BackDoor - класс вирусов, а какой именно?

Далее, svchost.exe - а где он его нащел? Он может быть system32, остальные или кэш или отката или... оно самое.

P.S.
Я никогда не пользовался CureIt, а как он умудрился в драйвер влезть disk.sys?

Ex_Soft> BackDoor - класс вирусов, а какой именно?
Мопед - не мой На циферках (причем для svchost.exe и disk.sys - разные) - внимания не акцентировал.
А зря.

Ex_Soft> Далее, svchost.exe - а где он его нащел?
В памяти.

В памяти? Тогда получается, что тело файла не инфецировано, а заразу он хватает при загрузки или... svchost это просто оболочка для сервисов. А это, как говорится - совсем другой вопрос.
Может какая-то служба инфецирована, или какая-то .dll которую она подгружает, а может она успевает при загрузки подтянуть что-то из сети.
Посмотри на запущенные сервисы, сетевую активность.
Если бэкдор недавно появился, попробуй походить по системным каталогам и посмотреть на последние созданные файлы, может и повезет.

Ex_Soft> как он умудрился в драйвер влезть disk.sys?
Не знаю. Хотя, согласно этому размер 36,352 - 1:1.
Тоже мне показатель.
На другой машине с тем же SP посмотри сколько он весит. Посмотри его версию, производителя...
Хотя я очень сомневаюсь в том, что этот файл может быть вирусован. Более вероятна история, что находит он его тоже в памяти, после того как туда какой-то процесс инжектировал вирь - ну это только догадки/измышления.
У меня на sp3(WinXP Mode) размер тот же - 36,352.

Всеже не плохо было узнать, как CureIt идентифицирует этот бэкдор. И кстати, а после загрузки когда и как проявляется зараза?

Константин ЦветковOh, mio dio, а что там такого в реестре может быть страшного
Например то, что в реестре можно хранить данные в бинарном формате. Случай описан выше.

Константин Цветковавтозапуск?
Автозапуск.. - как много в этом слове :)

Под термином "Автозапуск" скрывается очень много:
- это и расширения оболочки(например то что подсчитывает битрэйт и длину сузыки/видео)
- .dll групповые политики
- расширения браузеров - IE.
- ветка KnownDLL
- и т.д.

Константин Цветков...и настоящий гад просто не видим? А этот гад, лёжа на виду, подгружает и запускает любимые ему программки, которые вы будете настойчиво находить.

Есть альтернативы диспетчеру задач, которые в том числе показывают загруженные процессом модули - .dll/ocx например Process Explorer.
Тоже и с автозагрузкой - Autoruns.

Anatoly PodgoretskyБолее 70 мест, откуда возможен автозапуск.
Я думаю, что сюда - как часные случаи автозапуска - можно добавить запуск приложений по ситуации, например запуск отладчика в случае краха программы. В кажестве дефолтного отладчика указываем злонамеренную программу, пишем бажную прогу и вуа-ля - такой вот не явный автозапуск.