Зачем было делать восстановление??? Нужно было запустить первую систему (внимание! Должно быть не меньше 4-5 гигов свободного места на этом локальном диске!), вставить диск с виндой и выбрать вариант установки "Обновление". Но, перед этим, удалить все проги для виртуальных дисков ( о чем я писал ранее) - ВСЁ!

По поводу "хвостов" от Неро: нужно почистить реестр! Есть программа типа РегКлинер. Помогает на 100%. Причем там есть функция ручной чистки элементов автозагрузки. Похоже - проблемы в этом .

Зачем было делать восстановление??? Нужно было запустить первую систему (внимание! Должно быть не меньше 4-5 гигов свободного места на этом локальном диске!), вставить диск с виндой и выбрать вариант установки "Обновление". Но, перед этим, удалить все проги для виртуальных дисков ( о чем я писал ранее) - ВСЁ!

По поводу "хвостов" от Неро: нужно почистить реестр! Есть программа типа РегКлинер. Помогает на 100%. Причем там есть функция ручной чистки элементов автозагрузки. Похоже - проблемы в этом .

Зачем было делать восстановление??? Нужно было запустить первую систему (внимание! Должно быть не меньше 4-5 гигов свободного места на этом локальном диске!), вставить диск с виндой и выбрать вариант установки "Обновление". Но, перед этим, удалить все проги для виртуальных дисков ( о чем я писал ранее) - ВСЁ!

По поводу "хвостов" от Неро: нужно почистить реестр! Есть программа типа РегКлинер. Помогает на 100%. Причем там есть функция ручной чистки элементов автозагрузки. Похоже - проблемы в этом .

Обновил, как было посоветовано, некоторые проблемы исчезли (как то - отрытие диска С еще там ряд мелких), но основные остались: нету регедита, цмд, мсконфига и пр. Точнее все это есть и в корне ХР и в систем32, но есть двух видов, например: cmd и cmd.exe, так вот первое не работает, а второе работает. Из "Выполнить" пишет, что де "не могу найти указанный файл", и что мол "убедитесь в наличие оных файлов". Как их увидеть?

во первых чтоб загружала сарую версию, самый простой способ мой компьютер- свойства- дополнительно-загрузка и восстановление- параметры- выбираешь винду которая будет загружатся по умолчанию и снимаешь галку - отображать список операционных систем, лучше конечно в бутовую запись изменить, по поводу R, консоль восстановления должна была появится в любом случае просто навепное просмотрел, а можно по другому попробовать после проверки диска С где выбор разделов установки, винда предложит восстановить ранее установленную версию

Ты попал! Это ВИРУС !!! Очень серъезный!
Его ловит только Каспер со свежими базами... Сам с этой дрянью столкнулся...
Вот, почитай про неё:
его зовут runauto.. просто runauto с двумя точками
передается через флешки. характерная примета — в корне каждого диска (жесктого, гибкого, съемного flash) имеются скрытые и системные файл autorun.inf и папка runauto... (видно только две точки, т.к. третья вопринимается как разделитель имени и расширения).

Symantec называет его VBS.Runauto и вроде умеет лечить. Так же по рассказам делает Касперский.
NOD32 и McAfee, по слухам, не лечат.

паразит срет не по-детски.
1. подменяет собой lsass.exe и cmd.exe.
2. стирает также подменяет msconfig.exe и regedit.exe
3. имеет закадычного другана C:\WINDOWS\setuprs1.PIF, который прописывается в реестр как дебаггер для консоли настройки, редактора реестра и командной строки.
4. наверное, траффик гоняет, раз lsass.exe…

таким образом:
1. перестают заводится (все подряд или в различных сочетаниях): msconfig.exe, cmd.exe, regedit.exe.
2. у народа наблюдались кракозябры с иероглифами в контекстном меню системного диска, вызванного правой кнопкой из Проводника.
3. народ жалуется на невозможность записи R- и RW-болванок.

