>>306
すごく有用っぽい情報TNX!

ttp://www.higaitaisaku.com/htkaiseki.html#O20
>「O20 - Winlogon Notify Registry keys」の場合は、

>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
>にサブキーが作成され、値名 "DLLName" に定義されたdllファイルはログオン・ログオフその他の動作時に「winlogon.exe」プロセスのモジュールとして起動します。
>不正プログラムはログオン時に動作するよう設定されます。上の例では、「igfxcui」がサブキー名「C:\WINDOWS\SYSTEM32\igfxsrvc.dll」がそのサブキー内の値名、"DllName" の値です。

>なお、ここで挙げた2つのO20エントリは両方ともWindows NT/2000/XPのみに関係し、セーフモード起動時でも有効です。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
があって、
たとえば
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Dynamic Directory
に、


DllName
値のデータ
C:\WINDOWS\system32\o4480ehueh480.dll

がありました。
これがビンゴみたいですね。

>O20に悪玉を仕込むのは悪質なCoolWebSearchやタチの悪いトロイ(BackdoorやAgent系)の場合が多いので、駆除を断念してリカバリーが必要になることがあります。

CD-ROMないことなどの条件>>124,>>248に条件追加
5.リカバリディスクない

この場合は・・・orz