Добрый день!

Заметил, что с моего компьютера идет странный трафик по UDP.
В результате проверки утилитой avz обнаружил, что практически все функции из netapi32.dll перехвачены.
Вот часть результатов сканирования:

Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:DefDlgProcA (1657) перехвачена, метод ProcAddressHijack.GetProcAddress ->75885F5A->77358954
Функция user32.dll:DefDlgProcW (1658) перехвачена, метод ProcAddressHijack.GetProcAddress ->75885F75->77343F44
...
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->752A24B5->7508C334
Функция advapi32.dll:I_QueryTagInformation (1361) перехвачена, метод ProcAddressHijack.GetProcAddress ->752A2655->76D172D8
...
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:DavAddConnection (1) перехвачена, метод ProcAddressHijack.GetProcAddress ->73E73B10->73E429DD
Функция netapi32.dll:DavDeleteConnection (2) перехвачена, метод ProcAddressHijack.GetProcAddress ->73E73B29->73E4181B

Всего перехвачено около 280 функций.
Будьте любезны, помогите разобраться кто бы это мог все перехватывать.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)


F2 - REG:system.ini: UserInit=userinit.exe



Подозрительного вроде ничего не видно. Системы обновлений windows или другого ПО отключены ?


• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://www.malwarebytes.org/mbam/database/mbam-rules.exe).

Я сделала следуюшие шаги, но меня продолжает мучить вопрос, кто же перехватывает вызовы функций.
Хочется выяснить цель этого "некто".


пофиксить эти строки в HiJackThis - выполнил

вот лог от Malwarebytes Anti-Malware:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Версия базы данных: 4239

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

26.06.2010 1:01:24
mbam-log-2010-06-26 (01-01-24).txt

Тип сканирования: Полное сканирование (C:\|)
Просканированные объекты: 242240
Времени прошло: 29 минут, 20 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 0
Зараженные папки: 0
Зараженные файлы: 0

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
(Вредоносных программ не обнаружено)


Спасибо.

Давайте еще сделайте логи

•Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe) или отсюда (http://virusnet.info/soft/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.


И отключите Службу времени Windows(синхронизацию с сервером времени ...).. часто она начинает долбать трафик.