Решения:

1) Грузишся в безопасный режим, входишь под админом, если под админом не пускает, то скачиваешь "Hirens BootCD Pro", режешь его на болванку, загружаешься с этой болванки, убераешь пасс админа, снова в безопасный режим, входишь под админом, проверяешь комп на вирусню...
Кстати если случилось это недавно и включено восстановление системы, то можно воспользоваться им... если проверка не поможет)

2) Данная статья описывает рекомендации по удалению троянской программы "Жопарезина ver. 2.0".

Данные рекомендации могут не иметь эффекта, если у вас модифицированная версия вируса.

Внимательно выполняйте рекомендации из статьи! Некорректные действия могут повлечь за собой крах системы!


"Горячие клавиши", которые нам понадобятся.


Alt+F4 - закрыть активное окно
Ctrl+Esc - вызвать меню "Пуск"
F2 - переименовать файл
Delete - удалить файл




Деструктивная активность троянской программы

1. Закрывает доступ к рабочему столу
2. Использует политики, которые ограничивают пользователя в правах
3. Модифицирует ключи безопасного режима, что приводит его в не работоспособное состояние




Рекомендации по удалению для Windows XP

1. Нажмите правой кнопкой мыши по белой области (см. рис. 1)

2. Нажмите сочетание клавиш Alt+F4 (2-3 раза). Окно должно закрыться.

3. Нажмите сочетание клавиш Ctrl+Esc, чтобы появилось меню "Пуск"

4. Нажмите правой кнопкой мыши по "Программы" (если используется классическое меню "Пуск") или Все программы (если используется новое меню "Пуск"), в контекстном меню выберите "Открыть" или "Проводник"

5. Перейдите по адресу C:\Windows\System32, используя кнопку "Вверх" или окно проводника (см. рис. 2). Перетащите файл cmd.exe в папку Internet Explorer (по умолчанию это C:\Program Files\Internet Explorer).

Как перетащить нужный файл в папку Internet Explorer?

1. Откройте 2 папки. В одной папке у нас будет "нужный файл", а в другой Internet Explorer.
2. Щелкните по файлу правой кнопкой мыши и, не отпуская, перетащите его в папку с браузером Internet Explorer. Отпустите правую кнопку мыши и выберите в контекстном меню пункт "Копировать"

7. Переименуйте файл IEXPLORE.EXE в IEXPLORE1.EXE, а файл cmd.exe в IEXPLORE.EXE. В адресной строке (см. рис. 2) выберите "Рабочий стол" и выполните двойной клик по Internet Explorer, должна открыться командная строка. Введите в ней команду:
Код:
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v disableregistrytools /f
затем нажмите "Enter" и введите еще одну команду:
Код:
regedit
нажмите "Enter" Должен открыться редактор реестра.

9. Удалите параметры из указанных веток

Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDrives"
"NoFind"
"NoFolderOptions"
"NoRecentDocsMenu"
"NoDesktop"
"NoRun"
"NoLogOff"
"NoNetHood"
"NoTrayContextMenu"
"NoSetTaskbar"
"NoFavoritesMenu"
"NoViewContextMenu"
"RestrictRun"
"NoHelp"
"NoSetFolders"
"NoCommonGroups"
Код:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"
Код:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"RestrictRun"
Код:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
удалите раздел RestrictRun
Код:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]

"Scancode Map"
10. Нижеуказанные параметры были модифицированы. Вы можете пропустить этот пункт, если не понимаете назначения этих параметров.

Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
DisableSR (параметр типа DWORD) - выставить в 0, если необходимо включить "Восстановление системы"
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
LogonType (параметр типа DWORD) 0 - отключить "Экран приветствия" 1 - включить "Экран приветствия"
11. С этой ветки нужно удалить Строковой параметр с пустым именем (пробел). В значении данного параметра указано месторасположения троянской программы. Нужно перейти по этому адресу и удалить вредоносный файл.

Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
" "="C:\\WINDOWS\\lol.exe"
12. Выполняем перезагрузку. После перезагрузки все должно быть ОК

13. Переходим по адресу C:\WINDOWS и удаляем файл lol.exe. Переходим по адресу C:\WINDOWS\Prefetch и удаляем файл LOL.EXE-073D2955.pf (073D2955 - данный отрезок имени может варьироваться).

14. Возвращаем реальное имя браузеру Internet Explorer и удаляем копии файлов.

15. Сбрасываем параметры IE на дефолт и производим очистку временных файлов Интернета.

16. Применяем файл из вложения (он возобновит работу Безопасного режима). Перед применением ознакомьтесь с файлом README.TXT. Производим перезагрузку.

17. Лечение окончено




Рекомендации по удалению для Windows Vista

1. Нажмите правой кнопкой мыши по белой области (см. рис. 1)

2. Нажмите сочетание клавиш Alt+F4 (2-3 раза). Окно должно закрыться.

3. Нажмите сочетание клавиш Ctrl+Esc, чтобы появилось меню "Пуск"

4. Нажмите правой кнопкой мыши по "Программы" (если используется классическое меню "Пуск") или "Все программы" (если используется новое меню "Пуск"), в контекстном меню выберите "Открыть" или "Проводник"

5. Перейдите по адресу C:\Windows, используя кнопку "Вверх" или окно проводника (см. рис. 3 и 4). Удалите файл lol.exe

6. Произведите загрузку в "Безопасном режиме с поддержкой командной строки"

7. В командной строке введите следующие команды:
Код:
reg load HKLM\TempHive %systemdrive%\users\Введите_Имя_Вашего_Пользователя\ntuser.dat
Введите_Имя_Вашего_Пользователя - вместо этого следует ввести реальное имя пользователя! Нажмите "Enter"
Код:
regedit
нажмите "Enter" Должен открыться редактор реестра.

8. Удалите параметры из указанных веток

Код:
[HKEY_LOCAL_MACHINE\TempHive\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"
"DisableRegistryTools"
Код:
[HKEY_LOCAL_MACHINE\TempHive\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"RestrictRun"
Код:
[HKEY_LOCAL_MACHINE\TempHive\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
удалите раздел RestrictRun
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDrives"
"NoFind"
"NoFolderOptions"
"NoRecentDocsMenu"
"NoDesktop"
"NoRun"
"NoLogOff"
"NoNetHood"
"NoTrayContextMenu"
"NoSetTaskbar"
"NoFavoritesMenu"
"NoViewContextMenu"
"RestrictRun"
"NoHelp"
"NoSetFolders"
"NoCommonGroups"
Код:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]

"Scancode Map"
9. С этой ветки нужно удалить Строковой параметр с пустым именем (пробел). В значении данного параметра указано месторасположения троянской программы. Нужно перейти по этому адресу и удалить вредоносный файл.

Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
" "="C:\\WINDOWS\\lol.exe"
10. Нижеуказанные параметры были модифицированы. Вы можете пропустить этот пункт, если не понимаете назначения этих параметров.

Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
DisableSR (параметр типа DWORD) - выставить в 0, если необходимо включить "Восстановление системы"
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
LogonType (параметр типа DWORD) 0 - отключить "Экран приветствия" 1 - включить "Экран приветствия"
11. Введите команду:
Код:
reg unload HKLM\TempHive
нажмите "Enter"

12. Вводим команду:
Код:
start %windir%\explorer.exe
нажмите "Enter" и через "Пуск" произведите загрузку в обычном режиме...

13. Переходим по адресу C:\WINDOWS\Prefetch и удаляем файл LOL.EXE-073D2955.pf (073D2955 - данный отрезок имени может варьироваться).

14. Сбрасываем параметры IE на дефолт и производим очистку временных файлов Интернета.

15. Лечение окончено