Розовый порнобаннер

xp sp2, словился розовый порнобаннер.Похожий удалял неделю назад, сидел в альтернативном потоке ntfs в gpedit.hlp. Видимо, этот вариант более зловредный.Запуск avz-cure-it-kav-hijaakthis приводят к завершению работы компьютера. Запускается только icesword. В нем ничего подозрительного не вижу, время от времени запускается rundll32, в нем вижу модуль со случайным именем.dll в temp.Чем можно найти заразу еще?Еще вопрос, где именно в реестре прописываются отладчики процессов?

[size="1"][color="#666686"][B][I]Добавлено через 1 час 6 минут[/I][/B][/color][/size]

Все нашел, сидел в mvcbx.dll, запуск через appinit_dlls. Зверек постоянно мониторит ветку, при сносе переписывает ее в новое место, в моем случае переписался в альтернативный поток ipsec.hlp, я удалил файл и reset'нулся. Тему можно закрывать.

Для проверки чистоты рекомендуется сделать логи