В сети существует множество статей на данную тему, но я не видел ни одной, которая бы устроила меня на 100%. Будем исправлять.
Предостережение.
Предложенная методика не панацея. Баннеры лечатся почти всегда, остальные вирусы, как повезет.
Приступаем.
Если Вас угораздило схватить порнобаннер - не надо паниковать. Во-первых, ни в коем случае не отправляем никаких SMS. Не поможет, скорее всего, а деньги со счета пропадут.
Теперь о лечении.
Все лечится, и даже без потерь. Если Вас уверяют, что здесь надо переустанавливать систему - вежливо попрощайтесь с этим специалистом. Ему еще многому надо научиться (мне тоже в общем то, но совершенство недостижимо
. Статья, кстати, полезна будет как начинающим "лекарям", так и простым пользователям, которые хотят разобраться с проблемой сами и сэкономить деньги. Наличие прямых рук обязательно. Работать будем с реестром. Там неправильные действия могут создать проблем больше, чем вирус.
Лирическое отступление. Работать Вы будете скорее всего с Windows XP. Ни разу не видел эту заразу на Windows 7 или Windows Vista.
Итак, закатали рукава...
Баннеры бывают разные. В простых случаях Вам не потребуется никакого дополнительного программного обеспечения. Про сложные случаи ниже.
Простые случаи.
Вы видите красивую или отвратительную, как повезет, картинку на экране. Надо перезагрузить компьютер, а он не перезагружается. Частое явление. Смело жмем резет. На современных корпусах его часто нет. Если у Вас именно такой - жмите на кнопку питания и держите ее примерно четыре секунды - выключится. Включаем компьютер и жмем кнопку F8. Вам предложат выбор вариантов загрузки. Если у Вас мать Asus, то перед этим будет еще синее окно с вариантами выбора - с какого диска грузиться. Выбираем свой диск, на котором установлена система, жмем Enter и сразу снова F8. Если Вы не увидели вариантов загрузки, то либо у Вас навороченная клава, на которой надо сначала включить этот ряд кнопок, либо у Вас клавиатура с разъемом USB, и нужно включить ее поддержку в BIOS. Это уж Вы сами. Вариантов биоса слишком много, чтобы можно было написать, как это сделать. Единственное, что можно подсказать – ищите строчку USB Keyboard Support и делайте ее Enabled. Все. Вы добрались вариантов загрузки. Выбираем Безопасный режим и жмем Enter. Потом еще раз придется его нажать. Потом Вы увидите синее окно с выбором пользователя. Заходите под своим Тут надо бы написать, что пользователь должен иметь права администратора, но в домашних условиях это неактуально. Обычно, у всех админские права. Если это не так, то, скорее всего, у Вас и админ под паролем, да и мои советы здесь не нужны
. Если по дороге к безопасному режиму происходит перезагрузка или Вы видите синий экран (BSOD) - у Вас тяжелый случай, читаем ниже. Зашли. Нажали кнопку Да, в окне, которое появится. Если и здесь появился баннер, то читаем про тяжелые случаи. Нажимаем кнопку Пуск. Потом Выполнить. Набираем в строке regedit. Откроется редактор реестра. Если заблокирован - у Вас тяжелый случай, читаем ниже. Если компьютер уходит в перезагрузку или выключается - тоже самое. В редакторе реестра жмем кнопку правка и выбираем поиск. Далее по пунктам:1. Набираем userinit в строке поиска и жмем Enter. Первое значение, скорее всего не наше. Ищем до тех пор, пока не находит вот это:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = C:\Windows\system32\userinit.exe,
Если у Вас другое значение, то приводите к правильному виду. Удаляйте все после запятой или пишите правильное значение.
2. В этой же веточке реестра, немного выше есть ключ shell. Его значение должно быть Explorer.exe и никакое другое. Если у Вас не так – меняйте. Кроме этих, в этой ветке должен быть прописан только один файл с расширением .exe. Это logonui.exe. Если есть другие – удаляйте эти ключи.
- 00002wkz.png (273.07 КБ) Просмотров: 8236
Маленькое отступление. Все выше и нижеописанное относится к обычной ничем и никак не модифицированной операционной системе. Если Вы используете сборки, типа Zver или другие, то фиг знает, какие там могут быть изменения и значения реестра. Хотя я не встречал таких сборок, которые вносят изменения в эту ветку реестра. это не значит, что таких сборок нет.
