Вопросы и ответы

[ZDMANIAC]

Ким Чен Ир, попробуйте Kaspersky Rescue Disk или Dr Web LiveCD. Должно помочь. Скачиваете iso-файл, записываете образ на болванку, потом в БИОСе выставляете первым пунктом СD-ROM и сканируете компьютер. Обратите внимание на вот эти папки:

в Windows XP

C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Application Data
C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Temp
C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Temporary Internet Files

в Windows Vista/Windows 7

C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Roaming
C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Local\Te mp
C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Local\Mi crosoft\Windows\Temporary Internet Files

В корне 1-го пути ищете незнакомые нам exe, tmp файлы. Далее переходим к самым обитаемым местам вируса – 2 и 3-й пути. В папке Temp выделяете все файлы и папки и удаляете. В папке Temporary Internet Files выделяете все файлы и удаляете. После этого загружаете компьютер в обычном режиме и удаляете хвосты вируса. Входим в Пуск -> Выполнить (WIN + R) и набираем команду regedit а затем жмем Enter. Затем перейдите к ключу HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run. В этом разделе хранятся записи автозагружаемых программ текущего пользователя. Эти записи отображаются справа. Конечно, все имена программ и системных файлов вы не можете знать, поэтому, я советую вам обратить внимание на пути к этим файлам, которые отображаются в поле «Значение». Вы сможете понять что это вирус по пути, он может вести к папке Temp или Temporary Internet Files, а так же к Application Data. По имени файла в пути то же можно понять что это вирус. Файл может называться так: ~DFFE93.tmp или так 16A8.exe. Сама запись может называться как угодно. Очень часто её называют Microsoft Audio Driver или что-то вроде этого. Главное не название, а путь и имя файла, запомните это. Итак, допустим, что мы здесь ничего подозрительного не нашли. Теперь переходим к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run. Здесь, обычно побольше записей. Проверяем раздел на наличие записей вирусов. И проверьте еще 3 пути (они все рядом):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices

Далее переходим к HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Здесь есть несколько значений, куда вирус мог прописаться: Userinit, UIHost и Shell. Сейчас приведем примеры, как эти записи должны выглядеть по умолчанию:

Userinit = C:\WINDOWS\system32\userinit.exe,
UIHost = logonui.exe
Shell = explorer.exe
Вот в принципе и все.
p.s. Еще можете скачать антивирусную утилиту AVZ от Касперского. Весит около 1 Мб, но весьма эффективная. Лично у меня находила те вирусы, которые не видел Dr.Web. Так же с ее помощью можно и реестр почистить от всякой дряни.