Вирус имеет наглость прописываться именно в автозагрузку и его проще всего вычислить таким вот способом. ДАвайте разберемся что у нас должно быть в автозагрузке, а чего быть не должно.
Процессы:
taskmdr.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
SPOOLSV.EXE
lsass.exe
ctfmon.exe
CSRSS.EXE
SMSS.EXE
SERVICES.EXE
WINLOGON.EXE
Это обязательные...
они реальные:
csrss.exe (сервер подсистемы Windows NT, C:\WINDOWS\system32\csrss.exe)
lsass.exe (LSA, \system32)
winlogon.exe (Вин логон, там же)
services.exe (часть хоста сервисов, там же)
smss.exe (там же)
svchost.exe (кол-во зависит от кол-ва сервисов)
возможно explorer.exe (но это уже не является обязательным)
Что очень часто используется "кодерами" в кавычках для того чтобы спрятать их "крутой" (два раза в кавычках) троян:
svchost.exe (смотрите чтобы владелец был SYSTEM и процесс БЫЛ ТОЛЬКО ИЗ /system32)
csrss.exe (он всегда есть, тоже "прячут" под него)
explorer.exe
(смело снимайте задачу если он не из \system32)
Эти процессы очень часто свидетельствуют о глюках:
HelpSvc.exe
winhelp32.exe
.exe
alg.exe
wpabaln.exe (активация винды)
wmi----,exe по мотивам форумных бесед
| 