Trojan "стелс"

[Igor Russ]

Нужна полмощь!Похоже у меня сидит троян.Была использована программа Rootkit Revealer которая обнаруживает ключи реестра и
файлы скрывающие свое присутствие (перехват API).Вот часть того что она обнаружила:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed   31.07.2005 23:10   4 bytes   Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesSuccessful   31.07.2005 23:10   4 bytes   Data mismatch between Windows API and raw hive data.
Проверка антивирусами ничего не дает.По очериди были использованы Каспер, Dr.Web и !Avast.Все с последними версиями и самыми
свежими базами, уровень сканирования максимальный.Сейчас стоит !Avast.Spybot-search тоже ничего не обнаруживает.
Пробовал удалять обнаруженные ключи но через некоторое время они появляются снова.Кроме ключей два раза обнаруживались
Файлы в директории C:\WINDOWS\system32\CatRoot2,удалил с большим трудом.mstIsUsedBy показал что они используются процесом
0x0460 svchost.exe.Операционная система Win XP SP2 из програм еще имеются Outpost,RegWorcs.В дополнение к анамезу-
при запуске некоторых програм вылазит модуль подключения к интернету,В сеть пытался вылезти HDDlife которому там
вроде бы делать нечего.Попытка была пресечена Outpost.Вопрос:1)если произошло проникновение чужого dll в процес то как можно
избавиться от захватчика и второе-как узнать какому файлу (процесу) принадлежат конкретные ключи или параметры реестра?
Насколько я понимаю где-то находится файл(лы) каторый все это генерит.Надеюсь на помощь.

[XSunX]

С первым постом, Igor Russ.  
Ты уверен, что это троян? C:\WINDOWS\system32\CatRoot2 - это системная директория, вроде бы...

при запуске некоторых програм вылазит модуль подключения к интернету

Это вовсе не говорит о наличии трояна. Вполне возможно, что программы пытаются выйти по своим легальным делам - за обновлением, например... Или хотят, чтобы ты их зарегистрировал на сайте производителя...

[Igor Russ]

C:\WINDOWS\system32\CatRoot2  в ней был файл с расширением .tmp
который был определен Rootkit Revealer как скрывающий свои функции(присутствие).Кроме того вчера у меня накрылись оба почтовых
ящика.Не пускают, говорят недействителен пароль.Один был на mail
второй на rambler.

[Guest]

Вдогонку.После удаления файла tmp провел чистку реестра програмой RegSupreme ,был обнаружен следующий ключ с пометкой
"отсутствует файл" C:\PROGRA~1\TROJN~\Trshlex.dll

[Guest]

поправка C:\PROGRA~1\TROJN~\Trshlex.dll воможно относился к TrojanRemover

[XSunX]

Получается, что тревога ложная?  
Ещё для профилактики можно чем-нибудь трафик посмотреть.
http://wiki.compowiki.info/Skorost'Interneta/Spidometry
Мне больше всего OnLineEye нравится.

[Guest]

Igor Russ,
привет могу помочь токо ето делать нужно в ручную  ася  
304385330  когда зайдьош в асю назвись хто и зачем а то я непойму и скажу те нехпрошие слова  ))

[abram4]

Уважаемый Guest, представь себе сколько людей были бы тебе благодарны если бы ты смог немного напрячься и написать тут в нескольких строчках о найденном тобой решении проблемы. Уж если ты можешь и хочешь помочь одному, то помочь многим это просто большое доброе дело.

[-=\SeaWolF/=-]

интересно... гость.... ася...  но зачастую через АСЮ имея троян и зная что за торян... можно получить желаемое... с удаленного компа