AdWare.Win32. Agent.qgf. AdWare.Win32. Agent.qgf кто знает что это за вирус?

Новый вирусняк противный довольно!

Программа показа рекламы, написана на Visual C++. Программа является динамической библиотекой Windows (PE DLL-файл) . Имеет размер 598016 байт.
Приложение копирует свои исполняемые файлы со следующими именами:
%Program Files%\Wyeke\wyeke.dll
%Program Files%\Wyeke\uninstall.exe
%Program Files%\Wyeke\wyeke.exe
%Documents and Settings%\All Users\Application Data\
Wyeke\wyeke127.exe
Для автозапуска при каждой загрузки ОС создает службу со следующими параметрами:
Имя службы:

Wyeke Service
Название:
Wyeke Service
Описание:
Update and control for Wyeke
Файл:
"%Documents and Settings%\All Users\Application
Data\Wyeke\wyeke127.exe" "wyeke.dll" Service
Устанавливает элемент поиска "Wyeke" в панели инструментов таких браузеров как MS Internet Explorer и Mozilla Firefox.

Библиотека "wyeke.dll" содержит в себе зашифрованную библиотеку "nncore.dll", после расшифровки которой – выполняет ее функционал. Библиотека экспортирует следующие функции:

Command()
Init()
Install()
Main()
Opt()
Proc()
Service()
Uninstall()
После активации приложение повышает привилегии для своего процесса. Также пытается запретить любой доступ к информации процесса. Для контроля уникальности своего процесса в системе троянец создает глобальные уникальные идентификаторы с именами"91auo+#>>>
Добавляет следующую информацию в системный реестр:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wyeke]
"Primary"=dword:0000a9fd
"DllPath"="%Program Files%\Wyeke\wyeke.dll"
"Version"=dword:0001005f
"Cid"="3fb86536b44a4d68b4e012aae8758386"
"Partner"="WYEKE127"
"Src"="wyeke"
"ShowToolbarButton"=dword:00000000
"ShowBarSign"=dword:00000000
"UpdateTimeH"=dword:01cbbe92
"UpdateTimeL"=dword:e73555ec
"FXInstalled"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders]
"Local AppData"="%Documents and Setting%\%Current
User%\Local Settings\Application Data"
В параметрах ключа реестра приложение сохраняет свои настройки, такие как:

информацию о своих установленных плагинах в браузерах;
время обновления;
расположение своих системных файлов;
номер версии.
Также устанавливает системные перехватчики, при помощи которых перехватывает ввод с клавиатуры в адресной строке браузера. После чего перенаправляет поисковый запрос на свой ресурс:

http://www.w***ke.com
Приложение загружает и устанавливает свою обновленную версию без уведомления пользователя.

Какая разница. Удаляйте скорее.

http://www.z-oleg.com/secur/virlist/vir1095.php вот тебе по первому а в остальном гугл в помощь либо сайт каспера