3. Переходим к следующей ветке реестра. Визуально, это предыдущая веточка. Т.е., если мы выделим текущую ветку в левом поле программы и нажмем стрелочку вверх, то попадем, куда надо (это на XP). Полный путь выглядит так:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Нас интересует ключ AppInit_DLLs. Он первый по счету. Имеет два приемлемых значения. Либо он пустой. Либо оттуда происходит запуск одного из компонентов вашего антивируса (Касперский в частности). Если там что-то другое, удалять ключ не надо. Его надо очистить, т.е. щелкнуть по ключу два раза, удалить имеющееся значение и нажать ОК.
Дальше переходим к автозапуску.
Программ для правки автозагрузки – море. Самая известная – стандартная утилита msconfig, встроенная в Windows. Для ее запуска надо нажать Пуск, Выполнить и вписать msconfig в строку. Перейти на вкладку Автозагрузка и там Вы увидите список программ стартующих при запуске компьютера. Удалять можно все
. Но лучше начать с самых подозрительных. К сожалению, не могу описать методику определения подозрительности программ. Это с опытом придет. Перебором можно вычислить баннер. Идете по указанному пути и удаляете сам файл. Если Вы привыкли пользоваться другой программой – пожалуйста, результат тот-же. Из известных можно посоветовать ccleaner. Сайт разработчика http://www.piriform.com. Еще можно воспользоваться программами для правки реестра jv16 или RegOrganizer. Первая больше понравилась и еще AnVir Task Manager (http://www.anvir.net/). Хотя, если честно, я сам ими не пользуюсь. Как делаю я, читайте в тяжелых случаях.Еще одно место, из которого могут стартовать баннеры – это планировщик заданий. Заходите в Панель управления, открываете Назначенные задания. Не обращаете внимания на предупреждение о том, что служба не запущена. Удаляете подозрительные задания. Можете удалить все – ничего страшного, скорее всего, не произойдет. После очистки можно отключить службу планировщика, если Вы ее не используете. Для этого идете в Панель управления, Администрирование, Службы. Находите службу Планировщик заданий и отключаете, т.е. открываете ее, в методе запуска выбираете Отключено и ОК.
Особо хитрые баннеры используют службы. Идете в службы (чуть выше описано). Ищете подозрительные. Тут сложно… Отличить нормальную службу от “вражеской” можно имея опыт или, если она явно бросается в глаза. Например, служба с названием Lovivkontakte очень подозрительна.
Отключаете.С драйверами почти тоже самое. Но надо утилиту для просмотра установленных драйверов. Я одну знаю. AutoRuns от Sisinternals. Но шибко она навороченная, на мой вкус. Искать левые драйверы еще сложнее. Но я не видел ни одного баннера, который бы туда писался. Надеюсь Вам это не пригодится.
Очистите папку временных файлов. Она не одна, обычно, поэтому чтобы не ползать в поисках, можно воспользоваться утилитой. Большинство редакторов реестра и твикеров эту функцию предлагают. Я пользуюсь ATFcleaner (http://www.atribune.org/ccount/click.php?id=1). Это для порядка. Хотя… Многие вирусы и баннеры запускаются из временных папок, корзины (Recycler) или System Volume Information. Если Вы их очистите, то, иногда, можете предотвратить запуск вируса, даже если Вы не нашли, откуда он запускается.
На каждом из этапов можно перезагружаться и проверять, если захочется, получилось или нет. Еще раз повторю – все надо делать крайне аккуратно и осторожно, особенно когда с реестром работаете. Очень внимательно смотрите, что вы правите или удаляете. Я не буду нести никакой ответственности за Ваши действия.
Если у Вас все получилось, и Вы удалили баннер – не спешите хлопать в ладоши. Вирусы коварны.
Возможно, у Вас остались последствия. Прочитайте раздел про Удаление последствий.Тяжелые случаи.
