Не могу избавиться от последствий захвата машины

В системе начали происходить посторонние процессы (винчестер , процессор перегружен, инет тормозит). При выходе из "Свойства системы" после нажатия "Применить"(убрал всякие анимации) сбились настройки рабочего стола (рабочий стол и панель задач - синие). Свойства рабочего стола оказались сильно усечены. В папке "Сетевые подлючения" обнаружил постороннее соединение. Открыл msinfo32 - обнаружил, что у меня установлена Windows NT (до этого стояла поставляемая с компом HomeEdition). Узнал, что меня ограничили в правах. Начинаешь восстанавливать права - ограничения усиливаются) Кнопка Пуск заражена (вместо выключения просто гасят экран а процессы продолжаются). После включения обязятельно всплывает какое нибудь предложение. Нажмёшь да или нет - запускаюся посторонние процессы (винт и вентилятор процессора работают на повышенных тонах).
Все программы в меню пуск не работают или работают с нулевым результатом. Программы из папок на рабочем столе после первого включения меняют дату создания и после этого работают неправильно или вместо них включается что то другое. Панель управления - заражена.
Изменять настройки, файлы - нельзя. Все "нельзя" сопровождаются оглушительным треском динамика и всплывающим крестиком в красном кружке на грязно белой панели аля виндоус95. Постоянно чувстуешь слежку. Актвно поработал с Поиском - его убрали. Побывал в папке - в следующий раз там появится Desktop.ini. Реестр - после перезагрузки все изменения пропадают. Попытался посмотреть, что они делают. Поиск - все файлы за сегодня. Множество файлов Config* с длинными расширениями, MPEG*, Jawa* и мегабайты CLSIDов в папках интернета.
Переустанавливал систему три раза родным диском восстановления. Последний раз с помощью WindowsXP Live снёс папку Windows, Documents and Settings и почти всё в ProgramFiles. Запустил WindowsUpdate. Она мне поставила все заплаты после SP2 и потом SP3. Через некоторое время начались опять клавиатурные цеплялки и нестабильости. DrWeb курет завис надолго а потом сказал что ничего нет. Точки восстановления пропали. Опять ночью запустился процесс и не смог выключить комп. В системных папках произошла замена на системные файлы 2004 года и у них путаница в датах создания и изменения. Файлы те же, что в папках Uninstal. Попробовал SFC, но она запросила диск, а там тоже 2004 год - поэтому не стал. С горя установил через WindowsUpdate IE8, полагая что они заметят подмену. Сейчас убрал всё лишнее, и отключил WindowsInstaller. Главное достижение -"Система электропитания". Снял галку с скринсавер и поменял схему управления на "портативная". Машина стала работать на порядок быстрей а процессор всё время незагружен и визги вентилятора больше не возникают. Сейчас за меня ставят в автозагрузку msconfig, stfmon и удалённого помошника. В интернете не переключается клавиатура. Перед выключением комп виснет на 50 секунд. На утро обнаруживаю, что скрыты все диски в проводнике и тд.
У соседа пенсионера дела ещё хуже. Загрузка больше 5 минут. И все кнопки тяжеленные. Оказалось тоже установлена WindowsNT.
У него безлиминтный интернет на 20Гбайт в месяц. Для работы в интернет-трейдинг хватает 5-7Гбайт. Остальное забирают эти товарищи. Помочь ему не решаюсь, зная что у себя до конца вопрос не решил.
Какие возможны дальнейшие шаги?

Признаков заражения в логах не видно.

Выполните скрипт в AVZ:
[CODE]begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]
Сообщите, что изменилось в поведении системы.

Посмотрел. Такое значение ключа (1) уже стоит в этой ветке.

Скрипт выполнили?

[QUOTE=pig;454654]Скрипт выполнили?[/QUOTE]
нет

В таком случае выполните.

Скрипт выполнил. Изменения незаметны. Спасибо за микропрограммы. Не знал, что за пунктом "Восстановление" скрыто столько полезных вещей. Отправил на проверку файл Notepad.exe (дата создания 9.08.2009; их почемуто два - в папке Windows и \System32; и с него у меня тогда начались заморочки (стали появляться в моих папках файлы *.exe.txt). Результат проверки - 1/41. Таких системных файлов с испорченными датами много (в том числе и ntoskrln.exe). В папке Windows\DriverCache\i386 - эти же файлы. Не знаю как выполнить SFC, чтобы встали файлы из папки Windows\ServicPackFiles. Виндоус считает, что пакет обновления SP3 установлен.
"Перед выключением комп виснет на 50 секунд" - стояла опция "Очистка файла подкачки перед выкл".:) Спасибо.

