Конфигурация:
OS - WinXP Pro (IIS, SQL Server)
LAN - "голый" ADSL
FireWall - Agnitum Outpost Pro 2.1

FireWall стоял в режиме обучения и при обращении извне по TCP 1433 я промахнулся по кнопке и вместо Block Once нажал Allow Once. SVCHOST.EXE сразу ушёл  в GPF. И через некоторое время Outpost поймал исходящее соединение от INETINFO.EXE куда-то в зону .it Сообразив, что я что-то хапнул, обновил Outpost, AVP, XP по максимуму, SQL Server до SP3a.
Похоже, не помогло - Outpost продолжает ловить исходящие соединения от SVCHOST.EXE.
И уже фиг поймёшь, то ли от заразы, то ли от усиленного обновления, но в Task Manager в списке запущенных процессов только у System Idle Process указан User Name как SYSTEM, у всех остальных процессов User Name стоит "пустая строка"!

Смотрел реестр, вроде ничего подозрительного, но насторожила строчка в USER и MACHINE в ключе Run появилась запись Microsoft Services lsrv.exe без указания путей к экзешнику. Сам файл lsrv.exe поиском на диске не находится. Сходил на symantec, вроде зараза похожа на Goabot, но их програмка по ловле этого Goabot'а ничего не нашла.

Очень не хочется переставлять систему - наставлено куча всега да и времени куча уйдёт, а у меня заказ горит. Помогите, пожалуйста, советом или линком!

Похоже на SdBot который позволяет управлять компьютером-жертвой удалённо, посылая команды через каналы IRC
Если он, то создает в папке Windows файл LSRV.EXE и прописывается в
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
параметром Microsoft Services = "LSRV.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Services = "LSRV.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Microsoft Services = "LSRV.EXE"
Использует брешь в защите описанную в боллетене:
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx
http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx
Использует порт 6667 (порт mIRC) и выходит на определенный канал ожидая команд типа:
загрузить свою же модификацию
загрузить и запустить файл
вход на какой-либо сайт и т.д.
Собственно если это он, то должен быть в процессах, останавливаем процесс, удаляем файл, чистим реестр (и в службах смотрим), закрываем порт 6667

Ветки из реестра прибил:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Кстати, подобная запись ещё была в HKEY_USERS. Её тоже снёс.
Файл lsrv.exe удалить не смог - нет его на диске. Чертовщина какая-то!

Проверил, чем смог:
-Онлайн (ActiveX) антивирусами от Symantec & TrendMicro
-Локально AVP, NOD32 и Stinger'ом от McCafee
-Прогнал прграммамим Tauscan, Ad-Aware и SpyBot
Ничего не нашли они - только кривые кукии всё.

Несанкционированные исходящие соединения прекратились. по порту 6667 активности нет.
Но TaskManager остался в "кривом" виде - не показывает акаунт под которым процесс запущен.
Outpost продолжает ловить ВХОДЯЩИЕ соединения к SVCHOST.EXE по TCP порту 1025 с кучи разных неповторяющихся IP'ишников.
Может этот TCP 1025 закрыть нафиг и не мучаться?

Вообщем, не понял я ничего. Таки заражён я или нет? Предпринимать какие-либо ещё усилия или нет? Подскажите, пожалуйста.

iShvedsky
Входящих соединений не должно быть однозначно. У меня svchost'у разрешено только ИСХОДЯЩЕЕ с time-сервером windows для синхронизации часов. Больше я его никуда не пускаю.