Не далее как вчера боролся с этой заразой (приятель подхватил).

В реестре он прописался под именем "scsiusr4":
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\scsiusr4]

Удаление этого ключа из реестра (как советовал Go0o$E) не помогает. Троян это отслеживает и сразу восстанавливает запись. Также бесполезным оказалось изменение параметров "DllName" и "Startup", содержащих название файла трояна.

Помогла установка разрешений на этот ключ (клик правой кнопкой мыши -> Разрешения). Для "Системы" поставил "запретить" полный доступ, т.к. троян запускается с правами системы. Далее изменил параметры "DllName" и "Startup" на отличные от имени файла трояна, чтобы он при перезагрузке системы не загрузился.

Перезагрузка.
Удаление файла %System%\scsiusr4.dll (который теперь стал виден).
Удаление ключа автозапуска трояна.

PS. Наверное, можно было сменить разрешение для учетной записи "Система" "Запретить" на весь вышестоящий ключ - [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]. Затем удалить [...\scsiusr4]. Правда, после перезагрузки нужно было бы восстановить разрешения.

PPS. В Windows 2000 нужно использовать regedt32.exe вместо regedit.exe.