Ксеноморф

Заражение каким то Dowload-вирусом
Вирус изменяет: explorer.exe и userinit.exe

В реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe, C:\\WINDOWS\\system32\\ntos.exe"

ntos.exe - не возможно удалить из реестра потому что он висит в памяти, после редактирования строки, вирус возвращает на место недостающее!
а именно: C:\\WINDOWS\\system32\\ntos.exe

для этого нужно убить svchost.exe (какой именно не скажу, убивал все!)
после убийства нужного процесса вывалица окошок в котором будет обратный отчёт одной минуты до принудительного, автоматическго перезагруза!

при этом на рабочем компе мы имеем запущенный RegEdit и находимся по указонному выше пути, как тока процесс убит, удаляем: C:\\WINDOWS\\system32\\ntos.exe
обновляем и проверяем чтобы строчка вновь не появилась!!
если НЕ появляеца значит всё ОК!, ждём ребута!
после перезагрузки, удаляем файл (ntos.exe) из системы!
(это можно сделать потом из под винды или DOS'a)

далее по получаем загруженную винду без (шела) explorer.exe
и он ни каким макаром не хочет грузица, хотя прописано:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"

P.S. в автозагрузку через реестр, типа \Run прописывать безсмысленно так как эта строка как раз и обрабатываеца самим эксплорером!
- - -

воощем поступил следующим образом:
- винда была на FAT32
- взял я с чистого дистриба WinXP эти файлы: explorer.exe и userinit.exe
- загрузился с флопика из под DOS'a
- ручками заменил explorer.exe и userinit.exe
- перезагрузился и получил 100% рабочую прежнюю винду!

(с) XenoMorph @ 22-MAY-2008