[Vadikan]

Chieftain
Информация с вирусного листа McAffee, но это просто первое, что подвернулось под руку. Я переведу ключевые моменты.

js.seeker - обнаружен 10/26/200

Описание
Троян меняет стартовую и поисковую страницы бразуера. Windows Scripting Host должен быть установлен в системе для запуска трояна. Вариантов трояна существует много, и ваш случай может отличаться от описанного здесь. Вы можете получить троян под именем "runme.hta". Откртытие файла приводит к нескольким измениям в реестре:
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\Software\Netscape\Netscape Navigator\Main\Home Page

Исходные значения реестра сохранены в файлы "HOMEREG111.REG", "BACKUP1.REG", and "BACKUP2.REG" в директории Windows.

Пользователи могут также встретить другую версию вируса, кот. Определяется как Reg/Seeker. Единственная разница в том, что Reg/Seeker живет в reg. файле, а не в Java скрипте.

Симптомы
Измененные стартровая и поисковая страница браузера
Наличие файлов "runme.hta", "removeit.hta" или "homereg111.reg"

Метод заражения
За редкими исключениями новые ключи реестра записываются в файл homereg111.reg". Существующие ключи сохраняются в файлы "backup1.reg", and "backup2.reg". Файл homereg111.reg затем импортируется в реестр. И в конце "removeit.hta" запускается в попыте стереть файл "C:\WINDOWS\START MENU\PROGRAMS\STARTUP\runme.hta"

Инструкции по удалению.
(тут рекомендуется использовать McAffee для обнаружения и удаления) +

-Удалите обнаруженные файлы
-Восстановите стартовую и поисковую страницы
-Установите заплатку для M$ VM

---

Надеюсь, понятно, какие файлы искать, удалять и какие ключи реестра восстанавливать. Раз он у тебя снова появляется, значит ты его просто не до конца удалил. Если ничего не поможет... (сейчас меня закидают помидорами любители AVP ;-) попробуй другой антивирус - может он удачнее справится с проблемой.