Hay muchos y muchas variantes de los mismos. Algunos son detectados, otros no. Y casi todos se remueven de forma diferente ya que el codigo fuente, obviamente, es modificado. O sea, que lo detecte tu antivirus, antispyware o anti lo que tengas depende unicamente de la popularidad del mismo. Ya que si no es reportado las empresas que actualizan estos programas no hacen nada al respecto.

Por ejemplo, hay una version del spyware que cambia la pagina de inicio por "search for" que actua de la siguiente manera. Reemplaza mshtml.dll, crea un archivo dll con letras al azar y lo carga cada vez que se inicia IE. Ahora si borramos este archivo de libreria generado al azar, mshtml.dll (que tambien esta infectado) verifica si fue eliminado y crea uno nuevo, o sea, la historia se repite.

Hay otra version del mismo que actua de la misma manera, la unica diferencia es que reemplaza NOTEPAD.EXE por un archivo infectado, tambien llamado notepad.exe. Y por ahi lei que hay otro que hace lo mismo con el media player. O sea, a lo que quiero llegar es que el objetivo de estas personas es reemplazar un archivo que se usa con frecuencia para que el spyware se ejecute nuevamente. Este archivo puede ser un exe o un dll. Generalmente nos damos cuenta porque aumentan ligeramente el tamaño de los mismos. Ahora, te estaras preguntando, y como hacemos para saber el tamaño que tenia antes?