Как удалить баннер с рабочего стола
Загружаемся с диска WinXPE. Заходим в редактор реестра: нажимаем Win+R, затем в поле "Открыть" пишем "regedit" и нажимаем Ввод. Нас интересует определенный путь. Щелкаем по ветке HKEY_USERS два раза. В системном меню слева в верхней части окна редактора реестра кликаем слово "Файл". В выпавшем меню нажимаем "Загрузить куст". Здесь нужно найти папку с требуемым пользователем (одна из папок в каталоге C:\Users или C:\Documents and Settings). В ней должен быть файл ntuser.dat. Чтобы его обнаружить - можно задать фильтр в реквизите "Имя файла". Находим файл и два раза кликаем по нему (или кликаем один раз, а затем нажимаем кнопку "Открыть"). Появится маленькое окошко с заголовком "Загрузка куста реестра". В поле "Имя раздела" вводим любой символ, например, цифру "1" и нажимаем Ок.
Ветка загружена. Теперь открываем ее и внимательно проходим по такому пути - "HKEY_USERS \ HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion". Стоп. Здесь требуется найти папку, которая называется "Run". Теперь тщательно изучите реквизиты и составляющие этого раздела. Реквизиты с подозрительными названиями подлежат удалению. В нашем случае был параметр PC Statys с таким значением "C:\Documents and Settings\uwgtucuen.exe". Также необходимо обязательно удалить (не в корзину, а перманентно) файл, находящийся по указанному пути. Будьте осторожны и не удалите ничего важного. С этой ветвью мы закончили.
Опять открываем ветвь HKEY_USERS, щелкаем загруженную "1", а затем выгружаем куст.
Потом аналогично грузим в редактор реестра куст с названием HKEY_LOCAL_MACHINE: находим по пути диск С, заходим в папку Windows, затем в каталог System32, потом в папку "config". В ней находим и открываем файл с названием software. Он должен быть именно в таком виде, то есть без расширения. В окне "Загрузка куста" в поле "Имя" снова пишем любой набор символов, например "2", и жмем кнопку Ок.
Ветка загружена. Открываем ее и внимательно проходим по пути "HKEY_USERS\HKEY_LOCAL_MACHINE \ SOFTWARE\Microsoft \ Windows\CurrentVersion \ Run". Все, что вызывает подозрение, подлежит удалению, например, наш параметр "PC Statys" или что там у вас еще нашлось.
Теперь открываем следующий путь загруженного куста: "HKEY_USERS \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon". Здесь нам необходимо найти параметр с названием "Shell". Измените значение данного параметра на "explorer.exe" - именно таким оно должно быть: данный файл содержит в себе оболочку [shell] Windows. Если в значении параметра стоит какой-то путь, то запомните его и удалите файл, на который он указывает. Затем меняйте значение параметра на explorer.exe и выгружайте данный куст.
После этого перезагрузите компьютер, предварительно вынув загрузочный диск.