xp sp2, словился розовый порнобаннер.Похожий удалял неделю назад, сидел в альтернативном потоке ntfs в gpedit.hlp. Видимо, этот вариант более зловредный.Запуск avz-cure-it-kav-hijaakthis приводят к завершению работы компьютера. Запускается только icesword. В нем ничего подозрительного не вижу, время от времени запускается rundll32, в нем вижу модуль со случайным именем.dll в temp.Чем можно найти заразу еще?Еще вопрос, где именно в реестре прописываются отладчики процессов?
Добавлено через 1 час 6 минут
Все нашел, сидел в mvcbx.dll, запуск через appinit_dlls. Зверек постоянно мониторит ветку, при сносе переписывает ее в новое место, в моем случае переписался в альтернативный поток ipsec.hlp, я удалил файл и reset'нулся. Тему можно закрывать.
