Хм... Интересный поворот событий произошел...
Вот лог скана AVZ
Ну самое интересное что здесь:
[микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows,AppInit_DLLs,C:\WINDOWS\ system32\rserver30\r3god.dll
Это Radmin... Причем вылеченный от жадности, разумеется...

Скачанный с этого форума... После удаления этого файла, радмин остался работоспособным... Кхм...
И второе -
>>> C:\WINDOWS\system32\ntos.exe ЭПС: подозрение на Файл с подозрительным именем Trojan.Win32.Banker (высокая степень вероятности)
>>> C:\WINDOWS\system32\ntos.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
Вот, похоже оно! Открыл реестр - нашел ключи автозапуска... Удалить не получалось - файл запускал Winlogon.exe. Через параметр "Userinit".
Дальше разблокировал Unlocker - ом, вырезал на рабочий стол и о ЧУДО! Nod заверищал! Вероятно модифицированный Win32/obfuscated!
Все, будем ждать результат... Тему пока не закрываем...
P.S: CureIt в этом файле ничего криминального не нашел...

И оба нашли много безобидного...