brudershaft, спасибо тебе большое. два дня мучался. все что надо сразу сделал, а параметр последний не удалил из реестра. уже хотел форматировать, но решил последний раз попробовать - получилось.

Здравствуйте все!

Уже много всего перечитал и перепробовал, но свою проблему так и не решил.
Итак, суть:

Принесли ноутбук с WniXP Pro SP3 баннером. снял с него жесткий диск, проверил его на вирусы - нашлось около 20 разных, после чего жесткий диск поставил обратно. и вот проблема: доходит до экрана приветствия и все. при попытке зайти пользователем - сразу автоматическое завершение сеанса.

Систему проверял сначала Avira Antivir, затем свежайшим Dr.Web CureIt

проверил, на месте ли файлы:
С:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\explorer.exe

на всякий случай взял эти же файлы с незараженной машины и заменил их, хотя по размеру они совпадали

Вот самый главный раздел реестра:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoRestartShell"=dword:00000001
"DefaultDomainName"="D96CAF1223ED4BF"
"DefaultUserName"="Александр"
"LegalNoticeCaption"=""
"LegalNoticeText"=""
"PowerdownAfterShutdown"="0"
"ReportBootOk"="1"
"Shell"="explorer.exe"
"ShutdownWithoutLogon"="0"
"System"=""
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"VmApplet"="rundll32 shell32,Control_RunDLL \"sysdm.cpl\""
"SfcQuota"=dword:ffffffff
"allocatecdroms"="0"
"allocatedasd"="0"
"allocatefloppies"="0"
"cachedlogonscount"="10"
"forceunlocklogon"=dword:00000000
"passwordexpirywarning"=dword:0000000e
"scremoveoption"="0"
"AllowMultipleTSSessions"=dword:00000001
"UIHost"=hex(2):6c,00,6f,00,67,00,6f,00,6e,00,75,00,69,00,2e,00,65,00,78,00,65,\
00,00,00
"LogonType"=dword:00000001
"Background"="0 0 0"
"DebugServerCommand"="no"
"SFCDisable"=dword:00000000
"WinStationsDisabled"="0"
"HibernationPreviouslyEnabled"=dword:00000001
"ShowLogonOptions"=dword:00000000
"AltDefaultUserName"="Администратор"
"AltDefaultDomainName"="D96CAF1223ED4BF"

Еще я удалил все файлы из папки Windows\Dllcache на всякий случай

Вирусы запускались через раздел Run пользовательской ветки

Что еще можно попробовать/посмотреть? Переустановку не предлагать, на этом ноуте установлено немало специфичных программ

Что еще можно попробовать/посмотреть? Переустановку не предлагать, на этом ноуте установлено немало специфичных программ »

Качаем Live CD (Мне помог реаниматор)
Далее:
Пример редактирования из LiveCD или параллельно установленной системы:

запустить Regedit
установить указатель на HKEY_LOCAL_MACHINE
меню Файл -> Загрузить куст -> указать папку с рухнувшей системой \WINDOWS\system32\config, открыть файл software
задать имя куста, например SFT
зайти в раздел HKEY_LOCAL_MACHINE\SFT\Microsoft\Windows NT\CurrentVersion\Winlogon и восстановить параметр Userinit
меню Файл -> Выгрузить куст
Так же проверить параметр Shell там должно быть написанно explorer.exe и C:Windows\system32\logonui.exe

зарраза
winlock убил но войти в систему не получается - сразу после входа происходит выход из системы
можно конечно переустановить систему но во мне уже азарт исследователя проснулся
с диска файлы winlock,а снес подключив хард к другому компу
Userinit|shell|logon были нетронуты (реестр/файл на диске)
только была куча запретов в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
снёс... и всё та же петрушка
какие ище есть варианты?
winXP sp3

только была куча запретов в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
снёс... »
Надеюсь, Вы не снесли всё чохом, вместе с кучей нужных «запретов».

Userinit|explorer|диспетчер задач/антивирусы etc...
кроме того можно не заморачиваясь данный раздел сносить целиком - он должен восстанавливаться при следующей загрузке

какие ище есть варианты? »

Файлы заменили на новые? Userinit|shell|logon прописать ручками еще раз самому на всяк случай и не забывайте про запятую
( userinit.exe, )

только была куча запретов в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
снёс... »
Надеюсь, Вы не снесли всё чохом, вместе с кучей нужных «запретов». »
кроме того можно не заморачиваясь данный раздел сносить целиком - он должен восстанавливаться при следующей загрузке »
У меня, хоть Вы и говорите, что «должен» — не восстановился. С чего бы это?!

