Ну, прежде чем винды сносить... Остановите антивирусные мониторы и запустите это.

В смысле, диски им просканируйте.

maytonпроцесс-X (тот самый злодей)
должен захлебнутся или выдать что-нибудь. - в смысле: "Файлы вируса заменены неизвестной версией. Пожалуйста вставьте диск с Rootkit.Win32.Vanti.d - Windows File Protection" :)
Просто тот Х-процесс, который тащит эту dll, наверное, не самый желанный гость на машине? И если он не пойман, то надо поймать?

Green2
В ветках реестра на автозагрузку порыться?
--



Posted via ActualForum NNTP Server 1.3 - вирус, я так понял, свежий. Не мешает списаться с разработчиками (антивиря, не вируса :). А искать в стартапах - дело неблагодарное, это ведь не 98...

Sorhttp://www.sysinternals.com/Utilities/ProcessExplorer.html

посмотри родителя и убей дерево
после этого антивир либо чистка ручками - родителя dll? :)

Я подозреваю, что dll используется не тем процессом, который ее внедряет. Пример: есть программа, в ней ресурс ActiveX DLL. При запуске программа производит сохранение ресурса в файл. Затем LoadLibrary на имя библиотеки и вызов DLLRegisterServer из нее. Потом основная программа выгружается. Так можно зарегистрировать расширение оболочки, скажем, при каком-то действии в проводнике она подгрузится и выполнит совершенно невидимый код.
Теперь о грустном: файл, вбрасывающий DLL, неуязвим для антивируса, если должным образом защитить ресурс (скажем, зашифровать текст DLL в массив byte) - тогда антивирус неизбежно будет на шаг позади, т.к. каждая смена алгоритма шифрования приводит к невозможности определить наличие вируса.

Только непонятно, а антивирусный монитор-то что говорит? Он же должен перехватывать все действия с FileSystemObjects. Т.е. драйвер, которым управляет антивирусный монитор, должен на момент создания вирусного файла отреагировать должным образом.
У меня на одной машине установлен DrWEb for Windows 95/XP. Выполнена настрока правкой drweb32.ini на совершение всех действий без запроса пользователя как сканером, так и монитором (инфицированные - лечить, неизлечимые - удалить, подозрительные - переместить, инфицированные архивы, почтовые файлы, контейнеры - переместить). Перезагрузка. Потом убираем spidernt /agent из автозагрузки, останавливаем службу spidernt, ставим тип запуска как manual или disabled. Этим убраны все win32 компоненты антивируса. Для чистоты перезагружаемся. Теперь берем любой вирусный файл и пробуем его скопировать (скажем, с сетевой машины, где нет антивируса) на подопытный комп. Наблюдаем удаление файла на подопытной машине. Т.е. драйвер срабатывает.
Это, кстати. еще и о том, что нет смысла отключать антивирь методом выгрузки его win32- процессов. Тормоза останутся.