Плюс высокая загрузка CPU winlogon.exe в таскманагере.

Поискал в инете, кто так себя ведет - вот это очень похоже Troj/Shiz-B:

http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Shiz-B/detailed-analysis.aspx

и список урлов, и измененный userinit, и файлик в C:\WINDOWS\AppPatch (правда под другим именем).

Подлечил руками как смог - userinit выправил, перезагрузился, winlogon - 0%, на плохие урлы больше никто не лезет. Однако через некоторое время - все по новой!

Скан системы авастом ничего не находит. Выложил файл из apppatch на virustotal - результаты тут:

http://www.virustotal.com/file-scan/report.html?id=95aa1a0b4ac2452d83f4632b992d94a296cfd920c0426054aaf4cdbe728b03c8-1313739852

Что дальше? Как с корнем вырвать гадину?

Как минимум запланировать сканирование авастом при загрузке.
Если не поможет, то Dr. Web LiveCD вам в помощь.

Если у Вас вирус, то:

1. Скачайте из интернета и сохраните на диске утилиты Dr.Web CureIt! и Malwarebytes’ Anti-Malware (Free version).

2. Назначьте в Авасте сканирование при загрузке, перезагрузите компьютер и произведити загрузочное сканирование (выбирайте опции перемещать обнаруженное в хранилище - так надёжнее).

3. После сканирования Авастом запустите Dr.Web CureIt! и обследуйте этим сканером всю систему в усиленном режиме (учтите - проверка может занять долгое время).

4. После сканирования Dr.Web CureIt! перезагрузите компьютер и установите Malwarebytes’ Anti-Malware. Запустите этот сканер и исправьте все найденные им ошибки.

Во время сканирования Авастом и утилитами компьютер должен быть отключён от интернета. После сканирования рекомендуется почистить компьютер (например, программой Ccleaner) и дефрагментировать жёсткий диск.

После этого, вернитесь сюда и сообщите о результатах сканирования и лечения.

И пожалуйста, деактивируйте ссылку на заражённый адрес в названии Вашей темы и в сообщении. Таковы требования правил безопасности форума.

Malwarebytes' Anti-Malware

Фолсовое чудовище, смахивающее на фальшивый антивирус. На чистом компе обязательно найдет чего нет и попросит купить коммерческую версию. Способно лечением убить винду в даун. Не рекомендую юзать эту дрянь. Чистое ИМХО - можете не комментировать, все равно останусь при своём мнении, ибо пробовал шо це таке.

Возможно поможет одно из решений

Это не “ИМХО”, а ложь.

Это не универсальные решения, а правила, которые надо выполнить, чтобы получить индивидуальную помощь.

Фолсовое на машине набитой кряками и кейгенами, на чистой лицензии хоть бы что нашло.
И где это оно Вас просило себя купить?

а ложь.

Тёзка, Вы же евангелист аваста! Ну несерьёзно предлагать сырой продукт. http://virusinfo.info/showthread.php?t=20736&p=249354&viewfull=1#post249354

Всё дальше no comments по этой дряни.

Сделайте лог файл утилитой Хайджек (HijackThis) и выложите лог на форуме…что гадать на кофейной гуще.

Для начала скачайте HijackThis с официального сайта - http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

http://wiki.drweb.com/index.php/HijackThis

Известная ссылка, ничего кроме срача от касперычей не вижу по Вашей ссылке, MBAM продукт, конечно, не для ежедневного пользователя, но незаменимый помощник хелпера, к тому же поглядите сколько на том же указанном Вами сайте в разделе Помогите рекомендуют сканирование MBAM.

Судя по Вашему описанию МВАМ, Вы с ним ни разу не работали. Bсё, что Вы описали, говорит о том, что Вы попали на подделку (rogue-ware).