Доброе время суток! Вот, товарищи, хотел написать про доброго, нежного, милого Kido, но столкнулся на днях с Trojan.Banker и понял, что на текущий момент он интереснее для изучения. Не берусь сказать, какая модификация, но это семейство характеризируется отдельными общими признаками.
К сожалению, я потратил на его изучение на день больше (общего времени, а не рабочего, мог баловаться с ним не более 3-х часов), чем мог бы, но это принесло свои плоды.
Это вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к банковским системам, системам электронных денег и пластиковых карт. Найденная информация передается злоумышленнику. Для передачи данных «хозяину» могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.
Trojan.Banker - он же "Троянец". Обладатель Ваших аккаунтов и паролей к клиент-банкам и интернет-банкингам. Много пьет, всегда простужен. Характер скверный. Не женат.

• Во-первых, рекомендую удалить из автозагрузки, Планировщика заданий, реестра и вообще, Google Update.
• Автозагрузка троянца происходит в
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "GoogleUpdate"="<путь_к_оригинальному_телу_трояна>"
  .
• Каждые 50 секунд троянец выполняет загрузку файла с тырнета, ссылки не дам - не знаю, но достоверным источником замечено, что делает, да и по-сути, откуда же ему ещё взяться? ))))
• Каждые 500 мс троянец производит перезапись файла:
  
  %System%\drivers\etc\hosts
  где редиректит адреса многих банков на свои IP-адреса.
• Дописывает себя в конец строки
  [ HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon ] C:\Windows\system32\userinit.exe
  чем вызывает себя при загрузке системы.

Может есть ещё некоторые "особенности", но в процессе удаления замечены не были.
Был замечен, а затем исправлен 2-я программами:

1. ZBotKiller - универсальный скрипт по обнаружению троянов в процессах и их удалению.
2. Trojan Remover - ним я его и увидел в реестре.
3. Kaspersky Removal Tool - контрольный.

Чем разочарован, так это Доктором Ливси Вэбом. Он ничем абсолютно не помог.
P.S. Я не утверждаю, что заметил лишь один вирус, вполне возможно, что их было несколько и они действовали сообща. Факт остается фактом - машина чиста, юзер доволен.