Помогите сбить перехватчиков c user32.dll, advapi32.dll, netapi.dll

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Помогите сбить перехватчиков c user32.dll, advapi32.dll, netapi.dll

Добрый день!

Заметил, что с моего компьютера идет странный трафик по UDP.
В результате проверки утилитой avz обнаружил, что практически все функции из netapi32.dll перехвачены.
Вот часть результатов сканирования:

Код:

 Анализ user32.dll, таблица экспорта найдена в секции .text

Функция user32.dll:DefDlgProcA (1657) перехвачена, метод ProcAddressHijack.GetProcAddress ->75885F5A->77358954

Функция user32.dll:DefDlgProcW (1658) перехвачена, метод ProcAddressHijack.GetProcAddress ->75885F75->77343F44

...

 Анализ advapi32.dll, таблица экспорта найдена в секции .text

Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->752A24B5->7508C334

Функция advapi32.dll:I_QueryTagInformation (1361) перехвачена, метод ProcAddressHijack.GetProcAddress ->752A2655->76D172D8

 ...

  Анализ netapi32.dll, таблица экспорта найдена в секции .text 

Функция netapi32.dll:DavAddConnection (1) перехвачена, метод ProcAddressHijack.GetProcAddress ->73E73B10->73E429DD

Функция netapi32.dll:DavDeleteConnection (2) перехвачена, метод ProcAddressHijack.GetProcAddress ->73E73B29->73E4181B

Всего перехвачено около 280 функций.
Будьте любезны, помогите разобраться кто бы это мог все перехватывать.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:



F2 - REG:system.ini: UserInit=userinit.exe

Подозрительного вроде ничего не видно. Системы обновлений windows или другого ПО отключены ?

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Я сделала следуюшие шаги, но меня продолжает мучить вопрос, кто же перехватывает вызовы функций.
Хочется выяснить цель этого "некто".

пофиксить эти строки в HiJackThis - выполнил

вот лог от Malwarebytes Anti-Malware:

Код:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org



Версия базы данных: 4239



Windows 6.1.7600

Internet Explorer 8.0.7600.16385



26.06.2010 1:01:24

mbam-log-2010-06-26 (01-01-24).txt



Тип сканирования: Полное сканирование (C:\|)

Просканированные объекты: 242240

Времени прошло: 29 минут, 20 секунд



Зараженные процессы в памяти: 0

Зараженные модули в памяти: 0

Зараженные ключи в реестре: 0

Зараженные параметры в реестре: 0

Объекты реестра заражены: 0

Зараженные папки: 0

Зараженные файлы: 0



Зараженные процессы в памяти:

(Вредоносных программ не обнаружено)



Зараженные модули в памяти:

(Вредоносных программ не обнаружено)



Зараженные ключи в реестре:

(Вредоносных программ не обнаружено)



Зараженные параметры в реестре:

(Вредоносных программ не обнаружено)



Объекты реестра заражены:

(Вредоносных программ не обнаружено)



Зараженные папки:

(Вредоносных программ не обнаружено)



Зараженные файлы:

(Вредоносных программ не обнаружено)

Спасибо.

Давайте еще сделайте логи

•Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

И отключите Службу времени Windows(синхронизацию с сервером времени ...).. часто она начинает долбать трафик.