[QUOTE=Yury Yr;456159]Не знаю как выполнить SFC, чтобы встали файлы из папки Windows\ServicPackFiles. [/QUOTE]Никак. Команда предполагает наличие компактдиска с дитрибутивом.

[QUOTE=Yury Yr;456159]Виндоус считает, что пакет обновления SP3 установлен.[/QUOTE]
А он установлен: [QUOTE]Platform: Windows XP [COLOR="Red"]SP3[/COLOR] (WinNT 5.01.2600)[/QUOTE]

Для выполнения команды sfc /scannow Вам нужно изготовить дистрибутив с интегрированным СП3: [url]http://www.oszone.net/display.php?id=3759[/url]

[QUOTE='Rene-gad;456286']Для выполнения команды sfc /scannow Вам нужно изготовить дистрибутив с интегрированным СП3: [url]http://www.oszone.net/display.php?id=3759[/url] [/QUOTE]
Для меня это слишком сложно. И всё равно источник происхождения этих корявостей не пойман и не устранён. Буду опять сносить Windows. Вспомнил, что перед установкой не удалял файлы C:\pagefile.sys и C:\ntldr.
А может это меня Майкрософт экзекутит? или вносит свою лепту в эти процессы. Почему то при установке у меня ни разу не спросили ключ, который приклеен на компьютер. И потом ни слова про активацию. А я как только сделал интернет - сразу включил WindowsUpdate. Можно ли найти запись в реестре про то, что я им ничего не должен?
Больше никаких мыслей нет.
Вот ещё обнаружил странный никому не нужный процесс. Сразу, после включения удалённого соединения, большой файл svchost.exe (в котором все службы) начинает методично лопатить файлы со скоростью 20 чтений+20 записей = 20 000 записано байт в секунду. 70Мб в час, 1Гб в день. Причём независимо от того есть работа в сети или нет. В сеть и из сети эти файлы не идут. На винчестер не пишутся. Смотрел вновь созданные и изменённые - всё чисто. Получается всё это работает в беспроводную сеть. Но так как беспроводные соединения у меня откючены и (Wireless Lan Driver - выключен), то этот ощутимый процесс работает в холостую. Удалял с помощью ProcExplorer из этого svchost.exe поочерёдно все службы. Остались неудаляемые Телефония (tapisrv.dll) и дипетчер подключений удалённого доступа (rasmans.dll), а он всё лопатит. Останавливается этот процес выключением Explorer.exe из диспетчера задач или выключением удалённого соединения. Кто знает, как остановить эту холостую никомуненужную работу компьютера?
Спасибо.

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

[QUOTE='Yury Yr;458168']20 000 записано байт в секунду. 70Мб в час, 1Гб в день[/QUOTE]
Очепятался. Конечно же 700Мб в час! 10Гб в день.

[QUOTE=Yury Yr;458168]Вспомнил, что перед установкой не удалял файлы C:\pagefile.sys и C:\ntldr.[/QUOTE]А перед установкой ничего удалять не надо. Нужно создать новый раздел на диске, инсталлер Винды его сам отформатирует и систему поставит.

[QUOTE='Rene-gad;458291']Нужно создать новый раздел на диске, инсталлер Винды его сам отформатирует и систему поставит. [/QUOTE]
Это приведёт к потере всех данных на диске. Разве это наш метод?

[QUOTE=Yury Yr;458440]Это приведёт к потере всех данных на диске. Разве это наш метод?[/QUOTE]Если Вы вынуждены переустанавливать систему из-за вирусов, то установка [I]поверх[/I] ничего не даст, можно с ней и не начинаться.
Данные можно сохранить на другом носителе.

[QUOTE=Yury Yr;458544]Прошу посмотреть логи[/QUOTE]А кто запрашивал лог gmer или какой-либо другой лог?

