1. уходим в безопасный режим.
При помощи Far/total commander
2. убиваем всю сволочь. то есть:
2.1. в корнях разделов: папки runauto... (RU-NAUTO — понимаешь, русский матрос, елки-палки) и файлы autorun.inf и все их возможные модификации: может быть autorun.inf.tmp, может быть «папка» autorun.inf, может быть «папка» autorun.inf.tmp…
2.2. где не надо: С:\WINDOWS\lsass.exe, С:\WINDOWS\cmd.exe.exe, С:\WINDOWS\regedit.exe.exe…
3. чистим реестр (я взял утилиту RegWorks), удаляя:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe — параметр Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe — параметр Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe — параметр Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe — параметр Debugger
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List — параметр C:\WINDOWS\lsass.exe
HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List — параметр C:\WINDOWS\lsass.exe
HKLM\SYSTEM\ControlSet003\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List — параметр C:\WINDOWS\lsass.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List — параметр C:\WINDOWS\lsass.exe
этта херня, прадва, удаляться не захотела:
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KKDC
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_KKDC
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_KKDC
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KKD C
HKLM\SYSTEM\ControlSet001\Services\kkdc
HKLM\SYSTEM\ControlSet002\Services\kkdc
HKLM\SYSTEM\ControlSet003\Services\kkdc
HKLM\SYSTEM\CurrentControlSet\Services\kkdc
скрипт велит удалять, но у меня такого не было:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run — параметр SVOHOST
заменяем:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue
на
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue, формат reg_dword, значение 1 (десятиричное).
заодно запрещаем на будущее автозапуск всяких дисков, флешек и прочего:
в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
создаем два параметра:
NoDriveTypeAutoRun, формат reg_dword, значение 000000ff (шестнадцатиричное);
NoDriveAutoRun, формат reg_dword, значение 03ffffff (шестнадцатиричное).
4. проверяем, ничего ли мы не забыли и у всех ли все есть, и перезагружаемся в нормальный режим.
так-то вот. msconfig.exe у меня ожила. а cmd.exe стало иметь тот вид, который надо ей иметь (то есть вроде никто не перехватывает). с чем всех и поздравляю. надо, наверное, написать-таки BAT… на будущее… м-да…
с перерывами угрохал часов семь. жуть какая.