Akella, прошу прощения 

Вот что мне написали в другом месте:


А вот что получилось:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
ключ Debugger указывает на тот файл svchost.exe, который я удалила (путь совпадает).

Итого:
- удалив ссылку на svchost.exe в ключе Debugger, получила запускающийся Проводник (и рабочий стол)
- защищенный режим по-режнему недоступен

Поиски продолжены в направлении библиотеки msvcrt57.dll (находится сейчас в карантине антивируса)
На нее нашлись 4 ключа в папках:

HKEY_USERS\S-1-5-21-2536523735-691057385-4206410819-1165\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll

HKEY_CLASSES_ROOT\CLID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

Это сообщение отредактировал(а) ida - 6.7.2009, 13:56

Подраздела explorer.exe не должно быть вообще в в разделе Image File Execution Options\

Добавлено через 6 минут и 45 секунд

На сколько мне известно, то в случаях, когда винда просит себя активировать по SMS (есть такой вирус), то фигурирует в описаниях симптомов и эта библиотечка.  

Это сообщение отредактировал(а) Akella - 6.7.2009, 14:54

Akella, у меня таких просьб не было - все же видимо антивирус помог.
Но вопрос в следующем - удалять ключи совсем, или на их месте должно быть что-то полезное? Например, ссылки на другие библиотеки.

Вирус жив ли, мертв ли, но сколько опыта, сколько опыта...

Рекомендую почитать камасутру..

Это сообщение отредактировал(а) S.A.G. - 6.7.2009, 16:37

S.A.G., да, аналитики действуют вот так 
А программисты - так, как предложил Шэдоу 

ida, а если серьезно, то зря морочите голову.

Моя голова сейчас ясна и свежа как никогда 
Подобные задачи очень хорошо действуют на нейроны головного мозга 

А нет ли под рукой нормально работающей ОСи?