эти баннеры, насколько помню, меняют в реестре запись об оболочке - "shell", с explorer.exe на, собственно, имя зловреда. после удаления самого вируса нужно восстановить запись в HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon параметр "shell" должен быть "explorer.exe"
из под другой системы это делается той же утилитой regedit, через экспорт\импорт ветки\куста реестра. сам реестр хранится в нескольких файлах
Код:
# динамически формируется в зависимости от оборудования
"HKEY_LOCAL_MACHINE\HARDWARE"
# генерится из файла расположенного в "%SystemRoot%\Boot\BCD"
"HKEY_LOCAL_MACHINE\BCD00000000"
# это файл "%SystemRoot%\System32\config\SYSTEM"
"HKEY_LOCAL_MACHINE\SYSTEM"
# файл "%SystemRoot%\System32\config\SOFTWARE"
"HKEY_LOCAL_MACHINE\SOFTWARE"
# берётся из файла "%SystemRoot%\System32\config\SECURITY"
"HKEY_LOCAL_MACHINE\SECURITY"
# из файла "%SystemRoot%\System32\config\SAM"
"HKEY_LOCAL_MACHINE\SAM"
# формируется из файла "%SystemRoot%\System32\config\DEFAULT"
"HKEY_USERS\.DEFAULT"
# из файла "%SystemRoot%\System32\config\systemprofile\NTUSER.DAT" (это учетка system)
"HKEY_USERS\S-1-5-18"
# загружается из файла "%SystemRoot%\ServiceProfiles\LocalService\NTUSER.DAT» (LocalService)
"HKEY_USERS\S-1-5-19"
# из файла "%SystemRoot%\ServiceProfiles\NetworkService\NTUSER.DAT" (NetworkService)
"HKEY_USERS\S-1-5-20"
# импортируется из файла "%USERPROFILE%\NTUSER.DAT"
"HKEY_USERS\<SID_пользователя>"
# формируется из файла "%USERPROFILE%\AppData\Local\Microsoft\Windows\UsrClass.dat"
"HKEY_USERS\<SID_пользователя>_Classes"