поймал Long Seduce Plead (sms bloger)
фаил звался 22сс6с32.exe убил фаил и убил из автозапуска.
но теперь при входе в любую учётную запись даже в безопасном выкидывает из учётки.
думаю что в автозапуск помещён ещё и автовыход, но не знаю как теперь автозагрузку отредактировать.
помогите плиззз!!!!

Вам нужен любой LiveCD с возможностью правки реестра
1. Скачайте образ, например: ERD Commander, запишите образ на болванку и загрузитесь с созданного диска
2. Пуск => Выполнить => erdregedit
3. Найдите в реестре и проверьте:

Ветка:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное.

потом делайте логи

I этап (выполняется на чистой от вирусов машине)

1. Скачайте на чистом компьютере, с которого сейчас пишете, образ ERD Commander (для Windows XP - версия 2005 (5.0), для Vista - версия 2007 (6.0), для Windows 7 - версия 2009 (6.5)). Ссылки найдете в Google, например.
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать -найдете самостоятельно в Интернете). В противном случае записываете образ на болванку, например, с помощью Nero

II этап (выполняется на заблокированной машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь
При загрузке Вы должны указать диск, на который установлена заблокированная система (образец (http://wiki.drweb.com/index.php/Userinit))
3. Посмотрите в реестре:
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
userinit
параметр
shell
Значения этих параметров напишите в своем сообщении

входе в любую учётную запись даже в безопасном выкидывает из учётки »
это не нахождение userinit.exe

Проверьте его в наличии в %windir%\system32
и запись в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="Буква системного раздела:\WINDOWS\system32\userinit.exe,"

качаю ERD Commander буду пробовать.

не помогло
фаил userinit.exe есть
путь сперва был
\WINDOWS\system32\drivers\system32.exe
очевидно что это паразит сменил на указанный
"Userinit"="Буква системного раздела:\WINDOWS\system32\userinit.exe,"
но не чего не помогло

С livecd (годится любой виндовый, например alkid livecd) или подключите hdd к другому компьютеру. ERD не подойдёт

1.Откройте каталог
Буква_заблокированного_системного_раздела:\Windows\System32\Config
найдите файл SOFTWARE без расширения, копию запакуйте, выложите сюда

2. сделайте лог Universal Virus Sniffer (uVS) инструкция (http://safezone.cc/forum/showpost.php?p=79351&postcount=1) , Скачайте архив с программой, сохраните например на флешку, распакуйте в отдельный каталог на жестком диске запустите файл start.exe, только прежде чем нажать "запустить под local system", нажмите "выбрать каталог windows" - выберите заблокированный.
С пункта "Выберите меню "Файл" => ..." выполняйте всё как написано. Лог сюда

Удалите в реестре ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe(если таковая будет обнаружена)

Как только встречу снова такую прблему так сразу попробую, а предыдущие 2 раза в связи с отсутствием времени на решение производилась восстановления с использованием дистрибутива.