Пол года назад я стал замечать , что они перезагружаются и появляются странные файлы в корне системного диска. Опытным путем я обнаружил, что кто-то (или что-то) смог подобрать пароли администратора к этим серверам и, видимо, использует их как боты. Тогда я проблему решил удалением этих "странных" файлов и установкой более сложных паролей.
Теперь я решил проверить системы с помощью AVZ.
Обычное сканирование с помощью кнопки "старт" выдало пару ошибок (см. картинки http://ljplus.ru/img4/w/a/wasapl/avz-on-winnt1.gif http://ljplus.ru/img4/w/a/wasapl/avz-on-winnt2.gif) (на обоих серверах), сканирование успешно завершилось и в логе я прочел следующее (на обоих серверах)

Код:

5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\WINNT\system32\LZ32.dll --> Suspicion for Keylogger or Trojan DLL
C:\WINNT\system32\LZ32.dll>>> Behavioural analysis 
 Behaviour typical for keyloggers not detected
C:\WINNT\System32\winspool.drv --> Suspicion for Keylogger or Trojan DLL
C:\WINNT\System32\winspool.drv>>> Behavioural analysis 
 Behaviour typical for keyloggers not detected
C:\WINNT\System32\rpcltc1.dll --> Suspicion for Keylogger or Trojan DLL
C:\WINNT\System32\rpcltc1.dll>>> Behavioural analysis 
 Behaviour typical for keyloggers not detected
C:\WINNT\System32\RICHED32.DLL --> Suspicion for Keylogger or Trojan DLL
C:\WINNT\System32\RICHED32.DLL>>> Behavioural analysis 
 Behaviour typical for keyloggers not detected

Проверив системы с помощью cureIt я обнаружил пять-десять (немного отличающиеся на серверах, но, логи, к сожалению, не сохранил) троянов и ботов. Однако, в список удаленных файлов не попали библиотеки, подозрительные для AVZ. Скопировав обычным far manager'ом эти файлы я проверил с помощью сервиса virustotal.com - ни один из антивирусов не детектирует опасность.

Теперь решил написать в "помогите!" и заново собрал все логи (для одного сервера).

Стоит ли мне опасаться этих подозрительных библиотек, или это "ложное" срабатывание эвристики AVZ?

[kps]

Можете прислать нам эти файлы в архиве с паролем virus сюда: http://virusinfo.info/upload_virus.php?tid=26700
Мы скажем вердикт.

[Wasapl]

Файл сохранён как 080718_091955_winnt-keylogger-susp_4880a68b1c294.zip
Размер файла 155412
MD5 0df9e3189cc4917da4a85574fad8a7c6

[wise-wistful]

lz32.dll, riched32.dll, RPCLTC1.DLL, WINSPOOL.DRV - Вредоносный код в файлах не обнаружен.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения вредоносные программы в карантинах не обнаружены