[DestR0yer]

Проблему решил, но до сих пор непонятно как это было реализовано и почему запускалось только под Админом.
Насколько я понял: был какой-то файл, который при запуске создавал и запускал свою копию, причем сохранял его в System32 под случайно сгенерированным именем. На момент когда я заглянул в System32 там было уже ~15000 копий, каждый файл кило по 16.
А решил проблему так: в TaskManager'е нашел первый попавшийся незнакомый процесс, нашел его на диске (в папке System32), отсортировал список файлов по дате создания и удалил все новые файлы.

Кстати и Касперский с новыми базами и DrWeb молчали в тряпочку, хотя на лицо вирус