Один знакомый попросил убрать порнобаннер со своего компьютера... ОС стоит 7 если важно.
Пришел я к нему попробывал зайти в безопасном режиме. Там он тоже вылез
Дальше загрузился через ERD коммандер...
в реестре в Shell и Userinit поставил все как положенно...
перезагрузился
он не исчез как это бывало раньше ...
начал смотреть внимательнее...
порнобаннер создал диск X... который вроде бы и не должен быть... он весит всего то 36 мб... но на нем основные папки типа Windows User Program Files и прочии...

В Shell'е был прописан путь cmd.exe /k cmd ... ну или что то подобное... точно не помню
В Userinit было прописанно X:\Windows\system32\userinit.exe, хотя вся система на D стоит...

при попытках везде все переставить на D:/ все менялося но перезагрузке компа все менялося обратно...


Умные люди помогите а?

В Userinit было прописанно X:\Windows\system32\userinit.exe, »
это реестр WinPE. Вам нужно подключить реестр удаленной системы.

Можно по подробнее ... то что для вас кажется очевидным, для меня является непонятным..

Вам нужно в ERD коммандере подключить реестр системы, которая находится на D:\

подскажите пожалуйста как это сделать ... я просто с программой ERD можно сказать впервые поработал

Вы так писали в своем первом сообщении о ERD, что создалось впечатление, что вы знаете. Честно говоря, я с ним сам не работал. Пользовался Regedit PE 1.1.2.0 (http://files.simplix.ks.ua/RegeditPE.rar) и AutoRuns для Windows (http://technet.microsoft.com/ru-ru/sysinternals/bb963902)
Использовать их нужно, загрузившись с любого Live CD

Почитайте еще Разблокировка троянов семейства WinLock (sms - вымогатели) - VirusNet (http://virusnet.info/forum/showthread.php?t=3019)

Ну я не то что бы совсем не знаком с ERD просто для версии x86 он совершенно другой.. я в нем не разбираюся толком..
кое как разобрался где реестр открыть ... FAQ бы почитать

Gik, 1. Пуск/Выполнить..., набрать regedit и выделить раздел HKLM.
2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
5. Посмотрите Microsoft\Windows NT\Winlogon (в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]) параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)
6. Не забудьте выгрузить куст

=) извините за то что я такой глупый) проблему уже решил)
оказалося что подвел меня опыт.
дело в том что я толком не умея пользоваться ERD полез что то делать.

Порно баннер оказался самым обычным и сидел даже не в реестре а просто в автозагрузках.

а все мои проблемы от того что ERD у меня был на 64 битную систему...

а установленна была 32 битная...

когда поставил нужный диск все получилося очень легко и просто)