[Erekle]

Вирь с далёкого 2004.
Оригинал должен быть в System32 - но для начала, на всякий случай, убедитесь, что оригинал там лежит, а также есть в списке процессов.
В процессах такого файла может быть всего один (легальный). Но это не будет указывать на то, что подозреммаевого файла на диске нет, он может быть просто неактивным в тот момент.
Или процессов от приложения с таким именем может быть два. Разумеется, один будет настоящим, второй засланным.

Почему его нет в папке Виндоус. Три варианта: или антивирус удалил этот файл (но к нему обращается файл-спутник, постоянно пересоздающий его, или система из-за оставшейся записи в реестре), или создаётся временно, или он постоянно там, но скрыт. Можно включить опцию "показывать все файлы" и отключить опцию "скрывать системные файлы", чтобы убедиться в этом.
Также можно посмотреть в файерволле, не обращается ли этот файл на адрес 207.46.xxx.xxx (Microsoft) через порт 80, а также на адрес cruel-intentionz.net.

Если файл SERVICES.EXE присутствует на своём законном месте, и имеется и этот, то удалите этого. Если в процессах и на диске только один с таким именем - тогда следует повременить.
Заодно поищите эти файлы в System32 и скормите антивирусу. Если не распознает, удалите всё равно (для коллекции и на всякий случай можно сохранить в архиве):

fservices.exe
mssyncr.exe
crss.exe
sservices.exe
reginv.dll
winkey.dll

Всех этих файлов не должно быть в реестре в ветках автозапуска:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Также можно поискать следующие ключи (это не критично, если соответственного файла нет)

[HKEY_USERS\S-1-5-21-...........\Software\Microsoft\Search Assistant\ACMru]

[HKEY_USERS\S-1-5-21-............\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="E54DHdLbPahxa"
"001"="mssyncr.exe"

[HKEY_USERS\S-1-5-21-.............\Software\Microsoft\Search Assistant\ACMru\5604]
"000"="wwCwiCw"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44AC6201-B203-10CC-1F32-A0BC12E2014D}]
"StubPath"="C:\\WINDOWS\\System32\\mssyncr.exe"

Напоследок - обновите базы или поставьте нормальный антивирус.
Плюс: программа AVZ. Просканируйте им системный диск, с включенным лечением (и с включением копирования удаляемых файлов в карантин на всякий случай), из остальных опции - "сканировать все файлы", "максимальный уровень эвристики" и "расширенный анализ"; а "блокировать работу RootKit" включать просто так не стоит.

[smckey]

Erekle

Спасибо. Сейчас все проверю и отпишусь.

Erekle

Юзаю KAV 5.0151. Базы обновляю ежедневно.

Все проверил - вручную все чисто. И реестр и папки.

А вот AVZ - respect!!! Нашел этот Services.exe Заточен под NTFS-поток (если честно, не знаю, что это такое).

Вроде бы все зачистил.

Спасибо.

[Tigr]

smckey
Антивирус Касперского не лечит от целого класса червей, троянов и прочей гадости. В нем нет смысла без какого-либо антишпиона, например, Ad-Aware SE.