утилита AVZ
В этом деле нам поможет антивирусная утилита AVZ, которая не является полноценным антивирусом (что, кстати, хорошо, ибо она не комфликтует с уже установленным), а всего лишь утилитой, но при этом не требует установки и зачастую помогает даже в самых сложных случаях, что подтверждено мною и тысячами посетителей в течении длительного времени. Зачастую именно с помощью AVZ удается дать системе снова вздохнуть достаточно широко, чтобы хотя бы оживить\установить нормальный антивирус и добить всякую шушеру им. В общем, приступим.
Как удалить вирусы с помощью AVZ

    Качаем отсюда антивирусную утилиту AVZ. 
    Распаковываем архив с ней куда-нибудь, куда Вам удобно.
    Следуем в папку, куда мы распаковали программу, и запускаем там avz.exe. В окне программы выбираем
  Фаил –> Обновление баз.



             

 

                       

 В конце строки Настройки: кнопка с тремя точками, нажав на неё, попадаем в окно с настройками.
 
                                              



  По окончании процесса обновления баз нажимаем Закрыть.
  На вкладке Область поиска выделяем галочками все жесткие диски, флешки (если не вставлена, то вставить).

           

 Справа поставляем галочку – Выполнять лечение.
 В первых четырех строках выбираем  Удалять, в предпоследнем  Лечить, и в последним тоже  Удалять.
 Так же проставьте галочки Копировать удаляемые файлы в Infected и Копировать подозрительгые
файлы в карантин.

Переходим на вкладку Типы файлов.

           
  
 Далее есть три варианта проверки: очень долгий, долгий и быстрый. Все действия производятся на вкладке
 Типы файлов
       

• очень долгий: ставим кружочек Все файлы снимаем галочку Не проверять архивы более 10MB.
• долгий:  ставим кружочек Все файлы не снимаем галочку Не проверять архивы более 10MB.
• быстрый: ставим кружочек Потенциально опасные файлы не снимаем галочку Не проверять архивы более 10MB.

  В чем разница? Разница в качестве проверки – чем дольше, тем тщательней и тем больше шансов, что все вирусы
будут удалены.
  Переходим на вкладку Параметры поиска.

         

Эвристический анализ   
• Ползунок Эвристического анализа перемещаем на самый верх
• ставим галочку Расширенный анализ

Anti-RootKit
• ставим галочку Детектировать перехвадчики API и RootKit
• ставим галочку Блокировать работу RootKit User-Mode
• ставим галочку RootKit Kerner-Mode

Это нужно, чтобы ни один вирус не смог никуда убежать, запустить что-либо мешающее работе антивируса.

Winsock Service Provider
• ставим галочку Проверять настройки SPI/LSP
• ставим галочку Автоматически исправлять ошибки в SPI/LSP

Еще ниже выставляем галочки
Поиск клавиатурных перехватчиков Keyloggers и Поиск портов TCP/UDP программ.
Далее жмем AVZGuard

        
 Включить AVZGuard

Далее жмем AVZPM

          

 Установить драйвер расширенного мониторинга процессов. Если потребуется перезагрузка – соглашайтесь, но учтите, что придется проделать всё пункты, кроме установки драйвера заново.
    Теперь всё. Жмём кнопочку “Пуск” и ждем окончания проверки.

Внимание! На время проверки, скорее всего, Вы не сможете запустить почти ни одну программу на компьютере, а так же войти в системный диск (обычно – это C:\). Лучше вообще оставьте компьютер в покое. Почему так? Дело в том, что AVZ таким образом блокирует все возможные передвижения вирусов, программ, spyware и тп, т.е. любые попытки обмануть сканер (сбежать, спрятаться, прикнуться чем-то еще и тд) или же сделать пакость последним вздохом.
Действия после удаления вирусов AVZ

Нажмите AVZPM ->Удалить и выгрузить драйвер расширенного мониторинга процессов. Затем  Фаил -> Выход и обязательно перезагрузите компьютер.

После перезагрузки, вам может быть предложено установить найденное неизвестное оборудование – не пугайтесь и отмените предложение. Больше оно вам досаждать не должно. Если же все еще появляется, то проделайте:

    Пуск – Настройка – Панель управления – Система – Оборудование – Диспетчер устройств. Там найти нечто с желтым знаком вопроса и удалить.

