Napadá mě jeden způsob útoku: vir odněkud do prohlížeče injektuje dll , která dělá neplechu, a tudíž je podezřelý browser a nemusí běžet žádný proces a ta dll ani pak nemusí být na disku... Nějaký mechanismus musí tedy při spuštění pc spustit browser...

dobré by bylo monitorovat procesy od startu až ke spuštění browseru.
Nebo analyzovat načtené dll browseru.