Если Вы добрались до этого раздела, значит Вы не смогли загрузиться в безопасном режиме. В этом случае Вам потребуется LiveCD. Не спрашивайте, что это. Один раз увидите – поймете. Или наберите в любой поисковой системе. Это диск, с которого Вы сможете загрузиться и выполнить все необходимые операции. Если у Вас его нет (что очень вероятно), то придется найти и скачать. Я с rutracker.org качаю. В разделе Системные программы – Сервисное обслуживание компьютера. Я привык пользоваться сборкой Alkid, но это не обязательно. Главное, чтобы грузился. В идеале, надо чтобы он имел встроенный редактор реестра с возможностью править установленную систему. Если этого нет, то можно скачать RegEditPE (http://files.simplix.ks.ua/RegeditPE.rar). Теоретически, было бы неплохо иметь и HiJackThis, но я ее не искал специально. В Alkid LiveCD она есть изначально, как и RegEdit. В крайнем случае можно обойтись и без нее. Все. Можно приступать.
Итак, грузимся с LiveCD. На старых материнских платах для этого надо выставить загрузку с CD-ROM в BIOS. Ищите строчку First Boot Device. На относительно современных материнских платах для этого обычно предусмотрена специальная кнопочка. F8 на Asus, F12 на Gigabyte. Возможны и более редкие варианты, типа F9, F2 или Esc (на ноутбуках часто). Почитайте инструкцию к своей материнке или ноутбуку, чтобы уточнить.
Загрузились. Запускаем редактор реестра. Возможны варианты запуска. Может быть Вам предложат выбрать сначала папку с операционной системой, а может и нет. Потом выбрать профиль пользователя. Возможно, Вам скажут, что запуск запрещен администратором – смело выбирайте администратора и отмечайте галочку внизу (она автоматически загрузит информацию из всех профилей). Потом ОК.
Далее по тем же пунктам, что и в простых случаях, т.е. проверяем ключи userinit, shell и AppInit_DLLs.
С автозагрузкой будут отличия. Я не видел утилит, позволяющих управлять автозагрузкой установленной системы из-под Live CD. Поэтому правим разделы автозагрузки в реестре.
Ищете веточки автозагрузки по ключу runonce (искать в реестре Вы уже умеете). Находит несколько лишних веточек, но нужные легко отличить. Там всегда в паре стоит веточка run (ветка – это то, что находится в левой части программы, ключ – в правой). Runonce – это программы запускаемые однократно при старте системы, потом ветка очищается. Run – это то, что стартует при каждом запуске системы. Проверяю все и удаляю все подозрительные ключи. Еще рядом может стоять веточка runonceex. Она обычно пустая, кроме некоторых сборок windows. Из нее не удаляю ничего, на всякий случай. Проверяете весь реестр. Эти веточки встречаются несколько раз. В принципе, удалять можно все. Кроме ctfmon. Попробуйте удалять по одной, начиная с самых подозрительных.
Прямые пути для контроля (может быть не все, поэтому ищите поиском, как написано выше):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Пожалуй, это все про автозагрузку.
Чистим назначенные задания. Идем в C:\\Windows\Tasks и удаляем все файлы. Все.
Службы. Ищем в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. Там перечислены службы. Проверять все, чтобы их идентифицировать долго и муторно, но в крайних случаях придется.
Значения параметра «Start» могут принимать значения:
0 - Низкоуровневые драйверы, например драйверы дисков, которые загружаются на самом раннем этапе загрузки – загрузки ядра;
1 - Драйверы, которые загружаются после инициализации ядра ОС;
2 - Службы, которые должны быть загружены Диспетчером Управления Сервисами (равен параметру - "Авто");
3 - Службы, запускаемые Диспетчером Управления Сервисами,только в случае получения явной инструкции на загрузку (равен параметру - "Вручную");
4 - Службы, которые не загружаются (равен параметру - "Отключено").
Отключили то, что не понравилось. Все.
Драйверы. Тут способов не знаю пока.
Чистим временные файлы.
Временные файлы ОС Windows можно найти в следующих директориях:
%SystemRoot%\Temp (%SystemRoot% - каталог, в который установлена Windows). Обычно C:\Windows\Temp.
%HomeDrive%%HomePath%\Temp (%HomePath% - Папка Documents and Settings\<имя пользователя>). Обычно C:\Documents and Settings\имя пользователя\Local Settings\Temp.
Еще очистите C:\Documents and Settings\имя пользователя\Local Settings\Temporary Internet Files.
Удаляем корзину (Recycler) и System Volume Information. Со всех локальных дисков.Пробуем загрузиться в обычном режиме.
