Нет ли у кого-нибудь образцов писем с троянцами, которые меняют настройки прокси?

Добрый день!

В последнее время в сети предприятия появляется довольно много троянцев, изменяющих скрипт автоконфигурирования прокси.

Особенно достали сайты santanyr.com, eltrasta.com, ertaco.com, neyaho.com. Сканируем зараженный ПК антивирусными утилитами (LiveCD), убираем вручную скрипт автоконфигурации прокси из браузера - но через некоторое время проблема возникает опять.

В общем, что-то вроде [URL="http://virusinfo.info/showthread.php?t=163544"]этого[/URL] или [URL="http://virusinfo.info/showthread.php?t=185344"]этого[/URL].

Не могу понять, в чем дело: то ли на ПК остается какой-то активный исполняемый файл, который это делает, то ли настройки, которые восстанавливаются, то ли задача в планировщике, то ли пользователь сам снова файл запускает - но зачем?

Нет ли у кого-нибудь образцов такой дряни, чтобы на виртуалке поковырять и посмотреть, куда оно ломится?

Спасибо.