Подозреваю троян

[fuwaneko]

Сегодня утром при проверке avz обнаружил странные перехватчики:

Код:

Функция user32.dll:keybd_event (727) перехвачена, метод APICodeHijack.JmpTo[10001546]
Функция user32.dll:mouse_event (728) перехвачена, метод APICodeHijack.JmpTo[100016C6]

Подозреваю троян, я прав?

[drongo]

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Выполните скрипт @avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\resources\Logon.exe','');
 QuarantineFile('J:\work\sdaemon\Release\runner.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
 QuarantineFile('C:\WINDOWS\system32\guard32.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
Закачайте карантин по ссылке http://virusinfo.info/upload_virus.php?tid=31004 (Приложение 3 правил).

[fuwaneko]

Карантин закачал. На всякий случай, скажу сразу:
J:\work\sdaemon\Release\runner.exe — моя собственная программа, работает с сервисами и запускает процессы, подозревать в чем-то плохом ее не стоит
C:\WINDOWS\system32\guard32.dll — это, на сколько я знаю, Comodo Firewall 3.0 Pro, которым я пользуюсь
И еще, LogonScreen у меня не «родной» XP, заменен на другой.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 21
• В ходе лечения вредоносные программы в карантинах не обнаружены