Ну...
Тут нужно сказать вирусотворцы соригинальничали

Полное имя                  D:\SETUP.EXE
Имя файла                   SETUP.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ АВТОРАНОВЫЙ в автозапуске
                           
www.virustotal.com          2015-07-15
McAfee                      Artemis!B8F8E2E9AE14
VIPRE                       Trojan.Win32.Generic!BT
K7AntiVirus                 Trojan ( 002e28ba1 )
K7GW                        Trojan ( 002e28ba1 )
NANO-Antivirus              Riskware.Win32.BitCoinMiner.ddqhgy
Symantec                    Trojan.Gen.2
ESET-NOD32                  a variant of Win32/BitCoinMiner.M potentially unsafe
Avast                       Win32:Malware-gen
Kaspersky                   not-a-virus:RiskTool.Win32.BitCoinMiner.cdq
Comodo                      UnclassifiedMalware
DrWeb                       Trojan.Coinbit.39
McAfee-GW-Edition           Artemis!PUP
Avira                       TR/Rogue.11779900
Kingsoft                    Win32.Troj.Generic.a.(kcloud)
AVware                      Trojan.Win32.Generic!BT
Baidu-International         Hacktool.Win32.BitCoinMiner.cdq
Ikarus                      Trojan.CoinMiner
Fortinet                    Riskware/BitCoinMiner
AVG                         CoinMiner.DEO
Panda                       Trj/OCJ.F
                           
Удовлетворяет критериям    
TASK-S - ЗАДАЧА, ДЛЯ ФАЙЛА БЕЗ ПОДПИСИ.( ~ \TASK)(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [skip]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ АВТОРАНОВЫЙ в автозапуске
File_Id                     51A6E057596000
Linker                      11.0
Размер                      5839360 байт
Создан                      14.02.2015 в 13:18:18
Изменен                     30.05.2013 в 09:15:06
                           
TimeStamp                   30.05.2013 в 05:15:03
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            testzip.exe
Версия файла                1.0.0.0
Описание                    Office 2013
Производитель               Microsoft Corporation
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск                  из AUTORUN.INF в корне диска [типично для авторановых вирусов]
                           
Доп. информация             на момент обновления списка
CmdLine                     -A D:\SETUP.EXE -D D:\
SHA1                        03E6158B3B13F88607AFFBB279D6AD4AF664E0B0
MD5                         B8F8E2E9AE145ED3C94353BC7208340A
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\{CBE7C352-2380-4E82-8BEC-96D7562DD7A0}
                           
Ссылка                      D:\autorun.inf

Увидел, как то сразу не понял в чем прикол.
Интересно глянуть что это за хрень
%SystemDrive%\PROGRAM FILES\BLAZERS\WAC.EXE

Интересно  это съёмный диск, или нет ?

Не интересно

так, как :
First submission 2015-04-17 07:31:39 UTC (3 месяцев, 1 неделя назад)
Last submission 2015-07-18 15:18:38 UTC (6 дней, 3 часов назад)
https://www.virustotal.com/ru/file/979fb54acc4e2615713389e1acdb7c02071827e4483e9434­749f5220eafb854c/analysis/
Был бы вирус его за три месяца уже бы давно добавили в базы.
А вот все файлы этого производителя: http://www.herdprotect.com/signer-lechengbeijing-technology-development-coltd-09d77baeb0e0b5305e9a26629bcf675b.aspx

Если скинет карантин, оправлю в вирлаб, чтобы знать на будущее.

обновился AdwCleaner до v 5.0 (c 4.2)
есть изменение по алгоритму работы, добавилась секция параметры, причем, два параметра активны по умолчанию:
надо иметь ввиду, что они будут применены по умолчанию.
(лучше бы разработчик убрал бы их, чтобы можно было включать, когда это необходимо)

Уже не должен по умолчанию сбрасывать прокси. Сбрасывает только Winsock настройки.  

Майк,
и настройки winsock желательно не трогать без необходимости.

ZloyDi,
по Dorkbot все таки лучше использовать сигнатуры.


и эта же сигнатура отрабатывает по другому образу.

Появилась новая разновидность Trojan.Encoder.858. Ставит расширение к файлам breaking_bad. У кого тело шифровальщика найдется скиньте мне на почту. Пока заражение происходит предположительно через зараженные сайты, на которых скорее всего весят эксплойты.