Если не помогает, то в том-же AVZ, попробуйте сделать Файл - Стандартные Скрипты – установите галочку Удаление Всех драйверов и ключей реестра AVZ  и нажмите Выполнить отмеченные скрипты.


Не паникуйте, если в ходе проверки утилита нашла работающие с сетью, умеющие дозваниваться, или прописанные в автозагрузку программы. Вполне вероятно, что это не вирус, а что-нибудь из служебного софта. Что касается подозрительных файлов, найденных, но не удаленных: после такой проверки (даже быстрой), скорее всего, на Вашем компьютере не выжило большинство серьезных (или не совсем) вирусов, которые до этого момента жили у Вас, но я настоятельно рекомендую Вам обязательно проверится каким-нибудь полноценным крупным Антивирусом.

Кроме вышесказанных действий AVZ умеет  восстанавливать и очищать систему.(Взято из справки AVZ)

• 1. Восстановление параметров запуска .exe, .com, .pif файлов
  Данная микропрограмма восстанавливает реакцию системы на файлы exe, com, pif, scr.
  Показания к применению: после удаления вируса перестают запускаться программы.


• 2. Сброс настроек префиксов протоколов Internet Explorer на стандартные
  Данная микропрограмма восстанавливает настройки префиксов протоколов в Internet Explorer
  Показания к применению: при вводе адреса типа www.yandex.ru идет его подмена на что-то вида www.seque.com/abcd.php?url=www.yandex.ru
  


• 3. Восстановление стартовой страницы Internet Explorer
  Данная микропрограмма восстанавливает стартовую страницу в Internet Explorer
  Показания к применению: подмена стартовой страницы
  


• 4. Сброс настроек поиска Internet Explorer на стандартные
  Данная микропрограмма восстанавливает настройки поиска в Internet Explorer
  Показания к применению: При нажатии кнопки “Поиск”


• 5. Восстановление настроек рабочего стола
  Данная микропрограмма восстанавливает настройки рабочего стола. Восстановление подразумевает удаление всех активных элементов ActiveDesctop, обоев, снятие блокировок на меню, отвечающее за настройки рабочего стола.
  Показания к применению: Исчезли закладки настройки рабочего стола в окне “Свойства:экран”, на рабочем столе отображаются посторонние надписи или рисунки


• 6. Удаление всех Policies (ограничений) текущего пользователя.
  Windows предусматривает механизм ограничений действий пользователя, называемый Policies. Этой технологией пользуются многие вредоносные программы, поскольку настройки хранятся в реестре и их несложно создавать или модифицировать.
  Показания к применению: Заблокированы функции проводника или иные функции системы.


• 7. Удаление сообщения, выводимого в ходе WinLogon
  Windows NT и последующие системы в линейке NT (2000, XP) позволяют установить сообщение, отображаемое в ходе автозагрузки. Этим пользуется ряд вредоносных программ, причем уничтожение вредоносной программы не приводит к уничтожению этого сообщения.
  Показания к применению: В ходе загрузки системы вводится постороннее сообщение.


• 8. Восстановление настроек проводника
  Данная микропрограмма сбрасывает ряд настроек проводника на стандартные (сбрасываются в первую очередь настройки, изменяемые вредоносными программами).
  Показания к применению: Изменены настройки проводника


• 9. Удаление отладчиков системных процессов Регистрация отладчика системного процесса позволят осуществить скрытый запуск приложение, что и используется рядом вредоносных программ
  Показания к применению: AVZ обнаруживает неопознанные отладчики системных процессов, возникают проблемы с запуском системных компонент, в частности после перезагрузки исчезает рабочий стол.


• 10. Восстановление настроек загрузки в SafeMode
  Некоторые вредоносные программы, в частности червь Bagle, повреждают настройки загрузки системы в защищенном режиме. Данная микропрограмма восстанавливает настройки загрузки в защищенном режиме.
  Показания к применению: Компьютер не загружается в защищенном режиме (SafeMode). Применять данную микропрограмму следует только в случае проблем с загрузкой в защищенном режиме.


