Перезагрузка компа + Вопросы по анализу логов HijackThis и avz
В борьбе с компьютерной нечистью неопытен. За “детские” вопросы и действия прошу сильно ногами не пинать! Все началось с того, что 3-4 недели назад Agnitum Outpost (старенькая версия) при загрузке компа (после введения пароля пользователя), а также каждые 1-2 часа загружает процессор до 50-60% примерно на 1 минуту. Решил проверить систему. Прошерстил папки Run в реестре и наткнулся на ntos.exe. Из папки \system32\ удаляться не захотел, пришлось искать помощи в Инете. Нашел такое: изменил в реестре(путь уже не помню, что-то связанное с userinit.exe) ntos.exe на что-то типа ntos.exe_. После этого в безопасном режиме удалил ntos.exe из папки \system32\. С помощью avz удалил остатки из реестра. Затем с помощью HijackThis пофиксил capesnp.dll(Trojan/Backdoor), а потом, вроде еще и вручную его удалил из папки \system32\. И с помощью Ad-Aware SE Personal добил еще каких-то троянов типа Backdoor.Luker, Backdoor.Daodan и Backdoor.Delf, которые лезли через UDP-порты(смотрел в avz). По крайней мере после этого их больше не наблюдалось. Но через 1-2 дня после удаления capesnp.dll комп частенько в течении 1-2 минут после полной загрузки снова перегружался при запуске какой-нибудь программы (например, Проводника), а потом все, как правило, становится нормально. Возможно, что-то криво удалил.
Это было небольшое описание того, что я делал в ближайшие пару недель. А теперь несколько вопросов. 1) Посмотрите, пожалуйста, логи HijackThis и avz. Осталось ли там что-нибудь нездоровое? 2) Могло ли кривое удаление ntos.exe и capesnp.dll повлиять на начавшуюся перезагрузку компа в начале его работы(через примерно 1-2 минуту после полной загрузки компа)? 3) По полезной ссылке HijackThis analyzer на главной странице этого сайта решил проверить лог HijackThis с capesnp.dll. Вот вырезка из проверки – вроде как ничего опасного? Хотя в Инете много ссылок, что это Trojan/Backdoor. Непонятно. O2 - BHO: (no name) - {61A858D1-3A7C-42A7-A474-424B4849B459} - C:\WINXP\system32\capesnp.dll и далее написано Fuzzy Algorithmcheck (3.91 / 5.00), Safe
4) Что это значит? Значит ли это, что у меня уже сидит троян/Backdoor или просто сканируются порты? (В случае а) – в меню Сервис -> Открытые порты TCP\UDP -> вкладка “Порты UDP” строки были красными, а в случае б) - вкладка “Порты TCP” строки были черными) а)Из лога avz: 6. Ïîèñê îòêðûòûõ ; ïîðòîâ TCP/UDP, èñïîëüçó&# 229;ìûõ âðåäîíîñ&# 237;ûìè ïðîãðàìì&# 224;ìè Â áàçå 317 îïèñàíèé ; ïîðòîâ Íà äàííîì ÏÊ îòêðûòî 9 TCP ïîðòîâ è 10 UDP ïîðòîâ >> Îáðàòèòå ; âíèìàíèå ;: Ïîðò 1116 UDP - Backdoor.Lurker (c:\winxp\system32\svchost.exe - îïîçíàí êàê áåçîïàñí&# 251;é ïðîöåññ Íà çàìåòêó: Çàïîäîçð&# 229;ííûå ôàéëû ÍÅ ñëåäóåò óäàëÿòü, èõ ñëåäóåò ïðèñëàòü ; äëÿ àíàëèçà (ïîäðîáíî& #241;òè â FAQ è ñïðàâêå б) Из лога avz_ports.htm: Порт -- Статус -- Remote Host -- Remote Port -- Приложение -- Примечания 2745 -- ESTABLISHED -- 81.176.238.9 -- 80 -- [2316] c:\program files\maxthon\maxthon.exe-- I-Worm.Bagle.i backdoor
И вообще, что значит в меню Сервис -> Открытые порты TCP\UDP часто появляющиеся сообщения о Trojan/Backdoor в столбце “Категория”? 5) Что значит выражение “Прямое чтение”? Опасно ли это? Лог-файл virusinfo_syscure.htm: Прямое чтение E:\System Volume Information\_restore{BFFBFFA9-8AD4-4FFF-BFF1-4A78BF2AAEDF}\RP117\A0117475.dll Прямое чтение E:\System Volume Information\_restore{BFFBFFA9-8AD4-4FFF-BFF1-4A78BF2AAEDF}\RP117\A0117476.exe Прямое чтение E:\System Volume Information\_restore{BFFBFFA9-8AD4-4FFF-BFF1-4A78BF2AAEDF}\RP117\A0117477.sys и пр. Просто в E:\System Volume Information\_restore{..}\RP..\ у меня DrWeb и Ad-Aware SE Personal периодически находят троянов. Последний троян – A0159350.exe – Program.RemoteAdmin нашел DrWeb как раз перед тем, как сделал логи HijackThis и avz. 6) Лог HijackThis. Опасно ли это? O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
Примечание. Лог-файл virusinfo_syscure.htm: E:\Есть на дисках\Progs\SoundForge\SonicFoundry.zip/{ZIP}/ap4kg.exe >>> подозрение на Trojan-Downloader.Win32.Agent.aqr И DrWeb, и Ad-Aware SE Personal молчали про этот архив, но на всякий случай удалил.
Файл klavaspy.zip – исходник проги на CBuilder. Искал различную инфу по CBuilder, заодно и эту скачал, вроде, с www.ishodniki.ru. Это не опасно.
Буду благодарен, если будут ответы, хотя бы на ряд моих вопросов!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1 в логах чисто ... ( нужно только отключить восстановление системы на диске Е )
2 нет
3 capesnp.dll - враг ...
4 это значит только то что у вас открыт порт используемый трояном (закройте )
5 повторяю ( нужно только отключить восстановление системы на диске Е )
6 нет не опасно... dumprep отвечает за создание дампа памяти в случае критической ошибки ...
E:\Есть на дисках\Progs\SoundForge\SonicFoundry.zip - нужно было прислать на анализ ...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: