В программе uVS удалили файлы:
LSDELETE.EXE
SMSS.EXE

Далее выбирали "Твики.." - "Сброс ключей Winlogon в начальное состояние" почистили временные файлы.
И запускали файл .cmd содержащий:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d userinit.exe /f

Не помогает..
Подскажите, где копать реестр хотя бы примерно из за чего рабочий стол не появляется.

Эта тема поможет некоторым пользователям избавиться от любого баннера (просьба модераторов перенести тему по своему усмотрению)

Для того, чтобы это осуществить нам понадобится:
CD диск или флешка (если флешка то еще и программа UltraISO)
Образ - Win7PE_uVS.iso (210Mb)

Записываем образ на диск (так, чтобы в корне диска были файлы, а не образ (если открываете диск и в нем файл Win7PE_uVS.iso то НЕ правильно))
Вставляете диск, перезагружаете компьютер, и при загрузке нажимайте (однократно) клавишу F8 до появления синего меню:
В меню выбираем или загрузка с CD-DVD привода или с флешки Flash


После загрузки появится окно:
Выберите в нем TotalCommander и нажмите GO


Далее ищем свою флешку (она подписана как Win7PE_32), и открываем папку uVS на ней:


В папке ищем файл start.exe и запускаем:
В появившимся меню обязательно выбираем каталог Windows (где установлена Ваша система), после чего жмем "Запустить под текущим пользователем"


Как откроется окно, жмем по вкладке "Дополнительно" выбираем "Очистить корзину и каталоги профилей пользователей от временных файлов", далее "Твики.." и кликаем по кнопке №12 "Сброс ключей Winlogon в начальное состояние"
Останется удалить подозрительные файлы, те, что бросаются в глаза, например xxx_video_3242.exe или ~rdr813.tmp

Так же, Вы можете обратиться за советом, т.к. это только малая часть возможностей программы uVS

Запись на флешку:
ultra1.PNG
ultra2.PNG

Необходимо удалить пробный продукт и установить коммерческие версии на всех компьютерах.
Подчеркну - полностью удалить пробные версии. В Вашем случае коммерческая версия была установлена поверх пробной, в чем и проблема.

Очень нужно видео, Wininternals Administrators Pack v5 я скачал

santy поделитесь своим ERD commander-ом 5.0 под XP с uVS и загрузкой через USB флешку.

Разбирайся с рекламами Яндекса.

Отправил: [email protected]

Повторные логи так и не кинул

По поводу скриптов, исключаем те, что я ему присылал, и получается:
то что это руткит - несомненно. Посмотрите информацию об этом объекте.
HKLM\System\CurrentControlSet\Services\mkdrv\Image­Path
regt 20 - Восстановить испорченные значения ImagePath - с этого надо было мне начать

addsgn 4AEE779A556522B204BA66309C95190BC58579897405E07880C7C0B851D6­704C2613C6533F559C492E84819B471648FA78DBED7654DAB12C2873A12B­C6062370 8 mkdrv_vir_ever
chklst - проверка всего списка
delvir - удаление всех опознанных вирусов
regt 1 - Разблокировать диспетчер задач
regt 2 - Разблокировать редактор реестра
regt 5 - Отключить автозапуск для всех пользователей
regt 6 - Отключить восстановление системы
regt 13 - Удалить все Persistent routes
regt 18 - Снять ограничения на запуск приложений в Exlporer-е

breg - Бэкап реестра
sreg - безопасная виртуализация SYSTEM и SOFTWARE (Например плюс в том что в виртуальных ветках изначально отсутствуют
  ключи автозапуска скрытые руткитом, т.е. после актуализации реестра руткит получит проблемы
  с загрузкой уже только из-за своего стремления скрывать свой автозапуск.)
С виртуализацией я не очень поянл..

Предлагаю создать несколько самых простых стандартных скриптов

Ну Вы пишите что отправили в вирлаб когда я отправляю на [email protected]
Вот и решил сразу так отправить http://esetnod32.ru/.support/knowledge_base/new_virus/

Без проблем буду отправлять на [email protected]
И подписываю я для себя, не намекая на "кто быстрее"