• 11. Разблокировка диспетчера задач
  Блокировка диспетчера задач применяется вредоносными программами для защиты процессов от обнаружения и удаления. Соответственно выполнение данной микропрограммы снимает блокировку.
  Показания к применению: Блокировка диспетчера задач, при попытке вызова диспетчера задач выводится сообщение “Диспетчер задач заблокирован администратором”.


• 12. Очистка списка игнорирования утилиты HijackThis
  Утилита HijackThis хранит в реестре ряд своих настроек, в частности – список исключений. Поэтому для маскировки от HijackThis вредоносной программе достаточно зарегистрировать свои исполняемые файлы в списке исключений. В настоящий момент известен ряд вредоносных программ, использующих данную уязвимость. Микропрограмма AVZ выполняет очистку списка исключений утилиты HijackThis
  Показания к применению: Подозрения на то, что утилита HijackThis отображает не всю информацию о системе.


• 13. Очистка файла Hosts
  Очистка файла Hosts сводится к поиску файла Hosts, удалению из него всех значащих строк и добавлению стандартной строки “127.0.0.1 localhost”. Доплнительные сведения о файлу Hosts здесь
  Показания к применению: Подозрения на то, файл Hosts изменен вредоносной программой. Типичные симптомы – блокировка обновления антивирусных программ. Проконтролировать содержимое файла Hosts можно при помощи менеджера Hosts файла, встроенного в AVZ.


• 14. Автоматическое исправление настроек SPl/LSP
  Выполняет анализ настроек SPI и в случае обнаружения ошибок производит автоматическое исправление найденных ошибок. Данную микропрограмму можно запускать повторно неограниченное количество раз. После выполнения данной микропрограммы рекомендуется перезагрузить компьютер.  Обратите внимание ! Данную микропрограмму нельзя запускать из терминальной сессии
  Показания к применению: После удаления вредоносной программы пропал доступ в Интернет.


• 15. Сброс настроек SPI/LSP и TCP/IP (XP+)
  Данная микропрограмма работает только в XP, Windows 2003 и Vista. Ее принцип работы основан на сбросе и пересоздании настроек SPI/LSP и TCP/IP при помощи штатной утилиты netsh, входящей в состав Windows. Подробно про сброс настроек можно прочитать в базе знаний Microsoft – http://support.microsoft.com/kb/299357 Обратите внимание ! Применять сброс настроек нужно только в случае необходимости при наличие неустранимых проблем с доступом в Интернет после удаления вредоносных программ !
  Показания к применению: После удаления вредоносной программы пропал доступ в Интернет и выполнение микропрограммы “14. Автоматическое исправление настроек SPl/LSP” не дает результата.


• 16. Восстановление ключа запуска Explorer
  Восстанавливает системные ключи реестра, отвечающие за запуск проводника.
  Показания к применению: В ходе загрузки системы не запускается проводник, но запуск explorer.exe вручную возможен.


• 17. Разблокировка редактора реестра
  Разблокирует редактор реестра путем удаления политики, запрещающей его запуск.
  Показания к применению: Невозможно запустить редактор реестра, при попытке выводится сообщение о том, что его запуск  заблокирован администратором.


• 18. Полное пересоздание настроек SPI
  Выполняет резервное копирование настроек SPI/LSP, после чего уничтожает их и создает по эталону, который хранится в базе.
  Показания к применению: Тяжелые повреждения настроек SPI, неустранимые скриптами 14 и 15. Применять только в случае  необходимости !


• 19. Очистить базу MountPoints
  Выполняет очистку базы MountPoints и MountPoints2 в реестре.
  Показания к применению: Данная операция нередко помогает в случае, когда после заражения Flash-вирусом в проводнике не открываются диски


• 20.Удалить статические маршруты
  Выполняет удаление всех статических маршрутов. Данная операция помогает в случае, если некоторые сайты заблокированы при помощи некорректных статических маршрутов. Важно отметить, что для работы некоторых сервисов у ряда Интернет-провайдеров статические маршруты могут быть необходимы и после выполнения подобного удаления их придется восстанавливать


• 21.Заменить DNS всех соединений на Google Public DNS
  Заменяет в настройке  всех сетевых адаптеров DNS сервера на публичные DNS от Google. Помогает в случае, если троянская программа подменила DNS на свои.