Проверил компьютер утилитой avz, вот результат:
Сканирование запущено в 14.09.2008 14:03:12
Загружена база: 114124 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 25.06.2007 11:37
Загружены микропрограммы эвристики: 370
Загружены цифровые подписи системных файлов: 60381
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ADA0->7C883FEC
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C883F9C
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C883FB0
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C883FD8
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->7C883FC4
Детектирована модификация IAT: LoadLibraryA - 7C883F9C<>7C801D77
Детектирована модификация IAT: GetProcAddress - 7C883FEC<>7C80ADA0
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:RegisterRawInputDevices (546) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E3BCBD4->7E3F0010
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0846E0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055B6E0
KiST = 80503940 (284)
Функция NtClose (19) перехвачена (805BAF64->B6A76370), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtConnectPort (1F) перехвачена (805A30A4->B6A74420), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateKey (29) перехвачена (80622104->B6A677A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateProcess (2F) перехвачена (805CFAD4->B6A760A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateProcessEx (30) перехвачена (805CFA1E->B6A76210), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateSection (32) перехвачена (805A9E9E->B6A76E70), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateSymbolicLinkObject (34) перехвачена (805C3698->B6A76940), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateThread (35) перехвачена (805CF8BC->B6A777B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtDeleteKey (3F) перехвачена (80622594->B6A678A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtDeleteValueKey (41) перехвачена (80622764->B6A67920), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtDuplicateObject (44) перехвачена (805BC940->B6A76510), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtEnumerateKey (47) перехвачена (80622944->B6A679B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtEnumerateValueKey (49) перехвачена (80622BAE->B6A67A60), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtFlushKey (4F) перехвачена (80622E18->B6A67B10), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtInitializeRegistry (5C) перехвачена (806200DC->B6A67B90), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadDriver (61) перехвачена (80582EAE->B6A73FD0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadKey (62) перехвачена (80623E34->B6A68590), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadKey2 (63) перехвачена (80623A7E->B6A67BB0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtNotifyChangeKey (6F) перехвачена (80623DFE->B6A67C80), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenFile (74) перехвачена (80578FD0->BA597020), перехватчик C:\WINDOWS\system32\Drivers\kl1.sys
Функция NtOpenKey (77) перехвачена (8062349A->B6A67D60), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenProcess (7A) перехвачена (805C9CFE->B6A75E90), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenSection (7D) перехвачена (805A8EC2->B6A76CA0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryKey (A0) перехвачена (806237BE->B6A67E30), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryMultipleValueKey (A1) перехвачена (806212D2->B6A67EE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtQuerySystemInformation (AD) перехвачена (8060F89C->B6A77460), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryValueKey (B1) перехвачена (806201BE->B6A67F90), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtReplaceKey (C1) перехвачена (80623CE4->B6A68040), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtRequestWaitReplyPort (C8) перехвачена (805A184A->B6A74A00), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtRestoreKey (CC) перехвачена (8062050C->B6A680D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtResumeThread (CE) перехвачена (805D31FE->B6A77760), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSaveKey (CF) перехвачена (806205AE->B6A682D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetContextThread (D5) перехвачена (805CFFF6->B6A77AE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetInformationFile (E0) перехвачена (80579E38->B6A780A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetInformationKey (E2) перехвачена (80620E9E->B6A68360), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetSecurityObject (ED) перехвачена (805BE9AA->B6A72C20), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetSystemInformation (F0) перехвачена (8060DBEA->B6A76B20), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetValueKey (F7) перехвачена (806207C4->B6A68400), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSuspendThread (FE) перехвачена (805D3138->B6A77710), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSystemDebugControl (FF) перехвачена (80615F64->B6A742E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtTerminateProcess (101) перехвачена (805D1226->B6A77300), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtUnloadKey (107) перехвачена (80620A8C->B6A68550), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtWriteVirtualMemory (115) перехвачена (805B2E0C->B6A763D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Проверено функций: 284, перехвачено: 43, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 28
Количество загруженных модулей: 406
Проверка памяти завершена
3. Сканирование дисков
C:\Program Files\Fraps\fraps.exe >>> подозрение на Backdoor.Win32.Rbot.bwa ( 00A649CA 00000000 002DCCEF 00247825 765952)
D:\Рома\Доклады\Карбоновые кислоты\4276123.zip Invalid file - not a PKZip file
D:\Рома\Разное\Пресеты\Photoshop\Van der Lee Halftone 1.05d for Adobe Photoshop\ht105d.exe Invalid file - not a PKZip file
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\fssync.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\fssync.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\scrchpg.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\scrchpg.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 124642, извлечено из архивов: 98338, найдено вредоносных программ 0
Сканирование завершено в 14.09.2008 14:12:19
Сканирование длилось 00:09:07
Лично я ничего подозрительного не нашел, а вы?