Для того чтобы избавиться от подобной заразы всего навсего нужен загрузочный диск а-ля Live CD (я пользуюсь Hiren`s Boot CD).
Грузимся с диска, запускаем редактор реестра (или registry editor PE), подключаем реестр с удалённой машины.Последовательно проверяем (пишу пути для локальной машины, для удалённого реестра путь будет несколько другой):
1. HKEY_LOCAL_MACHINE∖SOFTWARE∖Microsoft∖Windows NT∖CurrentVersion∖Winlogon : -значение ключей SHELL (explorer.exe) и USERINIT (C:∖Windows∖system32∖userinit.exe,), если оно не соответствует - исправляем. Попутно запоминаем пути, где прописана зараза на жёстком диске.
2. HKEY_LOCAL_MACHINE∖SOFTWARE∖Microsoft∖Windows∖CurrentVersion∖Run: - в этом разделе может быть много чего всякого, поэтому просто проверяем на предмет наличия файлов с рандомными названиями. Грохаем всё, что неизвестно.
3. HKEY_LOCAL_MACHINE∖SYSTEM∖CurrentControlSet∖services∖Tcpip∖Parameters∖PersistentRoutes: - здесь могут быть прописаны статические маршруты к различным антивирусным/нужным сайтам. Грохаем всё, что не ставили руками (обычно это очень редко требуется).
4.HKEY_LOCAL_MACHINE∖SOFTWARE∖Microsoft∖Windows NT∖CurrentVersion∖Windows : - в разделе AppInit_DLLs могут быть всякие гадости. Обычно бывает пуст. в 95% случаев вирус находится в данных разделах. Не забываем удалить содержимое временных папок и временные файлы интернета (кэш используемого браузера)
- Для ХР: c:∖windows∖temp c:∖document and settings∖%username%∖local settings∖temp Ну и в Application data - кэши IE, Opera, Firefox
-Для 7-ки/Висты: c:∖windows∖temp c:∖Users∖%username%∖AppData∖Local∖Temp∖ c:∖Users∖%username%∖AppData∖Local∖Mozilla∖Firefox∖Profiles∖5dchoth6.default∖Cache∖ c:∖Users∖%username%∖AppData∖Local∖Opera∖Opera∖cache∖
Если всё сделано правильно, то после перезагрузки "будет вам щастье" Не забудьте обновить любимый браузер после лечения. Также не забываем своевременно обновлять Flash Player - в последнее время через него много шлака лезет.
= вот как раз таки в 95% случаях вирус сидит в вышеперечисленных папка в виде библиотеки dll или исполняемого файла exe (в редких случаях он может маскироваться как надстройка к браузеру, и быть в формате java приложения).
Вычислить очень просто:
1) загрузиться в безопасном режиме
2) сделать поиск всех библиотек в каталоге "document and settings" / "Users" по дате изменения за последний