Информеры в браузере.
http://kondrv.ru/pornobanner.html
Очень хорошая статья с поясняющими картинками. Скопирую сюда, но авторство не мое.
Я уже писал об СМС вирусах, но в той статье я больше уделил внимание вирусам, блокирующим операционную систему. И совсем немного затронул вопрос рекламных порно-баннеров, атакующих браузеры. В связи с этим мне задавалось множество вопросов. По этой причине я решил, что все же необходимо расписать борьбу с этим подвидом вирусов-вымогателей более подробно. Итак, если Вы пользуетесь Internet Explorer читайте первый раздел, если Opera – второй раздел, если Mozilla Firefox– тогда третий.
1. Удаление порно-баннера в Internet Explorer
Запускаем IE, далее выбираем наверху в менюшке "Сервис -> Надстройки" откроется вот такое окошко:
- ie1.jpg (57.04 КБ) Просмотров: 8243
Теперь отключаем первую надстройку и перезапускаем Internet Explorer, если злобный баннер появился, значит, мы отключили не ту надстройку. Опять же заходим "Сервис -> Надстройки", включаем обратно первую надстройку и отключаем следующую и затем опять перезапускаем браузер. И так делаем пока не найдем вредную программку. Как только порно-баннер будет отключен, вы можете посмотреть его место нахождения на компьютере и затем удалить его. Для этого достаточно дважды щелкнуть по названию надстройки. Вы должны увидеть окно примерно такое же, как на изображении ниже. Я подчеркнул путь к файлу надстройки...
- ie2.jpg (34.14 КБ) Просмотров: 8223
2. Удаление порно-баннера в браузере Opera
Запускаем Opera, проходим в меню "Инструменты -> Настройки". Теперь выбираем на вкладке "дополнительно" раздел "содержимое" и щелкаем по кнопочке "Настроить Java Script".
- opera.jpg (59.44 КБ) Просмотров: 8271
Откроется форма с этими самыми настройками, на ней будет ряд чекбоксов (такие штуки, куда можно галочки ставить), а внизу будет поле подписанное "Папка пользовательских файлов Java Script". В этом поле как раз-таки и написано, в какой папочке хранится порно-баннер. Стираем этот путь, предварительно его запомнив, нажимаем во всех открытых диалоговых окнах ОК и после находим и удаляем директорию со зловредом.
3. Удаление порно-баннера в Mozilla Firefox
Открываем Mozilla Firefox, выбираем пункт меню "Инструменты -> Дополнения". Далее выбираем пункт обозначенный значком пазла - "расширения". Теперь нужно действовать по тем же принципам что и с IE, то есть поочередно по одному отключаем расширения и перезапускаем наш браузер. Таким образом перебираем надстройки пока не найдем то расширение, которое запускало порно-баннер. Как только оно найдется, удаляем его, нажатием кнопочки удалить.
- MozillaF.jpg (49.06 КБ) Просмотров: 8252
Устранение последствий.
Какие бывают последствия? Чаще всего заблокирован диспетчер задач, редактор реестра, не отображаются скрытые файлы и папки, не загружается безопасный режим, не выходит в интернет, в интернет выходит, но не загружаются многие страницы. Это то, что встречается чаще всего. От большинства этих проблем нас избавит утилита AVZ (http://z-oleg.com). Заходим в пункт меню Файл и выбираем Восстановление системы. Вот выдержка из файла справки:
Восстановление системы - это особая функция AVZ, которая позволяет восстановить ряд системных настроек, поврежденных вредоносными программами.
Микропрограммы восстановления системы хранятся в антивирусной базе и обновляются по мере необходимости.
- avz_repair.jpg (86.95 КБ) Просмотров: 8262
Восстановление системы
[spoiler]
В настоящее время в базе есть следующие микропрограммы:
1.Восстановление параметров запуска .exe, .com, .pif файлов
Данная микропрограмма восстанавливает реакцию системы на файлы exe, com, pif, scr.
Показания к применению: после удаления вируса перестают запускаться программы.
