БЫл найден kido. после этого авз нашел ряд подозрений.

БЫл найден kido »Kido у вас и остался.
>>> Подозрение на маскировку ключа реестра службы\драйвера "mfsfms"Сделайте лог gmer. Для его создания отлючите и выгрузите все программы включая антивирусные средства, отключитесь от сети.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
[hr]
Если по каким-то причинам лог gmer не удастся сделать. Воспользуйтесь графической оболочкой для kidokiller - Quick Killer - GUI для консольных утилит Лаборатории Касперского (http://forum.oszone.net/thread-164133.html). Скачайте архив. Запустите утилиту QuickKiller.exe

1. Установите переключатель в положение KidoKiller
2. Установите галочку Записать в лог 'report'
3. Установите галочку Удаление остатков служб оставшихся после вируса
4. По окончании не ждать нажатия любой клавиши...
5. Нажмите кнопку Выполнить

Дождитесь окончания сканирования и после чего в папке из которой был запущен QuickKiller появится лог report-[Kido].txt прикрепите его к сообщению.

Подозрения кажется связаны с тем, что у вас не стандартная папка %WinDir% у вас она равна каталогу C не системный диск, а именно имя каталога C:\C\system32.

Мне так кажется...