Недавно смотрел комп, в нем прописался вирус Win32/Agent.IW - троян шпион. Пришел по аське, сам себя по аське рассылает.

На компе стоит NOD32 с обновлениями. Вирус он видит, удалить не может - файл занят. Сидит в файле
%SYSTEMROOT%/system32/81*****.dll (цифры в названии файла не помню).

Первым делом, залез в службы, ничего не нашел (но ненужное на всяк случай отключил). Запустил AUTORUNS (от sysinternals) - внимательнейшим образом все просмотрел, было много ненужного, но ссылки на эту dll-ку не нашел. Просмотрел в реестре - была какая то прога типа Search, которая имела параметр со значением %SYSTEMROOT%/system32/81*****.dll. Грохнул. Ребутнул в безопасном режиме, удалил dll-ку с вирусом, почистил кеши и tmp-всякие, удалил весь мусор из {System Volume Information}, загрузился в нормальном режиме. Вирус снова в памяти, dll-ка снова создана, антивирус ругается, но вылечить не может.

Вопрос - где еще могут быть прописаны вызовы dll-библиотек?
Как отследить откуда происходит вызов?