Поймал, сам не знаю что.
Вроде в системе ничего лишнего не появилось. Антивирус молчит, процессов посторонних не наблюдается.
Симптомы: периодически появляется ошибка о сбое в процессе IEXPLORE.EXE
Наблюдения: самопроизвольно запускается процесс iexplore.exe, причем с параметрами (логи ведет anvir, но в логах не видно кто запустил процесс), в параметрах обычно какой нибудь редкий поисковик и поисковый запрос. Запросы постоянно разные. На экране окно ИЕ не появлется, т.е. запускается в скрытом режиме, увидеть можно только сам процесс, открыв диспетчер задач. Обычно запускается сразу 2 процесса. Убивая один, второй убивается автоматом.
В логах Анвира примерно такие сообщения "08/09 23:43:55 iexplore.exe 4216 started by svchost.exe NT AUTHORITY\SYSTEM C:\Program Files\Internet Explorer\IEXPLORE.EXE http://theconceptscreenplay.com/search/ ... es+coupons
" или "08/09 23:43:55 iexplore.exe 4636 started by svchost.exe NT AUTHORITY\SYSTEM C:\Program Files\Internet Explorer\IEXPLORE.EXE http://educanuair.com/search/?lake+leelanau+rentals
". Первый адрес всегда разный.
Решение: пока что выкрутился переименовыванием файла iexplore.exe, но проблема не решена.
Подскажите что можно ковырнуть и куда можно заглянуть, чтобы попытаться найти вредителя, подозреваю модифицирован какой нибудь системный файл или библиотека.

Здравствуйте, Viha.

Судя по , кто-то сидит внутри svchost. Просмотреть список служб, работающих внутри процесса svchost, а также подгруженные файлы и прочую информацию можно, например, с помощью ProcessExplorer. Имеет смысл проверить наличие подозрительных задач планировщика. Также вы можете собрать логи с помощью nanoreport и отправить их к нам - мы просмотрим логи, и, возможно, попросим вас выслать подозрительный файл на анализ.

Логи nanoreport сейчас высылаю с кратким описанием проблемы и ссылкой на эту тему.
В назначенных заданиях ничего нет, был правда гуглевский апдейтер назначен. Удалил его, он тоже мне поднадоел.
В процессах, просмотрел с помощью анвира, тоже вроде ничего подозрительного не вяжется к svchost. Вслед за логами nanoreports отправлю и сам svchost.
Ушли логи и письмо с аттачем на virus@nanoav.ru

Спасибо. Ответ получил. Рекомендуемыми программами не пользуюсь, но, думаю, разобраться не составит труда. Проверить и предоставить данные смогу только после среды. Необходимо выехать на несколько дней, так что доступ к компьютеру будет невозможен.

Если можно, в двух словах - как настроить ProcessExplorer на отлов запуска ИЕ? И какую информацию и как нужно будет собрать для отправки в лабораторию?

Viha, здравствуйте.
В вашем случае ProcessExplorer послужит для получения дампа svchost (просто правой кнопкой на процессе, create dump).
Момент запуска iexplore.exe можно и просто в диспетчере задач. ProcessMonitor может в этом деле помочь. Нажимаем Filter -> Filter... Далее подбираем соответствующее условие для фильтра. Например, убираем все, чей ImagePath не соответствует C:\Program Files\Internet Explorer\IEXPLORE.EXE. Для этого выбираем соответствующий параметр, выставляем is not, в следующее поле вбиваем данный путь, в последнем поле ставим Exclude. Готово, остается ждать, когда посыпятся соответствующие сообщения.
Пришлите нам дамп соответствующего svchost`а и все подозрительные файлы, которые обнаружите утилитой autoruns.

Ну вот, дошли руки...
Сделал дампы. Дамп процесса svchost-родителя в котором появляется ИЕ и дамп самого родительского процесса ИЕ (получилась лесенка: уровень 1 - svchost.exe; уровень 2 - IEXPLORE.EXE; уровень 3 - несколько IEXPLORE.EXE). Дампы сделал уровней 1 и 2. Делал полные дампы. Объем получился порядочный. Заархивировал их по отдельности с паролем 123. Выложил на ргхост вместе с архивом подозрительных на мой взгляд dll-ок и самим svchost.exe (все они лежат в Windows\system32\) ну и сам IEXPLORE.EXE тоже в архиве со стандартным паролем.

PS Перед созданием дампов загрузился под вин7 и вычистил под ноль темп, хистори, архив, кукисы и прочее и прочее, все что смог найти связанное с ИЕ.

Viha, мы просмотрели Ваши дампы. Действительно имеет место инжект dll`ки в svchost. Но при этом нет никаких следов того, каким образом это было сделано. Нет и имени dll`ки. При этом, возможно, её и на самом диске даже не окажется (возможно она выбрасывается прямо в память).
Есть вероятность, что опознать данную dll удастся по размеру. Поищите на диске файлы размером 22016 байт.
Но главное - поймать того, кто инжектит данную dll`ку. Для этого лучше просмотреть всевозможные места автозапуска. Попробуйте просмотреть c:\Documents and Settings\All Users\Application Data\ на предмет "левых" файлов. Dll`ка качает зашифрованный конфиг, в котором находятся url, и потом открывает их в IE. Конфиг, как раз, скачивается в %Application Data%.

Тут архив IE.RAR с паролем 123.
Собрал все что смог найти по Вашей подсказке - все dll-ки размером 22016 байт и один интересный файлик... В архиве структуру папок сохранил как на диске С. Так что проблем с разбирательством что и где живет возникнуть не должно. Но если что то еще нужно найти или проверить - я всегда готов. Лишь бы избавиться от этой гадости цивилизованным путем. Подозреваю, что не у меня одного такая проблема, но мало кто может о ней догадываться. Да и в инете не встречал описание подобных явлений. Могу предположить, что другие антивирусы не разбирались с этим явлением. По крайней мере дрвеб точно (я их утилитой недавно полностью комп проверял и она ничего не нашла). Да и каспер свои утилиты раздает бесплатно, они тоже ничего не нашли.

Победил, кажется, я свою проблему. Точно не скажу какой именно файл был виноват, но удалил из системы три файла:
1) c:\windows\system32\drivers\pci.sys
2) c:\windows\system32\wmdrmsdk.dll
3) c:\windows\system32\twext.dll
Моя история кратко...
Заметил, что в процессах висят два процесса iexplore.exe при том, что самих окон нигде не видно. Поковырявшись в логах программ, увидел, что ИЕ запускается с завидной регулярностью, причем с заданным адресом в адресной строке. Адрес всегда разный и по большей части поисковые запросы. Переименовав файл C:\Program Files Internet Explorer\iexplore .exe в что угодно, лишь бы оно не запускалось, я на некоторое время проблему решил - процессы не запускались. Затем не знаю, что произошло, но при запуске любого интернет приложения два процесса svchost.exe начали грузить процессор на 100%. Методом проб и ошибок, плюс свободное ПО другого антивируса, плюс два дня времени на тесты, плюс размышления... Из системы удалены выше указанные файлы.
Теперь ИЕ не запускается в фоне. Интернет приложения запускаются свободно, ничего систему не грузит. Файлы отправлены в лабораторию НаноАВ, правда сегодня только понял, что отправил их на support, если есть необходимость, то перешлю на virus.

И ни ответа ни привета... Наверное разработчики все силы бросили на тесты-проверку-исправления в новой версии...