не пойму, с какой стороны ловить. в логах HijackThis и AVZ видно, что процессы запускаются не из системной папки, а из C:\Documents and Settings\Администратор\WINDOWS\System32\smss.exe
причем, не один, а ... десятки процессов. Такие, без которых работать-то нельзя.
