[okshef]

Цитата Gik:

В Userinit было прописанно X:\Windows\system32\userinit.exe, »

это реестр WinPE. Вам нужно подключить реестр удаленной системы.

[Gik]

Можно по подробнее ... то что для вас кажется очевидным, для меня является непонятным..

[okshef]

Вам нужно в ERD коммандере подключить реестр системы, которая находится на D:\

[Gik]

подскажите пожалуйста как это сделать ... я просто с программой ERD можно сказать впервые поработал

[okshef]

Вы так писали в своем первом сообщении о ERD, что создалось впечатление, что вы знаете. Честно говоря, я с ним сам не работал. Пользовался Regedit PE 1.1.2.0 и AutoRuns для Windows
Использовать их нужно, загрузившись с любого Live CD

Почитайте еще Разблокировка троянов семейства WinLock (sms - вымогатели) - VirusNet

[Gik]

Ну я не то что бы совсем не знаком с ERD просто для версии x86 он совершенно другой.. я в нем не разбираюся толком..
кое как разобрался где реестр открыть ... FAQ бы почитать

[goredey]

Gik, 1. Пуск/Выполнить..., набрать regedit и выделить раздел HKLM.
2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
5. Посмотрите Microsoft\Windows NT\Winlogon (в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]) параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)
6. Не забудьте выгрузить куст

[Gik]

извините за то что я такой глупый) проблему уже решил)
оказалося что подвел меня опыт.
дело в том что я толком не умея пользоваться ERD полез что то делать.

Порно баннер оказался самым обычным и сидел даже не в реестре а просто в автозагрузках.

а все мои проблемы от того что ERD у меня был на 64 битную систему...

а установленна была 32 битная...

когда поставил нужный диск все получилося очень легко и просто)