2.Сброс настроек префиксов протоколов Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки префиксов протоколов в Internet Explorer
Показания к применению: при вводе адреса типа http://www.yandex.ru идет его подмена на что-то вида http://www.seque.com/abcd.php?url=www.yandex.ru
3.Восстановление стартовой страницы Internet Explorer
Данная микропрограмма восстанавливает стартовую страницу в Internet Explorer
Показания к применению: подмена стартовой страницы
4.Сброс настроек поиска Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки поиска в Internet Explorer
Показания к применению: При нажатии кнопки "Поиск" в IE идет обращение к какому-то постороннему сайту
5.Восстановление настроек рабочего стола
Данная микропрограмма восстанавливает настройки рабочего стола. Восстановление подразумевает удаление всех активных элементов ActiveDesctop, обоев, снятие блокировок на меню, отвечающее за настройки рабочего стола.
Показания к применению: Исчезли закладки настройки рабочего стола в окне "Свойства:экран", на рабочем столе отображаются посторонние надписи или рисунки
6.Удаление всех Policies (ограничений) текущего пользователя
Windows предусматривает механизм ограничений действий пользователя, называемый Policies. Этой технологией пользуются многие вредоносные программы, поскольку настройки хранятся в реестре и их несложно создавать или модифицировать.
Показания к применению: Заблокированы функции проводника или иные функции системы.
7.Удаление сообщения, выводимого в ходе WinLogon
Windows NT и последующие системы в линейке NT (2000, XP) позволяют установить сообщение, отображаемое в ходе автозагрузки. Этим пользуется ряд вредоносных программ, причем уничтожение вредоносной программы не приводит к уничтожению этого сообщения.
Показания к применению: В ходе загрузки системы вводится постороннее сообщение.
8.Восстановление настроек проводника
Данная микропрограмма сбрасывает ряд настроек проводника на стандартные (сбрасываются в первую очередь настройки, изменяемые вредоносными программами).
Показания к применению: Изменены настройки проводника
9.Удаление отладчиков системных процессов
Регистрация отладчика системного процесса позволят осуществить скрытый запуск приложение, что и используется рядом вредоносных программ
Показания к применению: AVZ обнаруживает неопознанные отладчики системных процессов, возникают проблемы с запуском системных компонент, в частности после перезагрузки исчезает рабочий стол.
10.Восстановление настроек загрузки в SafeMode
Некоторые вредоносные программы, в частности червь Bagle, повреждают настройки загрузки системы в защищенном режиме. Данная микропрограмма восстанавливает настройки загрузки в защищенном режиме.
Показания к применению: Компьютер не загружается в защищенном режиме (SafeMode). Применять данную микропрограмму следует только в случае проблем с загрузкой в защищенном режиме.
11.Разблокировка диспетчера задач
Блокировка диспетчера задач применяется вредоносными программами для защиты процессов от обнаружения и удаления. Соответственно выполнение данной микропрограммы снимает блокировку.
Показания к применению: Блокировка диспетчера задач, при попытке вызова диспетчера задач выводится сообщение "Диспетчер задач заблокирован администратором".
12.Очистка списка игнорирования утилиты HijackThis
Утилита HijackThis хранит в реестре ряд своих настроек, в частности - список исключений. Поэтому для маскировки от HijackThis вредоносной программе достаточно зарегистрировать свои исполняемые файлы в списке исключений. В настоящий момент известен ряд вредоносных программ, использующих данную уязвимость. Микропрограмма AVZ выполняет очистку списка исключений утилиты HijackThis
Показания к применению: Подозрения на то, что утилита HijackThis отображает не всю информацию о системе.
13. Очистка файла Hosts
Очистка файла Hosts сводится к поиску файла Hosts, удалению из него всех значащих строк и добавлению стандартной строки "127.0.0.1 localhost".
Показания к применению: Подозрения на то, файл Hosts изменен вредоносной программой. Типичные симптомы - блокировка обновления антивирусных программ. Проконтролировать содержимое файла Hosts можно при помощи менеджера Hosts файла, встроенного в AVZ.
14. Автоматическое исправление настроек SPl/LSP
Выполняет анализ настроек SPI и в случае обнаружения ошибок производит автоматическое исправление найденных ошибок. Данную микропрограмму можно запускать повторно неограниченное количество раз. После выполнения данной микропрограммы рекомендуется перезагрузить компьютер. Обратите внимание ! Данную микропрограмму нельзя запускать из терминальной сессии
Показания к применению: После удаления вредоносной программы пропал доступ в Интернет.
