Перезагрузка компа + Вопросы по анализу логов HijackThis и avz

[SIZE=3][SIZE=3][FONT=Times New Roman]В борьбе с компьютерной нечистью неопытен. За “детские” вопросы и действия прошу сильно ногами не пинать![/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Все началось с того, что 3-4 недели назад Agnitum Outpost (старенькая версия) при загрузке компа (после введения пароля пользователя), а также каждые 1-2 часа загружает процессор до 50-60% примерно на 1 минуту. Решил проверить систему.[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Прошерстил папки Run в реестре и наткнулся на ntos.exe. Из папки \system32\ удаляться не захотел, пришлось искать помощи в Инете. Нашел такое: изменил в реестре(путь уже не помню, что-то связанное с userinit.exe) ntos.exe на что-то типа ntos.exe_. После этого в безопасном режиме удалил ntos.exe из папки \system32\. С помощью avz удалил остатки из реестра.[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Затем с помощью HijackThis пофиксил capesnp.dll(Trojan/Backdoor), а потом, вроде еще и вручную его удалил из папки \system32\. И с помощью Ad-Aware SE Personal добил еще каких-то троянов типа Backdoor.Luker, Backdoor.Daodan и Backdoor.Delf, которые лезли через UDP-порты(смотрел в avz). По крайней мере после этого их больше не наблюдалось.[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Но через 1-2 дня после удаления capesnp.dll комп частенько в течении 1-2 минут после полной загрузки снова перегружался при запуске какой-нибудь программы (например, Проводника), а потом все, как правило, становится нормально. Возможно, что-то криво удалил.[/FONT][/SIZE]
[/SIZE]

[SIZE=3][FONT=Times New Roman]Это было небольшое описание того, что я делал в ближайшие пару недель. А теперь несколько вопросов.[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]1) Посмотрите, пожалуйста, логи HijackThis и avz. Осталось ли там что-нибудь нездоровое?[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]2) Могло ли кривое удаление ntos.exe и capesnp.dll повлиять на начавшуюся перезагрузку компа в начале его работы(через примерно 1-2 минуту после полной загрузки компа)?[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]3) По полезной ссылке HijackThis analyzer на главной странице этого сайта решил проверить лог HijackThis с capesnp.dll. Вот вырезка из проверки – вроде как ничего опасного? Хотя в Инете много ссылок, что это Trojan/Backdoor. Непонятно.[/FONT][/SIZE]
[FONT=Times New Roman][COLOR=black][B]O2 - BHO: (no name) - {61A858D1-3A7C-42A7-A474-424B4849B459} - C:\WINXP\system32\capesnp.dll[/B] и далее написано [/COLOR][COLOR=black][B]Fuzzy Algorithmcheck (3.91 / 5.00), Safe[/B][/COLOR][/FONT]

[SIZE=3][FONT=Times New Roman]4) Что это значит? Значит ли это, что у меня уже сидит троян/Backdoor или просто сканируются порты? (В случае а) – в меню Сервис -> Открытые порты TCP\UDP -> вкладка “Порты UDP” строки были красными, а в случае б) - вкладка “Порты TCP” строки были черными)[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]а)Из лога avz:[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman][B]6. Ïîèñê îòêðûòûõ ïîðòîâ TCP/UDP, èñïîëüçóåìûõ âðåäîíîñíûìè ïðîãðàììàìè[/B][/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman][B]Â áàçå 317 îïèñàíèé ïîðòîâ[/B][/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman][B]Íà äàííîì ÏÊ îòêðûòî 9 TCP ïîðòîâ è 10 UDP ïîðòîâ[/B][/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman][B]>> Îáðàòèòå âíèìàíèå: Ïîðò 1116 UDP - Backdoor.Lurker (c:\winxp\system32\svchost.exe - îïîçíàí êàê áåçîïàñíûé ïðîöåññ)[/B][/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman][B]Íà çàìåòêó: Çàïîäîçðåííûå ôàéëû ÍÅ ñëåäóåò óäàëÿòü, èõ ñëåäóåò ïðèñëàòü äëÿ àíàëèçà (ïîäðîáíîñòè â FAQ è ñïðàâêå)[/B][/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]б) Из лога avz_ports.htm:[/FONT][/SIZE]
[B][FONT=Times New Roman][SIZE=3]Порт -- [/SIZE][/FONT][FONT=Times New Roman][SIZE=3]Статус -- [/SIZE][/FONT][FONT=Times New Roman][SIZE=3]Remote Host -- [/SIZE][/FONT][FONT=Times New Roman][SIZE=3]Remote Port -- [/SIZE][/FONT][FONT=Times New Roman][SIZE=3]Приложение -- [/SIZE][/FONT][SIZE=3][FONT=Times New Roman]Примечания [/FONT][/SIZE][/B]
[B][FONT=Times New Roman][SIZE=3]2745 -- [/SIZE][/FONT][FONT=Times New Roman][SIZE=3]ESTABLISHED -- [/SIZE][/FONT][FONT=Times New Roman][SIZE=3]81.176.238.9 -- [/SIZE][/FONT][FONT=Times New Roman][SIZE=3]80 -- [/SIZE][/FONT][FONT=Times New Roman][SIZE=3][COLOR=#0000ff][2316] c:\program files\maxthon\maxthon.exe-- [/COLOR][/SIZE][/FONT][/B][SIZE=3][FONT=Times New Roman][B]I-Worm.Bagle.i backdoor[/B] [/FONT][/SIZE]

