O tome smo vec pisao ovde:
http://www.elitesecurity.org/p2228229
Samo u tom uputstvu zameni "winzwr32.dll" sa "efcBtsQH.dll", i tamo sam zaboravio da napisem da ako doticni dll pronadjes u kljucu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon u vrednosti shell, i ako ona glasi npr. "Explorer.exe C:\Windows\System32\efcBtsQH.dll", ne smes brisati celu vrednost, nego klikni na nju desnim dugmetom misa, odaberi Modify, pa obrisi samo deo iza "Explorer.exe"!