用negies 看 是由Svchost 發出 , 用tasklist /svc 看 是 dcomlaunch ,termservice
用 wireshark 看封包 是寄spam mail , 內容" The virus has been detected . removed from this email . , Hohe hoholulu , .......... , www.tdmls.com\.... "
用hijackthis ,也沒發現什麼異常 .
用winhex scan disk 也找不到東西, 不過 open RAM可在記憶體中找到廣告信內容 .
找過google , 也有人有類似的的問題
已試過市面上 anti-virus , anti-malware ,anti-trojan 軟體, 結果似舊 .
看來只能重灌了..
4/15 ===>
culprit : c:\windows\system32\hcappres32.dll 在檔案總管中隠形 ,用upx壓過,防刪除,防毒程式殺不掉
已用iceword 把它強制移除 , 用hijackthis 移除相關registry
相關資訊link
http://research.sunbelt-software.com/threatdisplay.aspx?name=Trojan.Hijacker.Gen&threatid=175554
http://forums.spybot.info/showthread.php?t=19983
http://forum.sysinternals.com/printer_friendly_posts.asp?TID=12669
