Вирус блокирует вход в систему

[d2-a]

Здравствуйте.

При попытке войти в систему (Windows XP, SP 3) появляется заставка типа входа в систему с выбором пользователя (обычно такого режима входа нет), в левом нижнем углу сообщение "Выключить "Писюк"". При выборе пользователя возникает сообщение "Загрузка личных параметров", потом сразу после него "Сохранение личных параметров". Больше ничего выбрать нельзя.
Вход в безопасный режим аналогично, но появляется второй пользователь (Admin) и надпись слегка меняется "Выключить компьютер", а остальное все то же. Загрузка с последней работоспособной конфигурацией ничего не дала. Та же заставка.
Проверка через Live CD Dr.Web и Kaspersky Rescue Disk ситуацию не изменила, хотя оба понаходили несколько троянов. Не лечились, пришлось удалять.
Загрузиться могу только с ERD Commander. Но под ним проверить диск С не получается. Запускали AVZ (чтобы вам сюда послать лог), он проверяет только диск с ERD.
В автозагрузках ничего подозрительного, но они не полные, в msconfig через ERD не получается сходить.
В общем, ситуация патовая, что еще можно сделать, кроме переустановки винды?

(На всякий случай прикрепляю результат проверки AVZ, но там по-моему, никаких сведений о системе нет).

[thyrex]

Пробуйте http://virusinfo.info/showthread.php?t=51777

[d2-a]

thyrex: Ура!!!! Все получилось. С помощью ERD внесла изменения в реестр. Зашла и с радостью обнаружила загрузившуюся систему! За целый день успела соскучится по виду родного рабочего стола
Вы чистый

[thyrex]

А теперь логи по правилам. Файл-хвост остался или удалили?

[d2-a]

thyrex, логи только если завтра, так как на радостях запустила полную проверку Др.Вебом. И это, похоже, надолго...
С файлом сложнее. Т.к. когда раньше копалась, из автозагрузки снесла кривой userinit, и сейчас, когда вошла в реестр, в winlogon я его создавала новый, с правильным путем. Думаю, что сам файл я удалила еще раньше руками из sistem32 (был там весьма странный экзешник с примерно нужной датой изменения и жутким именем, состоящим из латиницы, кириллицы и символов типа [ и &). Но не уверена, потому и поставила проверку. Вдруг что найдется...

[d2-a]

Здравствуйте, thyrex

Вот логи, сделала по пунктам, вроде ничего не пропустила При проверке, кстати, еще кучу всего нашли и др. веб вчера и касперский (removal tool) сегодня.

[thyrex]

Пофиксите в HiJack

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit,

[d2-a]

thyrex, пофиксила.
Спасибо Вам огромное за помощь!