Подозрение на модификацию sdra64

Симптомы:
1. Блокирован каталог C:\Documents and Settings\user
2. В учетной записи user блокирован regedit и Диспетчер задач (стадарными методами, политики и реестр, не разблокируется) [B][COLOR="Red"]разблокировал поменяв значения политик "не задано-> включено->не задано"[/COLOR][/B]
3. В каталоге C:\WINDOWS\system32\drivers около 20 подозрительных файлов типа ati1xsxx.sys.
4. Avast pro обнаруживает файлы autorun.i, vsfoceankooruh.dll vsfocelltivxvk.dll
5. В ветке HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run случайно нашел ключик winlogon сщ значением c:\windows\system32\sdra64 .exe
6. Изначально был блокирован запуск всех антивирусных утилит и программ любым пользователем. Почистил в реестре из-под админа.

Все симптомы проявляются только относительно пользователя user.
Под админом работаю спокойно.

Предпринято:
1. Чистка автозапуска (msconfig)
2. CureIt! (полное сканирование)
4. Чистка всех каталогов с темпами всех пользователей (из под Ubuntu live CD)
5. Osam Auorun Manager полное сканирование - чисто.

Прошу помощи!

Если логи делались не из проблемной учетки, переделайте