KIDO

Попался таки и мне этот чудо-зверек ;)
Порадовал обфусцированный autorun.inf, идея очень интересная. Сначала подумал, что это типа эксплойта на explorer, однако позже отказался от этой мысли.

Собственно удаление зверька не составило больших хлопот, единственно что жизненно необходимо установить критические апдейты на Windows.

Процесс удаления достаточно кратко, но емко описан на сайте касперского. Даже тулза предлагается kidokiller. Впрочем, пользоваться ей - неспортивно, да и доступа в интернет у меня не было ;)

В моей вариации в netsvcs добавлялся сервис с названием puiik и длл-ка в system32, начинающаяся на q. Под руками не было привычных инструментов (osam, rku) , но был самописный QuickReboot и Filemon/Regmon от Руссиновича; пришлось вспомнить, что в Windows есть вполне се полезные программки MsInfo32 и MsConfig.

Удалось все удалить при помощи регедита и вышеозначенного софта. Самая большая сложность - идентифицировать, где засел зверек. Поскольку удалось снять проблему записи на флэшку autorun.inf и recycled выгрузив svchost с netsvcs ('это разумеется было сделано с пом. ProcessExplorer) и explorer было определено, што злодрайвер сидит там и возможно dll в расширении оболочки.