[SolarSpark]

Вам нужен любой LiveCD с возможностью правки реестра
1. Скачайте образ, например: ERD Commander, запишите образ на болванку и загрузитесь с созданного диска
2. Пуск => Выполнить => erdregedit
3. Найдите в реестре и проверьте:

Ветка:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное.

потом делайте логи

[iskander-k]

I этап (выполняется на чистой от вирусов машине)

1. Скачайте на чистом компьютере, с которого сейчас пишете, образ ERD Commander (для Windows XP - версия 2005 (5.0), для Vista - версия 2007 (6.0), для Windows 7 - версия 2009 (6.5)). Ссылки найдете в Google, например.
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать -найдете самостоятельно в Интернете). В противном случае записываете образ на болванку, например, с помощью Nero

II этап (выполняется на заблокированной машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь
При загрузке Вы должны указать диск, на который установлена заблокированная система (образец)
3. Посмотрите в реестре:
ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр

Код:

userinit

параметр

Код:

shell

Значения этих параметров напишите в своем сообщении

[Katharsis]

Цитата Seth:

входе в любую учётную запись даже в безопасном выкидывает из учётки »

это не нахождение userinit.exe

Проверьте его в наличии в %windir%\system32
и запись в реестре:

Цитата:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="Буква системного раздела:\WINDOWS\system32\userinit.exe,"

[Seth]

качаю ERD Commander буду пробовать.

[Seth]

не помогло
фаил userinit.exe есть
путь сперва был
\WINDOWS\system32\drivers\system32.exe
очевидно что это паразит сменил на указанный
"Userinit"="Буква системного раздела:\WINDOWS\system32\userinit.exe,"
но не чего не помогло

[Katharsis]

С livecd (годится любой виндовый, например alkid livecd) или подключите hdd к другому компьютеру. ERD не подойдёт

1.Откройте каталог
Буква_заблокированного_системного_раздела:\Windows\System32\Config
найдите файл SOFTWARE без расширения, копию запакуйте, выложите сюда

2. сделайте лог Universal Virus Sniffer (uVS) инструкция , Скачайте архив с программой, сохраните например на флешку, распакуйте в отдельный каталог на жестком диске запустите файл start.exe, только прежде чем нажать "запустить под local system", нажмите "выбрать каталог windows" - выберите заблокированный.
С пункта "Выберите меню "Файл" => ..." выполняйте всё как написано. Лог сюда

[thyrex]

Удалите в реестре ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe(если таковая будет обнаружена)

[Seth]

Как только встречу снова такую прблему так сразу попробую, а предыдущие 2 раза в связи с отсутствием времени на решение производилась восстановления с использованием дистрибутива.