История...писал специало от третьего лица, а не от первого.

как-то раз, выключая компьютер, один нихрена не маленький мальчик, имя котрого всем ут известно (я, для тех кто не понял), увидел перед собой странное окошко - "завершение работы servises.exe"
- What a fucka? [censored] [censored] [censored], -сказал он, после того, как треклятый servises.exe, завершил свою работу, и появилось такое же окошко, но на этот раз с lsass.exe, а потом с winlogon.exe. От столь пламенной речи завял кактус на подоконнике в соседней комнате...
Комп естественно сразу же включили, дабы понять причину засыхания кактуса.
- Хочу msconfig! - сказал LeNS, нажимая Win+R и вводя msconfig.
Вот она закладка Автозагрузка, и вот левые Empty, br3687on, br3687off, и еще какие то левые файлы, имя которых запомнить не удалось.
- Че за нах... - сознание не понимало, почему у br3687on есть пропись команды, но не указан путь до файла.
При внимательном изучении остальных файлов через NeoWin нашелся путь в HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- Хочу regedit! - сказал LeNS, набирая команду regedit.
- ПАМ! редактировани реестра запрещено Администратором системы! - ответил комп.
- What a fucka? [censored] [censored] [censored], - и на окне в соседней комнате завял второй кактус... - Ладна, не хочеш по хорошему, будет через тоталком, - зло ответил монитору LeNS, кликая Total Commander, и открывая через него редактор реестра.
Естественно все в Автозагрузке было выключено, а в реестре при детальном рассмотрении файлов был найден адрес C:\Documents and Settings\Имя пользователя\Local Settings\Application Data\br3687on.exe который путем абстрактных умозаключений был признан путем до файла. Зайти по указанному адресу занало пару мгновений.
- уууууу, - только и смог выдавить LeNS, увидив в папке Application Data еще несколько левых файлов. - Вай, да тут и старые знакомые сидят! - вырвалось у него, при узечении списка
br3687on.ехе
br3687off.exe
csrss.exe
lsass.exe
servises.exe
smss.exe
winlogon.exe
Там же была замечена папочка Boron.tok-16-20, в которой валялся список на 50 ini файлов с конкретно левыми е-майл адресами вместо названий...
- Хочу антивирь на весь этот бред, - удивленно (было от чего удивиться) сказал он, запуская AntiVir. Как ни смешно, но антивирь сразу же нашел y1.dll и y1.ini в папочке C:\WINDOWS\system32\
Нашел и сразу же сдох. Больше запустить софтину не удалось.
- Хочу сканер! - зло ответил на это действие LeNS, запуская сразу три сканера системы.
Как ни странно, но тцательнаное сканирование системы нашло еще один файлик C:\WINDOWS\ShellNew\ тут. Имя прочтению не потдавалось, но общего было у них то, что ВСЕ ЭТИ ФАЙЛЫ весили 44 424 байта.
Было от чего почесать затылок. Естественно файлы пошли под Delete. Половина сказала, что они системные и трогать их нельзя ни под каким соусом, а другая половина заявила что файлы заблокированы и надо снять защиту от записи. Однако удаление расширения у файлов дало удивительный результат - файлы подверглись кнопочке Delete, но СРАЗУ же появились снова!
- What a fucka? [censored] [censored] [censored], - и в соседней комнате завял третий кактус. Нифига не понимающий LeNS полез в интернет, но ему сказали, что страницу найти не судьба. Попробовал другой адресс. Тот же результат. Третий, четверный... итог тот же. Релогин тоже не дал реультата. Сеть конектилась, но работать не хотела. Ребут не помог.
- What a fucka? [censored] [censored] [censored], - с жизнью расстался четрвертый кактус...
Рука потянулась к телефону, на всякий случай проверить, а не отрубил ли вирь и телефонную линию, а заодно электричество, воду и газ? Вроде все работало.
- Хочу новый Windows, - сказал LeNS, заходя в настройки BIOS и меняя порядок загрузки так, чтобы первым грузился CD-ROM в котором уже весело раскручивался загрузочный диск.
Винда ставилась поверх старой, как обычно минут 40. Потом драйвера на материнку, сетевую карту, звуковую карту, видео карту, сканер, принтер, монитор, клавиатуру. Необходимый минимум софта (WinRAR, Microsoft Office, Adobe Acrobat, Total Commander). Прошло еще около часа. Настройка подключения интернета убила еще один кактус - набирая ipconfig/release в командной строке все шло нормально, но после ipconfig/renew
IP по умолчанию почему то был не  192.168.1.2, а 192.168.1.7
зайти в протокол не выбирался, и указать VPI вместе с VCI не удалось. Голова начинала тихо закипать. Пораскинув по комнате мозгами пришло решение - прописать все в ручную, а не через Wizzard. Так и хотелось кричать "УРА!", но внимание привлекла папочка Мои Документы. Все бы ничего, но она УЖЕ лежала в папке Мои документы. Клик мышкой и открытие Проводника сбивают радостную улыбку с лица. Руки лезут в свойства папки и в сознание приходит мысля, что это нихрена не папка, а приложение Мои Документы.ехе, которое имеет значек стандартной папки Windows XP.
Путем абстрактных умозаключений установилась связь файла с уже удаленными переустановкой винды файлами
br3687on.ехе
br3687off.exe
csrss.exe
lsass.exe
servises.exe
smss.exe
winlogon.exe
Беглая проверка по уже изветным адресам и ключам реестра снова показала наличие той заразы которую удалось искоренить...
- What a fucka? [censored] [censored] [censored], -так загнулся шестой кактус на окне в соседней комнате, а LeNS`у пришлось второй раз менять Винду...

ЗЫ. это история моей сегодняшней воийны с червячком. У меня до сих пор валяется один такой файлик. Фишка в том, что при запуске приложения Мои Документы.ехе вирь начинает копирование по папкам, каждый раз переименовываясь под имя папки в которую он лезет. На первый взгляд кажется, что у вас в папке вторая папка с таким же названием, но на проверку оказывается то это увы не папка. Вирус каким то образом перклинивает TCP\IP протокол, заклинивает запуск програм типа Nero Burning Rom, загружает систему забирая на эти
br3687on.ехе
br3687off.exe
csrss.exe
lsass.exe
servises.exe
smss.exe
winlogon.exe
файлы бОльшую часть оперативки и сжирая место на жеском диске + обрывает нервы постоянными "завершениями работы процесса" из выше упомянутого списка. Если совсем не обленюсь, то проинсталю дикомпилятор, раскрою червяка на бинарный код, и скажу что еще он делает, ибо то, с чем столкнулся я, на мой взгляд, это не все его функции.
Продаю заархивированный файл с червяком по цене...эм..договоримся:) работоспособность вашего компа, после скачивания червя, я не гарантирую, но веселья будет дофига.

ЗЗЫ. я не смог установить причину появления гада на моем компе. Тот кто выдаст идею в духе "меньше лазей по порнухе", тот получает немедленный бан по IP и E-Mail адресу, ибо думать надо кому вы это говорите. не лазию я там, так что этот вариант исключается. У меня есть некоторые предположения, но нету доказательств. Если будут, то напишу сюда, но заранее предупреждаю - аккуратнее с прорталом Stalker-portal.ru (кажется такой адрес), ибо я ток с него в бижайшие 3 дня скачивал и запускал файлы.