Вирус открывает доступ по RDP, создает пользователя с правами администратора.
Доктором Вебом он уже описан, но удалить его не получалось - постоянно создавались файлы в каталоге windows\temp.
Избавился от него следующим образом:
Удалил службы BeTwin Terminal Services, BeTwin Terminal Services Proxy
Удалил пользователя TermUser
Удалил файлы в каталоге windows\systerm32
betwindd.dll
betwinproxyvs.exe
betwinscreensaver.exe
betwinservicevs.exe
Выявил
еще службу RDPSSW32, удалил файл
windows\system32\RDPSSW32.exe
Удалил ветку реестра
[\SYSTEM\ControlSet001\Services\Network Adapter Events] 'Start' = '00000002'
Удалил файл
windows\system32\msbkxzqw.exe
