Вирь с далёкого 2004.
Оригинал должен быть в System32 - но для начала, на всякий случай, убедитесь, что оригинал там лежит, а также есть в списке процессов.
В процессах такого файла может быть всего один (легальный). Но это не будет указывать на то, что подозреммаевого файла на диске нет, он может быть просто неактивным в тот момент.
Или процессов от приложения с таким именем может быть два. Разумеется, один будет настоящим, второй засланным.
Почему его нет в папке Виндоус. Три варианта: или антивирус удалил этот файл (но к нему обращается файл-спутник, постоянно пересоздающий его, или система из-за оставшейся записи в реестре), или создаётся временно, или он постоянно там, но скрыт. Можно включить опцию "показывать все файлы" и отключить опцию "скрывать системные файлы", чтобы убедиться в этом.
Также можно посмотреть в файерволле, не обращается ли этот файл на адрес 207.46.xxx.xxx (Microsoft) через порт 80, а также на адрес cruel-intentionz.net.
Если файл SERVICES.EXE присутствует на своём законном месте, и имеется и этот, то удалите этого. Если в процессах и на диске только один с таким именем - тогда следует повременить.
Заодно поищите эти файлы в System32 и скормите антивирусу. Если не распознает, удалите всё равно (для коллекции и на всякий случай можно сохранить в архиве):
fservices.exe
mssyncr.exe
crss.exe
sservices.exe
reginv.dll
winkey.dll
Всех этих файлов не должно быть в реестре в ветках автозапуска:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Также можно поискать следующие ключи (это не критично, если соответственного файла нет)
[HKEY_USERS\S-1-5-21-...........\Software\Microsoft\Search Assistant\ACMru]
[HKEY_USERS\S-1-5-21-............\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="E54DHdLbPahxa"
"001"="mssyncr.exe"
[HKEY_USERS\S-1-5-21-.............\Software\Microsoft\Search Assistant\ACMru\5604]
"000"="wwCwiCw"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44AC6201-B203-10CC-1F32-A0BC12E2014D}]
"StubPath"="C:\\WINDOWS\\System32\\mssyncr.exe"
Напоследок - обновите базы или поставьте нормальный антивирус.
Плюс: программа
AVZ. Просканируйте им системный диск, с включенным лечением (и с включением копирования удаляемых файлов в карантин на всякий случай), из остальных опции - "сканировать все файлы", "максимальный уровень эвристики" и "расширенный анализ"; а "блокировать работу RootKit" включать просто так не стоит.
