scanNE®, да как тут этим отловить, если уже никто никуда не обращается? И антивирусы, которые у меня были, тоже молчат. Возможно тот руткит 6 кб был проглочен антивирусами. А svchost я нашел руками.
PS FileMon я потом использовал... [Ответ]

Zav, ))) файлики создаются? логи лень поглядеть?))))))) того же файл-монитора. [Ответ]

scanNE®, уточню, Process Monitor'a. Все мониторы под один интерфейс уж давно загнали [Ответ]

X0R, ох уточнил)))) есть один моник от мелгогавнистых, а есть старый отдельный от сисинтерналз. оба рабочие кстати) [Ответ]

scanNE®, блин, ну а я что написал)) То что все моники в одну тулзу соединили, про старый рабочий я знаю. Новый то функционалом повыше.
ЗЫ Закрыли тему)) [Ответ]

Сообщение от scanNE®:
Zav, ))) файлики создаются? логи лень поглядеть?))))))) того же файл-монитора.

Сообщение от Zav:
Вроде утихло...

Сообщение от Zav:
Перезагрузился - тишина.

Сообщение от Zav:
да как тут этим отловить, если уже никто никуда не обращается?

(никуда, это означает ни флоп больше не кряхтит каждую минуту, ни на флешку)
Вопросы?
PS файлики не создаются. В логах пусто. Системника у меня уже нет. [Ответ]

Тоже наткнулся на эту заразу.
Большое спасибо за описание - вылечил без проблем.

Вот полная инструкция по обезвреживанию вируса:

1.Заходим в c:\Program Files\Microsort Common\
и удаляем файл svchost.exe
2. Заходим в c:\WINDOWS\system32\drivers\
и удаляем файл gflmouhid.sys
3. Заходим в системный реестр (команда regedit)
Проходим по пути
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]

и удаляем строчку
"Debugger"="C:\\Program Files\\Microsoft Common\\svchost.exe"

Эта как раз строчка мешала запуску эксплорера после удаления файла вируса после перезагрузки винды.

После этого перезагружаемся и наслаждаемся жизнью ) [Ответ]

Есть ещё вариант с system.exe. Постоянно выскакивает окошко об ошибке этого процесса, закрываешь, а оно опять появляется + мешает запускаться другим exe-шникам, например, антивирусу.

Свой вариант решения с помощью AVZ.
1. Загрузиться в безопасном режиме, запустить утилиту.
2. Через Сервис - Диспетчер процессов найти system.exe и запустить Поиск в реестре по полному имени файла, удалить все найденные ключи
3. Опять же через Диспетчер остановить этот процесс, появится снова - не страшно,
4. Запустить Сканирование системы, утилита сама найдёт и удалит вредные файлы,
5. Перезагрузиться и запустить сканирование ещё раз для удаления следов.

Способ не претендует на панацею, но помогло. [Ответ]