Началось с того, что клиентка нахваталась вредоносных программок в свой ноутбук Lenovo. Вредоносов я вычистил, вроде порядок, сканеры ничего не находят, руками все перерыл, никаких больше рекламок не вылазит и ничего не тормозит - отлично. Звонит со словами "А у меня теперь нет звука. Точнее, на звуке стоит птичка "отключить звук" и не снимается". Чудеса, думаю, надо глянуть. Приехал. Действительно, драйвера звука на месте, аудиоустройства установлены верно и правда в регуляторе громкости включена функция "mute", причем перманентно - не меняется состояние, при попытке снять галочку она мгновенно возникает на том же месте.

По началу решил, что балУется родная утилита Lenovo - может, заедает что в ней, случаи бывали. Сношу ее, заодно захожу в процессы, посмотреть, что там... вижу какой-то неизвестный мне процесс stdrt.exe, убиваю, отказываюсь от перезагрузки, предложенной удаляемой утилитой, снимаю галочку и... о, звук есть, значит таки Ленововская болячка. Отлично, перегружаюсь, звук приветствия слышу, ставлю заново утилиту Lenovo, перегружаюсь и... снова нет звука и птичка упорно не снимается. Да что задела? Снова удаляю утилиту, перегружаюсь - а звука все так же нет! И утилиты нет уже. Но как-то же я звук получил? Воспроизвожу последовательность действий в памяти и вспоминаю неизвестный процесс, удаленный с памяти... связи не улавливаю, но иду в диспетчер задач и - таки да, указанные запускаемый файл на своем месте. Недоверчиво удаляю процес, снимаю птичку в регуляторе громкости - мы снова при звуке. Вот так новость! Снова пробегаю утилитами по всем точкам, где может грузиться файл с именем stdrt.exe - а нигде не грузится, вот хоть убейся... но как-то же он попадает в память? Делаю поиск по имени - замечательно: папка временных файлов полна папок вида MRT2.TMP, с указанным файлом внутри, с занятной иконкой . Очищаю папку полностью, перезагружаю систему, иду снова в папку временных файлов... она все так же пуста... с минуту... затем снова появляется подпапка знакомого вида, с тем же гадостным файлом и парой вспомогательных. Что за Копперфильд такой? Лезу в яндекс, узнаю - точно, троян, почти никакому антивирусу не знакомый - на ПК как раз стол Касперский, до него был MSE - ноль; на вирустотал из 47 антивирусов его знали 4.

Выходит, у него в системе есть сообщник... что ж, будем искать. По информации с форумов, искать следовало файл

C:\WINDOWS\SYSTEM\REGSRV.EXE

или adbcnsl.exe в папке system32. Ни того, ни другого я там не нашел. Зато сортировкой по времени создания нахожу в папке system32 другой файл с той же иконкой - lnsecsl.exe. Сайт вирустотал дает ему абсолютно тот же диагноз - 4\47. А поиск по системе дает информацию о том, откуда у него ноги растут: в системе имеется хорошо замаскированная служба, мозолившая мне глаза, но не вызывавшая явного подозрения:

Имя: Adobe Licensing Console
Описание: This service allows console management and licensing for FLEXnet enabled products.
Запускаемый файл: C:\WINDOWS\System32\lnsecsl.exe

Вот такая вот собака поселилась. Зверек прикольный, но хозяйка шутку со звуком не оценила... пришлось пристрелить... нет, не хозяйку, а именно зверька. ;)