Зачем нужен раздел реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Credentials
?

По-видимому - политика входа в систему. Вот инфа от MS (http://support.microsoft.com/kb/234562)
А вот Гугл (http://www.google.com/search?client=opera&rls=ru&q=HKEY_LOCAL_MACHINE%5CSOFTWARE%5CMicrosoft%5CWindows+NT%5CCurrentVersion%5CWinlogon%5CCredentials&sourceid=opera&ie=utf-8&oe=utf-8). Интересна статья: относительно вируса (http://www.threatexpert.com/report.aspx?md5=9420396e9264918f50155b577ceda82e)

okshef, я именно про Credentials спрашивал. Про Winlogon и сам знаю - там задается например "Shell" и "Userinit" (это программа, запускающая Shell и сеанс пользователя). Winlogon\Notify задает библиотеки winlogon, туда часто вирус лезут типа "crypts.dll".
Раздел Credentials закрыт от доступа.

Вход из-под SYSTEM (через at 14:38 /INTERACTIVE cmd.exe) показал, что раздел все же пустой, однако удалось создать строковый параметр, который я потом и удалил. Из под админ. пользователя не удавалось.