Как и обещал в предыдущей записи расскажу о проблемных, с точки зрения вирусной опасности, местах в реестре Windows.

Вот эти ветки:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Если я ни чего не путаю, то эти ветки отвечают за:

Уведомление о том, что windows не активирован
Запускалка пользовательской оболочки
Сама пользовательская оболочка, тот самый рабочий стол
Список запускаемых программ для всех пользователей
Установленные компоненты
Файлы, загружаемые при запуске Windows Explorer.
Тоже что то запускное, но, видимо,. с какой то задержкой
Список запускаемых программ для текущего пользователя

Голыми руками туда лазить не рекомендую, потому как можно удалить или испортить что ни будь нужное. Но если вы уверены в своих силах… Кстати, во второй и третьей ветках не редко живут пресловутые порнобанеры. По умолчанию значения там следующие:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit "C:\Windows\system32\userinit.exe,"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell "explorer.exe"

Естественно без кавычек.

Ценная информация потырена из статьи “Сброс пароля, редактирование реестра Windows из Ubuntu” Ещё одна интересная статья на тему борьбы с вирусами из под Linux называется “Очистка windows от вирусов с помощью Ubuntu“