[SIZE=3][FONT=Times New Roman]И вообще, что значит в меню Сервис -> Открытые порты TCP\UDP часто появляющиеся сообщения о Trojan/Backdoor в столбце “Категория”?[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]5) Что значит выражение “Прямое чтение”? Опасно ли это?[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Лог-файл virusinfo_syscure.htm:[/FONT][/SIZE]
[FONT=Times New Roman][B]Прямое[/B][B] чтение[/B][B] E:\System Volume Information\_restore{BFFBFFA9-8AD4-4FFF-BFF1-4A78BF2AAEDF}\RP117\A0117475.dll[/B][/FONT]
[FONT=Times New Roman][B]Прямое[/B][B] чтение[/B][B] E:\System Volume Information\_restore{BFFBFFA9-8AD4-4FFF-BFF1-4A78BF2AAEDF}\RP117\A0117476.exe[/B][/FONT]
[FONT=Times New Roman][B]Прямое[/B][B] чтение[/B][B] E:\System Volume Information\_restore{BFFBFFA9-8AD4-4FFF-BFF1-4A78BF2AAEDF}\RP117\A0117477.sys[/B][/FONT]
[FONT=Times New Roman][B]и пр.[/B][/FONT]
[SIZE=3][FONT=Times New Roman]Просто в E:\System Volume Information\_restore{..}\RP..\ у меня DrWeb и Ad-Aware SE Personal периодически находят троянов. Последний троян – A0159350.exe – Program.RemoteAdmin нашел DrWeb как раз перед тем, как сделал логи HijackThis и avz.[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]6) Лог HijackThis. Опасно ли это? [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman][B]O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k[/B][/FONT][/SIZE]

[SIZE=3][FONT=Times New Roman]Примечание. Лог-файл virusinfo_syscure.htm: [B]E:\Есть на дисках\Progs\SoundForge\SonicFoundry.zip/{ZIP}/ap4kg.exe >>> подозрение на Trojan-Downloader.Win32.Agent.aqr[/B][/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]И DrWeb, и Ad-Aware SE Personal молчали про этот архив, но на всякий случай удалил.[/SIZE][/FONT]

[SIZE=3][FONT=Times New Roman]Файл [B]klavaspy.zip[/B] – исходник проги на CBuilder. Искал различную инфу по CBuilder, заодно и эту скачал, вроде, с [URL="http://www.ishodniki.ru"]www.ishodniki.ru[/URL]. Это не опасно.[/FONT][/SIZE]

[SIZE=3][FONT=Times New Roman]Буду благодарен, если будут ответы, хотя бы на ряд моих вопросов![/FONT][/SIZE]

1 в логах чисто ... ( нужно только отключить восстановление системы на диске Е )
2 нет
3 capesnp.dll - враг ...
4 это значит только то что у вас открыт порт используемый трояном (закройте )
5 повторяю ( нужно только отключить восстановление системы на диске Е )
6 нет не опасно... dumprep отвечает за создание дампа памяти в случае критической ошибки ...
E:\Есть на дисках\Progs\SoundForge\SonicFoundry.zip - нужно было прислать на анализ ...

[quote=V_Bond;204468]E:\Есть на дисках\Progs\SoundForge\SonicFoundry.zip - нужно было прислать на анализ ...[/quote]
Ссылка на SonicFoundry.zip(на компашке осталась) - [URL]http://slil.ru/25601126[/URL]

После проверки сообщите результат, пожалуйста.

в приложении 3 правил написано куда отсылать запрошенные файлы ...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]