После удаления baseprew32.dll не грузится даже в safe mode

[Ikal_2]

Добрый день!
NOD32 обнаружил заразу в baseprew32.dll - Win32/SubSys.NAD.
Файл был заблокирован и NOD собирался удалить его после перезагрузки.
Проверка CureIt ничего не нашла.
После перезагрузки Windows не грузится ни в нормальном, ни в безопасном режиме.
Попробовал загрузиться с Hiren'sBootCD9.9
Скопировал чистый basesrv.dll в system32 как basesrv.dll и как baseprew32.dll. Ничего не дало.
Проверил реестр, как описано в Чаво. Все на месте.
Загрузка останавливается на чистом голубом экране с курсором, перед экраном ввода пароля.
Провел проверки по правилам из под Hiren'sBootCD9.9.
HijackThis выдал Run-time error '50003' после нажатия на кнопку I Accept.
Результаты проверки направляю.

[Bratez]

Проверил реестр, как описано в Чаво

Что именно и как вы смотрели в реестре?
Не припоминаю в Чаво статьи про basesrv.
Сейчас попробую найти, давно это было...

Добавлено через 13 минут

В общем так:
Надо с помощью Win PE или др. системы цеплять в regedit куст SYSTEM и смотреть во всех ControlSet'ах ветку Control\Session Manager\SubSystems. В ней есть параметр Windows а правильным значением его должно быть следующее:

%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

Насколько мне известно, троян менял только имя dll (выделено красным).
Исправьте его аккурантно, остальное не трогайте.

[Ikal_2]

Не дождался ответа в пятницу, начал лечиться самостоятельно.
Систему удалось запустить, но есть подозрения, что какая-то зараза осталась. Комп притормаживает.
Новые логи:

[Bratez]

Активной заразы в логах не видно.
Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
 DeleteFile('D:\WIN.XP\herjek.exe');
 DeleteFile('D:\WIN.XP\TEMP\winlogon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новый лог syscheck (только п.2 раздела Диагностика).

[Ikal_2]

В безопасном режиме свежий CureIt нашел в system32\oobe вирус
Tool.Wpakill.2 в файле MSOOBE.EXE. Удален.
Перед выполнением скрипта заглянул по указанным в нем адресам.
В WIN.XP herjek.exe не обнаружен зато имеется herjek.config.
В WIN.XP\TEMP winlogon.exe также не обнаружен.
Выполнен скрипт. Новый лог syscheck прилагается.
После выполнения скрипта herjek.config остался. Могу прислать, если интересует.

[Bratez]

В логе порядок.
herjek.config не нужен, можете удалить.

[Ikal_2]

Большое СПАСИБО за содействие.
С наступающим 2010 годом!
Успехов в Новом Году!