Запуск AVZ подтвердил мои догадки – произошла подмена файлов DrWeb и внесены изменения в переменную Shell в реестре. Но кроме этого, обнаружилось еще несколько причин. Обо всем по порядку.

1. Открываем редактор реестра (Пуск – Выполнить – regedit). Переходим в редакторе реестра по следующему пути - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon, после чего в правой части редактора реестра проверяем значение переменной Shell. В ней может быть записан лишь explorer.exe и ничего более. Если не так – исправьте. Но перед исправлением запомните имя вредоносного файла (не попутайте с системным, через который он запущен – обычно через rundll.exe) – например, в моем случае это был файл kjgk.sko. Этот файл необходимо будет удалить, после внесения исправлений в реестр. Скорее всего, он будет находиться в папках windows или windows\system, в противном случае воспользуйтесь поиском. Если файл не удаляется, используйте Unlocker (встраивается в меню правой кнопки мыши).

2. Там же, в редакторе реестра и по тому же пути проверяем значение переменной Userinit – в ней должна содержаться запись C:\WINDOWS\system32\userinit.exe, (обязательно с запятой на конце). Все что будет после запятой, рекомендую удалить.

3. Проверьте автозагрузку на наличие посторонних процессов (Пуск – Выполнить – msconfig). Смело убирайте галочки напротив всех процессов, названия которых вы не можете сопоставить с установленными на компьютере программами (кроме ctfmon).

4. В моем случае также была произведена подмена нескольких запускаемых файлов DrWeb. О наличии таковых можно узнать, проверив систему антивирусной утилитой AVZ. Если такие файлы имеются – просто переустановите пораженные программы.

В принципе, всей этой истории могло и не быть, если бы у меня не появилась привычка отключать антивирус во время запуска игр/графических приложений. Ну много ресурсов у меня потребляет DrWeb, что уж тут поделать.