Руткит или не руткит?

[xx1]

боролся у соседки с бякою - хакир пол-инета в hosts перенаправил на китайский сайт и на десктопе вывесил объяву со своей аськой... вымагал аж 250 руб...

Win32.Ransom короче...

 

в результате удалось все почистить в avz (нашлось там и парочка троян-даунлоадеров до кучи, на которых нод не реагировал никак), осталось вот что:

были там 2 неактивных аккаунта (скажем - user и _user_, их давно удалили, девушка под админом сидит), так попытки открыть их папки в эксплорере завершаются неудачей - нет прав, также эксплорер говорит что папка пустая, avz же благополучно в обоих папках все сканирует...

при попытке смены в эксплорере атрибута read-only на этих папках - тоже отказ.

avz показывает перехват вызовов user32.dll, сравнение списка файлов через Ревизор avz с отключенным противодействием и потом включенным - ничего не дал, AVP Removal Tool при установке ругается на перемещение user32.dll и занятие ее места shell32...

проверка rescue disk'ом не дала ничего...

 

avz_log_20081016_2.txt

hijackthis_log.txt

 

(лог HiJackThis старее - я там вычистил уже половину, пощадил пожалуй всякие тулбары - жалко девушку лишать привычных ей точек входа в интернет - т.е. самого интернета в ее понимании...)

[Falcon]

Нужны нормальные логи по правилам, а не только текстовая часть протоколов.