Файлы заменили на новые? Userinit|shell|logon прописать ручками еще раз самому на всяк случай и не забывайте про запятую
( userinit.exe, ) »
угу заменил
не помогло
перепрописывал тоже )

перепрописывал тоже ) »
прописывали вот так? через Live CD
запустить Regedit
установить указатель на HKEY_LOCAL_MACHINE
меню Файл -> Загрузить куст -> указать папку с рухнувшей системой \WINDOWS\system32\config, открыть файл software
задать имя куста, например SFT
зайти в раздел HKEY_LOCAL_MACHINE\SFT\Microsoft\Windows NT\CurrentVersion\Winlogon и восстановить параметр Userinit
меню Файл -> Выгрузить куст

У меня такая ситуация была когда банер на рабочий стол повис. Я очистил папку TEMP. Банер ушёл но пользователь не грузится. Я с аналогичной проблемой разобрался так:
Через ERD в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ нашел "зверя". Обычно он в папке TEMP сидит. У меня это был as.exe. Далее поиском ищю все места где "зверь" прописался и удаляю. При попытке запустить пользователя тут же происходило завершение его по причине того, что в профиле пользователя бал прописан злополучный as.exe который я удалил. Вот пользователь и не мог загрузиться. Ветку где это было я не помню, только помню, что раздел назывался Userinit.

Через ERD в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ нашел "зверя". Обычно он в папке TEMP сидит. У меня это был as.exe.» ...тоже самое было, имя гадости тоже as.exe

Использовал AntiWinLocker - LiveCD (http://www.antiwinlocker.ru/) , нашёл за 3 секунды.
Удалил его из реестра и думал на этом ВСЁ.... Не тут то было. Промучился час пока не прочитал здесь. Про Поиск в реестре что-то не подумал- видать усталость сказалась. Нашёл остатки гадости в реестре по адресу :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\USERINIT.EXE

Параметр DEBUGGER с адресом заразы удалил и всё заработало. Можно тупо все параметры жахнуть внутри USERINIT.EXE , ненужная ветка, так как в другой винде её вообще не нашёл.

Можно тупо все параметры жахнуть, ненужная ветка, так как в другой винде её вообще не нашёл. »
Не делайте так.

Не делайте так. »

А за что по-твоему отвечает ветка USERINIT.EXE в папке Image File Execution Options ???????
Там один параметр, да и тот к вирью относится -- Баннер as.exe ...

ed115, значит я Вас просто не понял, ошибочно предположив, что Вы предлагали удалить весь раздел «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options» (http://forum.oszone.net/post-1759447.html#post1759447).

Дабы наступило взаимопонимание, предлагаю Вам именовать разделы и параметры не словом «ветка», а как рекомендовано (http://www.oszone.net/6176#term). Тогда расхождений в будущем не возникнет.

Последствия порно-баннера, баннер убрал, но теперь при загрузке windows xp сразу завершение сеанса.
Перепробовал способы в интернете, проверял реестр, заменял файлы.

С:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe

Ничего не помогло, всеравно завершает сеанс...

Пытаюсь сделать откат системы (в прошлый раз на другом компе помогло), записал уже несколько live cd и никак не получается.
Каждый раз когда запускаю утилиту с разных livecd для отката пишет разные ошибки:

- livecd lex, текст ошибки "This system does not contain any restore points. Restore points are found on Windows xp systems any later"
- livecd (хз чья сборка) ,текст ошибки "ERD System Restore failed to determine machine guid"

Проблема решена!

Удалил раздел, все работало!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe

Дабы наступило взаимопонимание, предлагаю Вам именовать разделы и параметры не словом «ветка», а как рекомендовано. Тогда расхождений в будущем не возникнет. »

Вы поймите: с жаргоном очень трудно бороться и иногда перестаёшь за ним следить .... :)

Непонятно что произошло, Хрюша грузится, появляется приветствие, появилась кнопка Admin, на нее нажимаю, написано загрузка, и потом сразу - сохранение учетной записи и опять окно входа с выбором учетных записей. Так-же и в безопасном режиме, нажимаю Admin, пытается войти и сразу само сохроняет все и выходит в выбор. Что это такое? Как с этим бороться? =(

А с чего всё началось? Ранее предложенные решения аналогичной проблемы не помогли?