винлоки легко "опускаются" установленным блоком записи в ветки реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit
В итоге даже если поймать эту смс-ную радость - после жесткой перезагрузки - всё ОК
а эти ветки аваст "пасет" интересно ?
====================================
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
--------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
-------
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
---------
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
----------
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
ключ "Shell"
----------
HKEY_USERS\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
ключ "Shell"