Зараза регистрирует себя по следующим адресам:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache
"C:\RECYCLER\S-1-5-21-5151050744-6534145795-177386695-3900\mwau.exe"="mwau"
"C:\RECYCLER\S-1-5-21-6044136473-1187478682-175657104-4689\mwau.exe"="mwau"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MsConfig\startupreg\Microsoft Windows Automatic Update
"command"="C:\RECYCLER\S-1-5-21-0114444470-0002098367-228570597-8955\mwau.exe"
"hkey"="HKCU"
"inimapping"="0"
"item"="mwau"
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\R un"

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
"Microsoft Windows Automatic Update"="C:\RECYCLER\S-1-5-21-8575858697-4780426435-050333250-1480\mwau.exe"

Распростроняется на съемных носителях в виде двух файлов:
autorun.inf
explorer.exe
И по видимому через сетевые ресурсы или уязвимости в рпс
Что примечательно авторан нод блокирует, а на експлорера молчит...

В системе сидит в папках:
C:\RECYCLER\........\mwau.exe
C:\Documents and settings\%Username%\Local settings\Temp\<randomname>.sys

так же внедряется с процесс system.exe и скидывает дату на 1 января 2070 года 4:00

Боролся с вирем загружаясь с Live CD
И после чего вручную почистил папки RECYCLER и Temp и все стало на свои места!

Но возникла еще одна проблемма! Неизвесто из-за чего после смены времени в прежнее состояние на некоторых компьютерах не выполняется вход локального пользователя... Читал по этому поводу и узнал что нужно отредактировать userinit.exe в реестре... но так и ненашел где (