#post-id: 4255-16-04
#original-date: 20.03.2012 Tue
#original-time: 4:04 PM
#original-day:  4255
#original-host: WinXP Prof SP3 (Build 2600)

Урок: на лечение троянов лучше всего с собой брать AVZ вместо 
ClamWin. А пока идёт проверка, можно погуглить на тему скриптов.

Вчера троян лечила. Никак не могла понять, кто создаёт ряд 
интересных файлов, которые я удаляю. Вроде не запущено ничего 
левого, а кто-то пакостит. Даже svchost.exe все легитимные. И только 
потом, глянув, кото заблокировал созданную папку, я поняла, что это 
Проводник. Вирус регистрировал BHO и грузился с Проводником, 
а оттуда уже рулил, оставаясь невидимым.

Кстати, подобную методику использует мой Desktop Icons Placer. 
Правда, там нет BHO, но COM объект внедряется в процесс Проводника 
и оттуда расставляет значки на рабочем столе. Правда, в Висте и выше 
эта функция уже не работает, поэтому я всё думаю о другом варианте. 
Нет, хуки есть, но мне не охота на Цэ писать модуль. Наверное 
погуглю в направлении BHO.