заражение происходит, естественно, в момент подключения флешки. папка runauto... не удаляется ни в штатном режиме, ни в безопасном режиме, ни из-под DOS. имеется мнение: потому что эти две системы не знают, что папки могут быть названы таким образом.

избавление от вируса происходит следующим образом:
0. отключить восстановление системы (Пуск > Панель управления > Система > Восстановление системы > Поставить галку на «Отключить восстановление системы на всех дисках»).
1. удалить файлы autorun.inf из корня всех дисков.
2. удалить C:\WINDOWS\setuprs1.PIF.
3. в редакторе реестра (слава богу, у меня он завелся; на остальной случай — любой LiveCD, надо полагать) найти и удалить параметр "Debugger"=setuprs1.PIF. особенно искать здесь:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
а именно:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe
и прочая.
4. из косоли (то же, что и в п. 3 — у меня видать не до конца заразилося) запустить:
rd c:\runauto...\ /s /q, где «с» — буква диска.
то есть запустить несколько раз, для каждого из дисков.

наши жолтокожие соседи написали скрипт, который вычищает систему от засранца. но этот скрипт, естественно, весь в иероглифах (надо думать, в настоящих), так что единственная польза — посмотреть, чего надо чистить (и написать свой).

да пребудет с нами со всеми Google.

хотя он и не может найти англоговорящую нормальную версию этого скрипта.

UPD 1 хрена лысого. эта сволочь так и осталась. восстанавливается. запускается как процесс lsass.exe — из директории WINDOWS. на самом-то деле приличный lsass запускается из WINDOWS\system32. в общем, маскируется, сцуко. так же плодит дубли под именами regedit.exe.exe и cmd.exe.exe. естественно, запускает эти программы под собственным контролем. то есть любые правки реестра возвращаются на место.

hijackthis не помогает…

UPD 2 несмотря на уверения Symantec'a — не видит нифига.

а вот Dr.Web нашел сразу же. по ихнему он называется BackDoor.Kais. найти — нашел, но вылечить не смог :P

зато на их форуме есть совсем железобетонные рекомендации по удалению:

1. Удалить все файлы autorun.inf в корне всех логических дисков.
2. В безопасном режиме сделать полную проверку всех логических дисков DrWeb 4.33.2 с последними базами.
3. Загрузиться с дискеты с DOS (если FAT32) или с дискеты с CIA Commander 1.0a (если NTFS) либо с дискеты с DOS с драйвером, дающим доступ к разделам NTFS.
4. Попытаться удалить папку runauto.. либо переименовать.
5. Загрузиться с CD с дистрибутивом Windows и установить поверх (режим восстановления).
6. После нормальной загрузки системы, задать полную проверку диска С: и перезагрузить компьютер.
7. После завершения проверки и нормальной загрузки, удалить папку (папки) с именами found.000 и так далее.
8. Для других (не системных) логических дисков потребуются аналогичные манипуляции (см. п.3, 4). Полная проверка происходит без перезагрузки. Далее п.7.
9. Для восстановления работоспособности таких программ, как: cmd.exe, regedit.exe, msconfig.exe и возможно какие другие, с помощью утилиты AVZ или любой другой сторонней программы, умеющей редактировать реестр, удалить следующий ключ(ключи) по адресу:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
Аналогично для cmd.exe, msconfig.exe и других (если есть проблемы).
Кстати, для удаления других ключей, уже можно будет воспользоваться regedit.exe

Проверь! Судя по симптомам - это твой случай!

если описанное выше не поможет ... пишите исследуем систему .... все лечится и без проблем ...( проделано уже раз сорок)

Ant1B1otic
Да, это мой случай - все один к одному.

V_Bond
Спасибо за предложение, сначало сам попробую))))

Кстати, а как это понять))): " на остальной случай — любой LiveCD, надо полагать)"?
И каким методом его нарезать?

это такая винда, которую не надо устанавливать - работает с диска. Загружаешь комп с такого диска и вперед лечить компьютер!

все проще .... и без сиди .... ;)