сталкивался с ним.
это руткит, находится в system32 (в скрытом виде).
сразу естественно удалить себя не даст.
а запускается он дописав себя после эксплорера в шелле.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\
параметр Shell
сотри его от туда, и ещё поиском пробегись по реестру поубивай если где ещё его найдёшь.
потом ребут и удаляй его из system32.