тоже каспер нашел вот это Trojan.Win32.StartPage.amd Rootkit: Да Видимые проявления: Подмена стартовой страницы Невозможность восстановления стартовой страницы IE AVZ детектирует перехват функции ZwSetValueKey драйвером paraudio.sys Классический Trojan.Win32.Startpage, дополненный руткитом для блокировки восстановления настроек браузера в реестре. Исполняемый файл имеет размер 14336 байта, не сжат и не зашифрован. В случае запуска скрытно выполняет следующие действия: 1. Производит подмену стартовой страницы путем правки соответствующего ключа в реестре (устанавливает ссылку на некую страницу на китйском языке). 2. Создает на диске файл WINDOWS\system32\drivers\paraudio.sys и регистрирует его в реестре (ключ paraudio, симв. имя драйвера — \\.\RegGuard) 3. Загружает драйвер paraudio.sys