Извиняюсь сразу, но скриншотов у меня нет, так как вируса у меня небыло. Сам же вирус, который просит активировать windows через смс подцепила моя подруга и в панике звонила мне. Живет она далековато от меня, поэтому пришлось решать проблему в телефонном режиме.

Где и как подцепить это чудо я сказать не могу, по её словам она скачала где-то Internet Explorer 8 и началось. Вобщем предысторию я Вам рассказал. В конце Вы найдёте инструменты, которые Вам возможно помогут в борьбе с вирусом и спасут от лишней переустановки Windows.

Значит пошагово объясняю, что делать!

Шаг 1

Некоторые советуют оставить компьютер в этом состоянии на 1-2 часа и вирус самоликвидируется. Главное не перезагружать машину. Насчет этого способа скажу, что в данном конкретном случае он не прокатил, думаю он никогда не сработает, так как на моем опыте я не видел вирусы, которые сами себя уничтожают без уничтожения Windows или диска C:\, но попробовать Вам никто не мешает.

Значит перезагружаем машину кнопкой Reset, а другого способа у Вас и не будет. Можете попробовать кнопкой Power, если включена функция «Завершеия работы».

Пока компьютер перезагружается, жмём F2 или F11 (на накоторых ПК может быть и F1 и F7 и другие). Если F2 не пашет жмём по очереди все клавиши F(соответственно придётся перезагружать каждый раз). Жмем кнопку ритмично, пока не появится меня выбора загрузки Windows.

Меню выглядит так:

меню загрузки Windows, режимы

Выбираем «Безопасный режим». ПК должен загрузится в безопасном режиме.

Шаг 2

Открываем Пуск, ищем в нем команду выполнить. В окошке пишем Regedit. Должен открыться «Редактор реестра».
В редакторе работаем очень осторожно и идём по пути (меню слева):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Шаг 3

Теперь справа Мы видим ключи Автозагрузки. Думаем над каждым значением и удаляем лишние(просто правой кнопкой — удалить).
Как выбирать ключи???
1. Смотрите куда ведёт значение ключа. Если оно ведёт в C\Program Files\приложение — попытайтесь вспомнить, что это за приложение. Например Ahead Nero (это запись дисков), Adobe (это фотошоп, акробат или подобные продукты), Avira или DrWeb и Kaspersky — это антивирусы.

2. Удаляем всё что связано с rundll
3. Удаляем, то что указывает на :

C:\Windows
C:\Windows\Temp
C:\
C:\Documents and Settings\ ….
С:\Recycler\S-1…. или подобные

или на любой другой диск, если Вы не знаете, что это за программа и Вы сами туда не добавляли ничего.

4. Точто также проверяем ключи:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce


HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

и другие ключи с названием Run. Принцип поиска таких ключей прост — в Редакторе реестра жмём CTRL+F, вводим в строку поиска Run» (без кавычек) и выставляем галочки напротив :

Имена разделов
Искать только строку целиком

Остальные галочки нужно убрать.

Шаг 4

Идем в Пуск, проверяем папку Все программы — Автозагрузка. На всякий случай удаляем всё из неё.
Перезагружаемся,  проверяем работоспособность системы. Если не помогло, возвращаемся в безопасный режим и проверяем все ключи тщательнее.

Что может нам помочь в нашем нелёгком деле???

cleaner, очистка ПК

Скачайте и установите программу Ccleaner либо заранее, либо потом с флешки установите. После установки — кликайте кнопочку «Сервис» и в правом окне выберите пункт Автозагрузка.

Удалите или выключите те ключи, которые Вы не знаете, потом их можно будет включить.

Ссылка на закачку: http://www.ccleaner.com/download/downloading

Ах да, у неё вирус прятался под именем CTFMON.exe. Это стандартный сервис Windows, отвечает за клавиатуру по-моему, но настоящий CTFMON находится по адресу
C:\Windows\System32\Ctfmon.exe, а вирус был в папке
C:\Windows\Ctfmon.exe. Будьте бдительны насчет этого — из папки виндовса обычно ничего(хорошего) не загружается.

Чтобы удостоверится в Вашем выборе вы можете пойти посмотреть на файл вируса воочию — обычно он весом до 100 КБ (у неё был 46 кб).

И установите хороший антивирус!

ЗЫ Если ничего из этого не помогло?? Читайте «Борьба с вирусом активации Windows часть вторая»

Сейчас другие читают: