BackDoor'ы одолевают.

OS Windows XP SP3.
Почти год живу в Окошках без постоянной антивирусной защиты. Соблюдая меры предосторожности, жил благополучно. Периодические проверки различными CureIt'ами показывали чистоту системы, да и по поведению компьютера это было похоже на правду.Однако пришлось-таки воспользоваться пару раз подозрительными приложениями. С некоторых пор стал замечать, что долго открываются сайты, прям как будто я пользуюсь не выделенной линией 30Мбит/с, а диал-ап'ом. ВКонтакте стала медленно грузиться почти вся музыка, а часто и вовсе недозагружаться; медленно грузятся видеоролики с youtube и т.п. Кроме того, FireFox после перезапуска стал быстро набирать "вес" в памяти и оставлять его резидентным по несколько дней стало проблематично - стало нужно перодически его закрывать, чего ранее НЕ наблюдалось.

Всё вышеперечисленное, а также наступление необходимости регулярной/плановой проверки компьютера сподвигли меня на
1 - проверку компьютера загрузочной флэшкой Касперского. Он нашёл несколько "зловредов", о которых я знаю и которые никак не могут причинить вред по ряду причин.
2 - проверку компьютера CureIt'ом в безопасном режиме. Я выбрал НЕ "Быстрая проверка", которая включается по умолчанию, а "Полную проверку". CureIt выявил BackDoor.IRC.Sbot.14859 в приложении, которое я подозревал на ненадёжность. Этот же зловред нашёлся в "точках восстановления системы".

Затем, действуя по плану, предписанному вашим сайтом проверил систему AVZ4 и HiJachThis'ом. AVZ4 обнаружил BackDoor.Win32.Rbot.acpj в приложении, которое тоже следовало бы подозревать И также в "точке восстановления системы". Есть ещё несколько странных ситуация, но они больше похожи на паранойю.
Прошу вас оказать мне любезность и проверить мою систему на чистоту.

Уважаемый(ая) [B]AnVaCher[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[b]AnVaCher[/b], C:\Documents and Settings\cherkas\Рабочий стол\Программы\RAR_password\RARpassworRecovery\[B]rar-password-recovery.exe[/B] Как раз на этот файл и идет детект. Вы её пользовались уже?

Возможно. Я уже НЕ могу вспомнить точно. Я точно пользовался этим на другом компьютере, а про текущий запамятовал.

[QUOTE=Дeнис;899159][B]AnVaCher[/B], C:\Documents and Settings\cherkas\Рабочий стол\Программы\RAR_password\RARpassworRecovery\[B]rar-password-recovery.exe[/B] Как раз на этот файл и идет детект. Вы ею пользовались уже?[/QUOTE]

[b]AnVaCher[/b], Удалите его,если скачивали не с проверенного сайта,иначе просто может быть вирус ,а не программа для восстановления паролей! ;)

Удалил. Можно ли систему считать чистой ?
AVZ4 во время работы указывал и на доступ к компьютеру анономов и на запуск "лишних" служб... Часть я нашёл самостоятельно и устранил, действительно, некоторые политики были изменены. Я исправил, что увидел и что понимал. В остальном уповаю на вас, знатоки.

Некоторые сайты продолжают загружаться подозрительно, в частности этот сайт. Пишу вам из под Убунты с другого компьютера, а с проверяемого компьютера virusinfo.info открывается долго, и порой вовсе НЕ открывается.

[QUOTE=Дeнис;899187][b]AnVaCher[/b], Удалите его,если скачивали не с проверенного сайта,иначе просто может быть вирус ,а не программа для восстановления паролей! ;)[/QUOTE]

[b]AnVaCher[/b], [URL="http://virusinfo.info/showthread.php?t=53070"]Сделайте лог MBAM[/URL] + лог [URL="http://virusinfo.info/showthread.php?t=115256"]RSIT[/URL]

Сделал.
[QUOTE=Дeнис;899232][B]AnVaCher[/B], [URL="http://virusinfo.info/showthread.php?t=53070"]Сделайте лог MBAM[/URL] + лог [URL="http://virusinfo.info/showthread.php?t=115256"]RSIT[/URL][/QUOTE]

[b]AnVaCher[/b], В MBAM удалите только

[CODE]Обнаруженные ключи в реестре: 3
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\50sovetov.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.[/CODE]


Далее

1.Отключите Антивирус/Фаервол.

2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('C:\program files\relevantknowledge', '*', true);
DeleteDirectory('C:\program files\relevantknowledge');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
[/CODE]

[U]После перезагрузки![/U]


3. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]

[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]

Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" [U]вверху темы[/U].

ProxyServer = 74.221.64.9:3128 сами ставили?

Далее

[URL="http://virusinfo.info/content.php?r=136-pravila"]Сделайте новые логи по правилам![/URL]

В MBAM удалите только...
---
Сделал.


Далее
1.Отключите Антивирус/Фаервол.
---
Сделал. Можно ли уже включать ?

2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
---
Сделал.

[U]После перезагрузки![/U]
Выполните скрипт в AVZ
---
Сделал.

Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" [U]вверху темы[/U].
---
"Результат загрузки
Ошибка загрузки. Данный файл уже был загружен"
Судя по длине файла (22 байта), он пустой.

ProxyServer = 74.221.64.9:3128 сами ставили?
---
Возможно. Использовал несколько разных прокси некоторое время. Сейчас не актуально.

Далее
[URL="http://virusinfo.info/content.php?r=136-pravila"]Сделайте новые логи по правилам![/URL]


Я и далее буду неукоснительно следовать вашим указаниям, но справедливости ради замечу, что лучше всего на ускорение работы Сети повлияло удаление из локалки "ударенного молнией" свича.

Я вернулся. Прошу прощения за вновь возрождённую тему.
Я сделал проверку CureIt'ом в безопасном режиме и он снова нашёл BackDoor.IRC.Sbot.14859 в точках восстановления. "Значит что-то ещё живёт в моём компьютере", - подумал я и понял, что мне следовало отключить восстановление системы, как то предписано [URL="http://virusinfo.info/content.php?r=136-pravila"]инструкцией[/URL]. Я отключил ... и снова проверил.
Затем проверил AVZ4 и HiJackThis'ом. Результат прикрепляю, как вы и просили.

P.S. Когда подбирал файлы для прикрепления, обратил внимание, что файл virusinfo_cure.zip "весит" 640Кб.

P.P.S. Как мне относиться к такому предупреждению AVZ4:
"8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)" ?

В списке служб \Мой компьютер - Управление - Службы\ я нашёл лишь некоторые из перечисленных.

[quote="AnVaCher;899813"]P.P.S. Как мне относиться к такому предупреждению AVZ4:[/quote]
Как к рекомендации. Можно отключить эти службы, если хотите.
Если компьютер используется дома, будет даже полезно.
[SPOILER="Выполните содержащийся здесь скрипт для отключения указанных служб"]
[CODE]begin
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('TermService', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
end.[/CODE]
[/SPOILER]

Проблемы решены?

Да. В системе чисто ли ?

[QUOTE=Никита Соловьев;900139]
Проблемы решены?[/QUOTE]

Ничего плохого не увидел.