1. Грузимся с диска ERD commander. Смотрим автозагрузку - убиваем все подозрительное.
2. Запускаем редактор реестра.
3. Ищем раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
4. Нас интересуют два параметра, которые должны иметь такие значения:
Shell = Explorer.exe
Userinit = C:\WINDOWS\system32\userinit.exe,
5. Приводим эти параметры к вышеуказанному виду. Если пути были изменены - удаляем файло по адресу. Кроме того могут быть еще ключи запускающие заразу. Мне попадался usernt(usrinit). Убиваем.
6. Заходим в папку windows (затем system32, system32\dllcashe), делаем сортировку по дате записи, смотрим все экзешники и dll с современной датой (explorer, userinit32, taskmgr, могут быть также другие) - заменяем из здоровой системы или дистрибутива или просто прибиваем, если неизвестное имя.
7. Чистим папки \Documents and Settings\user\Local Settings\Temp и \Documents ... Читать дальше »