В программе uVS удалили файлы:
LSDELETE.EXE
SMSS.EXE

Далее выбирали "Твики.." - "Сброс ключей Winlogon в начальное состояние" почистили временные файлы.
И запускали файл .cmd содержащий:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d userinit.exe /f

Не помогает.. :(
Подскажите, где копать реестр хотя бы примерно из за чего рабочий стол не появляется.

Эта тема поможет некоторым пользователям избавиться от любого баннера (просьба модераторов перенести тему по своему усмотрению)

Для того, чтобы это осуществить нам понадобится:
CD диск или флешка (если флешка то еще и программа UltraISO)
Образ - [URL=http://dl.dropbox.com/u/17655378/Win7PE_uVS.iso]Win7PE_uVS.iso[/URL] (210Mb)

Записываем образ на диск (так, чтобы в корне диска были файлы, а не образ (если открываете диск и в нем файл [b]Win7PE_uVS.iso[/b] то НЕ правильно))
Вставляете диск, перезагружаете компьютер, и при загрузке нажимайте (однократно) клавишу [b]F8[/b] до появления синего меню:
В меню выбираем или загрузка с CD-DVD привода или с флешки Flash
[img]http://dl.dropbox.com/u/17655378/usb/snowosx-menus.jpg[/img]

После загрузки появится окно:
Выберите в нем TotalCommander и нажмите GO
[img]http://dl.dropbox.com/u/17655378/usb/sshot-2.PNG[/img]

Далее ищем свою флешку (она подписана как Win7PE_32), и открываем папку uVS на ней:
[img]http://dl.dropbox.com/u/17655378/usb/sshot-47.PNG[/img]

В папке ищем файл [b]start.exe[/b] и запускаем:
В появившимся меню [u]обязательно[/u] выбираем каталог Windows (где установлена Ваша система), после чего жмем "[b]Запустить под текущим пользователем[/b]"
[img]http://dl.dropbox.com/u/17655378/usb/sshot-48.JPG[/img]

Как откроется окно, жмем по вкладке "[b]Дополнительно[/b]" выбираем "[b]Очистить корзину и каталоги профилей пользователей от временных файлов[/b]", далее "[b]Твики..[/b]" и кликаем по кнопке №12 "[b]Сброс ключей Winlogon в начальное состояние[/b]"
Останется удалить подозрительные файлы, те, что бросаются в глаза, например [color="#FF0000"]xxx_video_3242.exe[/color] или [color="#FF0000"]~rdr813.tmp [/color]

Так же, Вы можете обратиться за советом, т.к. это только малая часть возможностей программы [URL=http://soft.oszone.net/program/8729/Universal_Virus_Sniffer_uVS/]uVS[/URL]

Запись на флешку:
[URL=http://dl.dropbox.com/u/17655378/usb/ultra1.PNG]ultra1.PNG[/URL]
[URL=http://dl.dropbox.com/u/17655378/usb/ultra2.PNG]ultra2.PNG[/URL]

Необходимо удалить пробный продукт и установить коммерческие версии на всех компьютерах.
Подчеркну - полностью удалить пробные версии. В Вашем случае коммерческая версия была установлена [COLOR=#FF0000]поверх[/COLOR] пробной, в чем и проблема.

Очень нужно видео, Wininternals Administrators Pack v5 я скачал :)
[QUOTE]Если нужно, могу создать видеоурок, как создать ERD commander 2005 с учетом того, что данный пак у вас установлен. [/QUOTE]

[B]santy[/B] поделитесь своим ERD commander-ом 5.0 под XP с uVS и загрузкой через USB флешку.

[QUOTE]С виртуализацией (breg sreg areg) я не очень поянл.. как это работает, что должен увидеть в результате.[/QUOTE]

Разбирайся с рекламами Яндекса.

[QUOTE]Вешает комп, вешает Safe mode и даже с поддержкой командной строки, лечиться переименованием в txt.
Починил программкой ERD записав на диск, с ее помощью зашел в реестр поискал userinit и shell, после нашел изменение в пути shell. Прошел по этому пути и переименновал в txt и значение шелл вернул на explorer.exe. ГОТОВО!!!
У меня сидел в C:\Program Files\Common Files\Sonic\[/QUOTE]

Отправил: [email protected]

[QUOTE]Блин, короче, можно кису 2011 поставить и проверить? если чё винду может другую поставлю. [/QUOTE]
Повторные логи так и не кинул :(

По поводу скриптов, исключаем те, что я ему присылал, и получается:
то что это руткит - несомненно. Посмотрите информацию об этом объекте.
HKLM\System\CurrentControlSet\Services\mkdrv\Image­Path
regt 20 - Восстановить испорченные значения ImagePath - [COLOR=#FF0000]с этого надо было мне начать[/COLOR]

addsgn 4AEE779A556522B204BA66309C95190BC58579897405E07880C7C0B851D6­704C2613C6533F559C492E84819B471648FA78DBED7654DAB12C2873A12B­C6062370 8 mkdrv_vir_ever
chklst - проверка всего списка
delvir - удаление всех опознанных вирусов
regt 1 - Разблокировать диспетчер задач
regt 2 - Разблокировать редактор реестра
regt 5 - Отключить автозапуск для всех пользователей
regt 6 - Отключить восстановление системы
regt 13 - Удалить все Persistent routes
regt 18 - Снять ограничения на запуск приложений в Exlporer-е

breg - Бэкап реестра
sreg - безопасная виртуализация SYSTEM и SOFTWARE (Например плюс в том что в виртуальных ветках изначально отсутствуют
  ключи автозапуска скрытые руткитом, т.е. после актуализации реестра руткит получит проблемы
  с загрузкой уже только из-за своего стремления скрывать свой автозапуск.)
[COLOR=#0000FF]С виртуализацией я не очень поянл..[/COLOR]

[I][B]Предлагаю создать несколько самых простых стандартных скриптов[/B][/I] :)

Ну Вы пишите что отправили в вирлаб когда я отправляю на [email protected]
Вот и решил сразу так отправить http://esetnod32.ru/.support/knowledge_base/new_virus/

Без проблем буду отправлять на [email protected]
И подписываю я для себя, не намекая на "кто быстрее" ;)