1. Грузимся с диска ERD commander. Смотрим автозагрузку - убиваем все подозрительное.
2. Запускаем редактор реестра.
3. Ищем раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
4. Нас интересуют два параметра, которые должны иметь такие значения:
Shell = Explorer.exe
Userinit = C:\WINDOWS\system32\userinit.exe,
5. Приводим эти параметры к вышеуказанному виду. Если пути были изменены
- удаляем файло по адресу. Кроме того могут быть еще ключи запускающие
заразу. Мне попадался usernt(usrinit). Убиваем.
6. Заходим в папку windows (затем system32, system32\dllcashe), делаем
сортировку по дате записи, смотрим все экзешники и dll с современной
датой (explorer, userinit32, taskmgr, могут быть также другие) -
заменяем из здоровой системы или дистрибутива или просто прибиваем, если
неизвестное имя.
7. Чистим папки \Documents and Settings\user\Local Settings\Temp и
\Documents and Settings\user\Local Settings\Temporary Internet Files.
8. Перезагружаемся.
9. В случае удачной загрузки первым делом ставим антивирус и запускаем полное сканирование.
Меню сайта