[Pili]

Godzi, загрузитесь со 2-ой windows, подключите как куст реестр "больной" системы
1. Запустите regedit и выделите раздел HKEY_USERS.
2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
посмотрите Microsoft\Windows NT\Winlogon(в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)
не забудьте выгрузить куст
также загрузить файл SYSTEM, смотрим во всех ветках реестра ControlSet00#\Control\Session Manager\SubSystems
где 00# = 001, 002, ...
Параметр: Windows

Цитата:

%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

Если вместо basesrv что-то другое, проверяем есть ли на диске больной системы файл C:\WINDOWS\system32\basesrv.dll и файл-зловред basexxxx32.dll, копируем оригинальный basesrv.dll на basexxxx32.dll, исправляем в реестре ServerDll=basesrv
Перезагружаетесь в "больную" систему систему и делаете логи по правилам