[QUOTE='Rene-gad;458442']Если Вы вынуждены переустанавливать систему из-за вирусов, то установка поверх ничего не даст, можно с ней и не начинаться.
Данные можно сохранить на другом носителе. [/QUOTE]
Ну а форматировать диск, когда ни один антивир и ни один модератор не находит врагов, и, тем более, переносить зараженные данные на другие носители - вреднейшая и бесполезнейшая затея и, по-прежнему, не наш метод.:)

[QUOTE='Yury Yr;458168']Кто знает, как остановить эту холостую никомуненужную работу компьютера? [/QUOTE]
На самом деле эта "никомуненужная работа" происходит практически у каждого. Достаточно запустить Диспетчер задач (Ctrl-Alt-Del) и далее "Вид" -> "Выбрать столбцы..." и поставить галки "Число чтений", "Число записей", "Записано байт".
C помощью программки Procmon.exe, ну и потом Гугли, удалось разобрать этот вопрос! - Оказалось, что эти 720Мб в час записей -это плата за то, чтобы мы видели в трее значёк интернета и знали, есть подключение или нет. Explorer.exe 20 раз в секунду обращается в реестр к записям
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{здесь у каждого свой провайдер} и выводит значёк интернета в область уведомлений панели задач. Если в свойствах соединения снять галочку напротив "При подключении вывести значёк в область уведомлений", этот великий процесс останавливается.:)
Спасибо помощникам и модераторам. Отдельное спасибо создателям чудо-программы AVZ.

Постоянно прописывается вот эта строка в загрузку
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FD46187-3806-4A73-BD39-1F4A2933F280}: NameServer =
91.144.150.3 91.144.148.3
Я её удалю, а она после работы в инете опять прописываетя. В реестре нашёл очень много
упоминаний об этом устройстве ( в разделах той же ветки Lanmanserver и нетбиос, хотя всё это у меня отключено). Мне бы это не мешало. Но в работе интернета стала проявляется нестабильность. То нельзя, это нельзя, не могу соединить и тп. Была проблема с установкой принтера. На сайте майкрософт автопомошник установил мне английский диспетреч очереди и вроде печатать могу.
Является ли данная нестабильность усердием майкрософт помочь мне (на это усердие у меня накопился том претензий) или это кто-то косит по хозяев Windows. Можно ли удалить в реестре все упоминания об этом устройстве и ссылки на него.
Кто что знает об этом, помогите.
Спасибо.

Это ваш провайдер:
inetnum: 91.144.148.0 - 91.144.151.255
netname: ERTH-KIROV-NET
descr: ZAO "Company "ER-Telecom" Kirov address space
country: RU

У Вас настройка сети через DHCP?

Спасибо величайшее. Получается я в борьбе с ветрянными мельницами мочил своих.:)
Машину после описанных выше событий настроил - зверь. Кнопки - легчайшие, папки, менюшки, окошки открываются моментально. Интернет - быстрее всех (ну сколько провайдер позволяет).
Могу поделиться профилем, кому интересно. Как будто у меня не ноут в 1.7Gb, а двухядерный по три.:)
Но вот эти нестабильности мают. Удаляю все папки темп, темпорари интернет файлз и проч с помощью ATF-cleaner.exe, перезагружаю комп и всё опять работает. А хотелось бы об этом вообще не думать. Хватило испытаний на пять лет вперёд.:) Вот и сейчас пока писал, меня два раза терял ваш сайт. Опять имя-пароль и пишу заново.
"...настройка сети через DHCP?" - Сетевая карта Broadcom 440x 10/100 Integrated Controller. Все другие модемы поубивал в диспетчере устройств. Эртелеком, dom.ru - кабельный, до 1 Мбит/c, после 2-х ночи - до 2Mбит. Служба DHCP нужна, без неё нет соединения. Всё, что знал, сказал.
Спасибо.

[QUOTE='Yury Yr;474812']Вот и сейчас пока писал, меня два раза терял ваш сайт. Опять имя-пароль и пишу заново.[/QUOTE]
Настройку куков проверь.
Насчет очистки не знаю как в ATF, в CCleaner можно задать очистку по расписанию
и не мучаться.

Да. Ccleaner.exe - на рабочем столе. Его первым делом всегда включаю. Но он не чистит папки темп. А последние версии перестали показывать, что чистят. Поэтому пользуюсь v2.05.555

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[QUOTE='PavelA;474819']Настройку куков проверь.[/QUOTE]
Если можно, подробней, как или где её проверить.
Спасибо.

Чем пользуешься: IE, Opera,Mozilla?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE='Yury Yr;458946']Если в свойствах соединения снять галочку напротив "При подключении вывести значёк в область уведомлений", этот великий процесс останавливается.[/QUOTE]
Я сомневаюсь. Думается, что в недрах винды все равно этот подсчет идет.