Принесли на днях винт с заразой. Прошерстил symantec antivirus - тишина, nod32 - тишина, kav4 - тишина.
После поиска руками был найден такой стрим:
C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA
Когда выдрал, касперский радостно взвизгнул и обнаружил в нем Trojan.Win32.Obfuscated.kw
Хотел симантеку послать, но такая тягомотная у них процедура сабмита. Обязательно отправлять через их антивирус. Он у меня только внутри песочницы установлен, где интернета нет.
А как вот такое