Перезагрузка компа + Вопросы по анализу логов HijackThis и avz

[FireDragon]

В борьбе с компьютерной нечистью неопытен. За “детские” вопросы и действия прошу сильно ногами не пинать!
Все началось с того, что 3-4 недели назад Agnitum Outpost (старенькая версия) при загрузке компа (после введения пароля пользователя), а также каждые 1-2 часа загружает процессор до 50-60% примерно на 1 минуту. Решил проверить систему.
Прошерстил папки Run в реестре и наткнулся на ntos.exe. Из папки \system32\ удаляться не захотел, пришлось искать помощи в Инете. Нашел такое: изменил в реестре(путь уже не помню, что-то связанное с userinit.exe) ntos.exe на что-то типа ntos.exe_. После этого в безопасном режиме удалил ntos.exe из папки \system32\. С помощью avz удалил остатки из реестра.
Затем с помощью HijackThis пофиксил capesnp.dll(Trojan/Backdoor), а потом, вроде еще и вручную его удалил из папки \system32\. И с помощью Ad-Aware SE Personal добил еще каких-то троянов типа Backdoor.Luker, Backdoor.Daodan и Backdoor.Delf, которые лезли через UDP-порты(смотрел в avz). По крайней мере после этого их больше не наблюдалось.
Но через 1-2 дня после удаления capesnp.dll комп частенько в течении 1-2 минут после полной загрузки снова перегружался при запуске какой-нибудь программы (например, Проводника), а потом все, как правило, становится нормально. Возможно, что-то криво удалил.


Это было небольшое описание того, что я делал в ближайшие пару недель. А теперь несколько вопросов.
1) Посмотрите, пожалуйста, логи HijackThis и avz. Осталось ли там что-нибудь нездоровое?
2) Могло ли кривое удаление ntos.exe и capesnp.dll повлиять на начавшуюся перезагрузку компа в начале его работы(через примерно 1-2 минуту после полной загрузки компа)?
3) По полезной ссылке HijackThis analyzer на главной странице этого сайта решил проверить лог HijackThis с capesnp.dll. Вот вырезка из проверки – вроде как ничего опасного? Хотя в Инете много ссылок, что это Trojan/Backdoor. Непонятно.
O2 - BHO: (no name) - {61A858D1-3A7C-42A7-A474-424B4849B459} - C:\WINXP\system32\capesnp.dll и далее написано Fuzzy Algorithmcheck (3.91 / 5.00), Safe

4) Что это значит? Значит ли это, что у меня уже сидит троян/Backdoor или просто сканируются порты? (В случае а) – в меню Сервис -> Открытые порты TCP\UDP -> вкладка “Порты UDP” строки были красными, а в случае б) - вкладка “Порты TCP” строки были черными)
а)Из лога avz:
6. Ïîèñê îòêðûòû&#245 ; ïîðòîâ TCP/UDP, èñïîëüçó&# 229;ìûõ âðåäîíîñ&# 237;ûìè ïðîãðàìì&# 224;ìè
 áàçå 317 îïèñàíè&#233 ; ïîðòîâ
Íà äàííîì ÏÊ îòêðûòî 9 TCP ïîðòîâ è 10 UDP ïîðòîâ
>> Îáðàòèò&#229 ; âíèìàíè&#229 ;: Ïîðò 1116 UDP - Backdoor.Lurker (c:\winxp\system32\svchost.exe - îïîçíàí êàê áåçîïàñí&# 251;é ïðîöåñ&#241
Íà çàìåòêó: Çàïîäîçð&# 229;ííûå ôàéëû ÍÅ ñëåäóåò óäàëÿòü, èõ ñëåäóåò ïðèñëàò&#252 ; äëÿ àíàëèçà (ïîäðîáíî& #241;òè â FAQ è ñïðàâê&#229
б) Из лога avz_ports.htm:
Порт -- Статус -- Remote Host -- Remote Port -- Приложение -- Примечания
2745 -- ESTABLISHED -- 81.176.238.9 -- 80 -- [2316] c:\program files\maxthon\maxthon.exe-- I-Worm.Bagle.i backdoor

И вообще, что значит в меню Сервис -> Открытые порты TCP\UDP часто появляющиеся сообщения о Trojan/Backdoor в столбце “Категория”?
5) Что значит выражение “Прямое чтение”? Опасно ли это?
Лог-файл virusinfo_syscure.htm:
Прямое чтение E:\System Volume Information\_restore{BFFBFFA9-8AD4-4FFF-BFF1-4A78BF2AAEDF}\RP117\A0117475.dll
Прямое чтение E:\System Volume Information\_restore{BFFBFFA9-8AD4-4FFF-BFF1-4A78BF2AAEDF}\RP117\A0117476.exe
Прямое чтение E:\System Volume Information\_restore{BFFBFFA9-8AD4-4FFF-BFF1-4A78BF2AAEDF}\RP117\A0117477.sys
и пр.
Просто в E:\System Volume Information\_restore{..}\RP..\ у меня DrWeb и Ad-Aware SE Personal периодически находят троянов. Последний троян – A0159350.exe – Program.RemoteAdmin нашел DrWeb как раз перед тем, как сделал логи HijackThis и avz.
6) Лог HijackThis. Опасно ли это?
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k

Примечание. Лог-файл virusinfo_syscure.htm: E:\Есть на дисках\Progs\SoundForge\SonicFoundry.zip/{ZIP}/ap4kg.exe >>> подозрение на Trojan-Downloader.Win32.Agent.aqr
И DrWeb, и Ad-Aware SE Personal молчали про этот архив, но на всякий случай удалил.

Файл klavaspy.zip – исходник проги на CBuilder. Искал различную инфу по CBuilder, заодно и эту скачал, вроде, с www.ishodniki.ru. Это не опасно.

Буду благодарен, если будут ответы, хотя бы на ряд моих вопросов!

[V_Bond]

1 в логах чисто ... ( нужно только отключить восстановление системы на диске Е )
2 нет
3 capesnp.dll - враг ...
4 это значит только то что у вас открыт порт используемый трояном (закройте )
5 повторяю ( нужно только отключить восстановление системы на диске Е )
6 нет не опасно... dumprep отвечает за создание дампа памяти в случае критической ошибки ...
E:\Есть на дисках\Progs\SoundForge\SonicFoundry.zip - нужно было прислать на анализ ...

[FireDragon]

E:\Есть на дисках\Progs\SoundForge\SonicFoundry.zip - нужно было прислать на анализ ...

Ссылка на SonicFoundry.zip(на компашке осталась) - http://slil.ru/25601126

После проверки сообщите результат, пожалуйста.

[V_Bond]

в приложении 3 правил написано куда отсылать запрошенные файлы ...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения вредоносные программы в карантинах не обнаружены