15. Сброс настроек SPI/LSP и TCP/IP (XP+)
Данная микропрограмма работает только в XP, Windows 2003 и Vista. Ее принцип работы основан на сбросе и пересоздании настроек SPI/LSP и TCP/IP при помощи штатной утилиты netsh, входящей в состав Windows. Подробно про сброс настроек можно прочитать в базе знаний Microsoft - http://support.microsoft.com/kb/299357 Обратите внимание ! Применять сброс настроек нужно только в случае необходимости при наличие неустранимых проблем с доступом в Интернет после удаления вредоносных программ !
Показания к применению: После удаления вредоносной программы пропал доступ в Интернет и выполнение микропрограммы "14. Автоматическое исправление настроек SPl/LSP" не дает результата.
16. Восстановление ключа запуска Explorer
Восстанавливает системные ключи реестра, отвечающие за запуск проводника.
Показания к применению: В ходе загрузки системы не запускается проводник, но запуск explorer.exe вручную возможен.
17. Разблокировка редактора реестра
Разблокирует редактор реестра путем удаления политики, запрещающей его запуск.
Показания к применению: Невозможно запустить редактор реестра, при попытке выводится сообщение о том, что его запуск заблокирован администратором.
18. Полное пересоздание настроек SPI
Выполняет резервное копирование настроек SPI/LSP, после чего уничтожает их и создает по эталону, который хранится в базе.
Показания к применению: Тяжелые повреждения настроек SPI, неустранимые скриптами 14 и 15. Применять только в случае необходимости !
19. Очистить базу MountPoints
Выполняет очистку базы MountPoints и MountPoints2 в реестре. Данная операция нередко помогает в случае, когда после заражения Flash-вирусом в проводнике не открываются диски
Для выполнения восстановления необходимо отметить один или несколько пунктов и нажать кнопку "Выполнить отмеченные операции". Нажатие кнопки "ОК" закрывает окно.
[/spoiler]
На заметку:
Восстановление бесполезно, если в системе работает троянская программа, выполняющая подобные перенастройки - необходимо сначала удалить вредоносную программу, а затем восстанавливать настройки системы
На заметку:
Для устранения следов большинства Hijacker необходимо выполнить три микропрограммы - "Сброс настроек поиска Internet Explorer на стандартные", "Восстановление стартовой страницы Internet Explorer", "Сброс настроек префиксов протоколов Internet Explorer на стандартные"
На заметку:
Любую из микропрограмм можно выполнять несколько раз подряд без ущерба для системы. Исключения - "5.Восстановление настроек рабочего стола" (работа этой микропрограммы сбросит все настройки рабочего стола и придется заново выбирать раскраску рабочего стола и обои) и "10. Восстановление настроек загрузки в SafeMode" (данная микропрограмма пересоздает ключи реестра, отвечающие за загрузку в безопасном режиме).
Конец выдержки.
Что еще надо отметить. Часто вирусы стали блокировать доступ к некоторым сайтам. Они используют для этого два способа. Первый – файл hosts. Здесь успешно помогает AVZ. Второй – ветка в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
В ней надо удалить все ключи.
Вроде все.
Заключительная часть.
Эта методика может помочь не только в устранении баннеров, но и обычных вирусов. Единственное – далеко не все вирусы устраняются этим способом. Однозначно не помогает против файловых вирусов (например, Sality, по классификации Касперского). Вирусы, которые запускаются как драйверы, тоже избегнут Вашего внимания.
Что можно посоветовать.
Существуют такие замечательные утилиты как CureIt (http://www.freedrweb.ru) и AVPTool (http://support.kaspersky.ru/viruses/avptool2010?level=2). Имеет смысл воспользоваться ими для полной проверки компьютера после всех выполненных операций. Они найдут и исправят то, что Вы пропустили.
Еще есть такие замечательные сайты как http://forum.oszone.net или http://virusnet.info/. Там Вам с удовольствием помогут, если Вы выполните их требования.
Напоследок.
Никакой антивирус не способен защитить Вас на 100%. Лазая в интернете и увидев баннер сомнительного содержания, удержитесь от немедленного желания щелкнуть кнопку закрыть, которая находится на баннере. Ничего хорошего точно не будет. Закрывайте только страничку вашего браузера или сам браузер.
Конец.
) А ниже - "если в течении 12 часов деньги не поступят, либо я попытаюсь переустановить винду (ага, щас 
) все данные на компе будут уничтожены! "
