[RUVATA]

Абсолютная победа!!!!!!
особо помогла
GMER

Цитата:

принимайте на вооружение

Гадом оказалась NdSpl.dll засевшая в C:\Documents and Settings\admzm\Temp\ которая средствами rundll32 и shell32 селилась во внедренных библиотеках...
о чем гордо свидетельствовал параметр vmApplet все той-же ветки

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Цитата:

возьмите на заметку

вобще штука интересная т.к. она судя по всему плодила и отслеживала все "прикосновения" к своим питомцам:
3b1845bc.exe,
3bcfg4tm.exe,
и бог знает еще сколько она успела "нашлепать" и сама поубивать...

Наблюдать за сие творением было оч интересно... так как изолировав её в памяти все симптомы исчезли, но при попытке
ее выгрузить и удалить - посыпались ошибки с участием вышеназванных 3b***.exe между ними по любому связь...
решил таки узнать кто кого порождает... причем мне было проще поверить в то, что это exe-шник dll-ку,
а оказалось все наоборот

Вот как дело было...
снова запускаю NdSpl.dll во внедренные библиотеки... и ВУАЛЯ! ...
непродолжительный скачок нагрузки на процессор... и где-то в ...system32\ появляется некий
fgp4lmk.exe , стоит его хотя-бы выделить его в проводнике - NdSpl.dll выгружается из памяти
(при этом судя по всему - напрягает систему себя попозже перезапустить)...
и если ты этот файлик не "кил" то следующий раз посетив каталог ...system32\ ты его там уже не найдешь...
да и вобще ничего до поры до времени... через случайный временной интервал - опять подгружается NdSpl.dll

ну и собственно говорят "эта песня хороша - начинай сначала"

вот так...