Как извести трояна?

Троян к себе домой стучится под видом процесса Explorer.exe по адресу 208.66.194.114 порт 17001, потом пытается открыть кучу соединений на 25-й порт. Никаким антивирусом не детектится. Ничего подозрительного в автозапуске не вижу.

пофиксите в HijackThis следующую строку:
O16 - DPF: {CCA0B877-CB5E-4ADC-AD30-457C379512DD} (Gif89 Lite Class) - [url]http://158.250.33.253:8080/xplugDL.cab[/url]

пришлите на исследование по правилам форума:
C:\WINDOWS\Inf\msmgr32.dll

пришлите через форму [url]http://virusinfo.info/index.php?page=upload_clean[/url] следующий файлы:
C:\Program Files\Ulead SmartSaver Pro 3.0\Ussfprun.exe
C:\zips\WIN95\SERVPACK\WSVER.EXE

[quote=MOCT]пофиксите в HijackThis следующую строку:
O16 - DPF: {CCA0B877-CB5E-4ADC-AD30-457C379512DD} (Gif89 Lite Class) - [URL="http://158.250.33.253:8080/xplugDL.cab"]http://158.250.33.253:8080/xplugDL.cab[/URL][/quote]

это от д-линковской веб-камеры

[quote]
пришлите на исследование по правилам форума:
C:\WINDOWS\Inf\msmgr32.dll
[/quote]

послал, похоже оно самое
что dll делать в этом каталоге?
и по дате заражения подходит

[quote]
пришлите через форму [URL="http://virusinfo.info/index.php?page=upload_clean"]http://virusinfo.info/index.php?page=upload_clean[/URL] следующий файлы:
C:\Program Files\Ulead SmartSaver Pro 3.0\Ussfprun.exe
C:\zips\WIN95\SERVPACK\WSVER.EXE[/quote]

послал

[QUOTE=m-car]это от д-линковской веб-камеры
[/QUOTE]
Да какая разница. Я просто проверил, что этого адреса уже не существует, а значит он не актуален ;-)

[QUOTE=m-car]
послал, похоже оно самое
что dll делать в этом каталоге?
и по дате заражения подходит
[/QUOTE]
Да, это спам-бот. Код пошифрован с ключом $1a, потом упакован UPX.
Из 28 антивирусов только один выдал подозрение:
Fortinet 2.82.0.0 11.11.2006 suspicious
да еще один признал разновидность трояна Obfuscated:
VirusBuster 4.3.15:9 11.10.2006 Trojan.DL.Obfusc.Gen.4
остальные вообще ничего не видят.

Удаляйте C:\WINDOWS\Inf\msmgr32.dll с помощью отложенного удаления в AVZ, с эвристической очисткой.