Evo imas ovde skriptu koja ti moze pomoci da startujes task i regedit.

http://www.elitesecurity.org/t337196-3#2168862

Ona ce ti ujedno resiti ovaj problem:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Ova ti je skripta samo za pokretanje ta dva a dalje moras sam da tuces gde treba.
Reci mi sta ti je ono mmm.exe??? Znas li cemu sluzi??? Ako ne, onda ga izbacuj, jer nekako mnogo vonja...
Dalje, ova dva mozes da brises
C:\DOCUME~1\pchelp\LOCALS~1\Temp\winwexico.exe
C:\DOCUME~1\pchelp\LOCALS~1\Temp\wmth.exe
Pretpostavljam da ta dva exe-a rade zajedno. Kad se jedan iskljuci drugi ga ukljucuje i obratno. Oni ujedno proveravaju da li su svi kljucevi u registrima na "mestu". Ako nisu onda ih ponovo upisuju bez obzirakoliko ih puta brisao. Mislim na "DisableRegistryTools", "DisableTaskManager", i ostalo.
Posto si se namucio oko njega (Video u "registry i task manager disabled Vol.1") predlazem da se malo poigras sa rucnim uklanjanjem.
Obavezno skini proces explorer sa www.sysinternals.com. On ce ti pokazati tacne putanje do fajlova koji su trenutno aktivni.
Dalje, kako bi brze radio klikni na options i odcekiraj "Confirm Kill". Ovo ce ti iskljuciti potvrdu za ubijanjem procesa tako da ces dobiti na vremenu i uspeti da ubijes i drugi proces ("klik", "Del" || "Klik", "Del" || Procesi ubijeni). Dakle, "oshacuj" oba procesa i zapisi njihove ImageName pa ih onda ubijaj. Kad ih ubijes i vidis da se vise ne startuju mozes da predjes na pretragu po registrima. Sve sto ima veze i sto nosi njihove nazive brisi iz reg-a ali prethodno napravi backup.
Predlazem da pogledas jos jedan kljuc:

HKEY_CLASSES_ROOT\exefile\shell\open\command (Default)="%1\" %*
HKEY_CLASSES_ROOT\exefile\shell\runas\command (Default)="%1\" %*

U ovim linijama sme da stoji samo "%1\" %* i nista drugo.
Ako ima jos cega, ukloniti visak.
Mozes sledecu liniju da da dodas posle onog "set Skripta..." da ti automatski fixa i taj problem:

Skripta.RegWrite "HKEY_CLASSES_ROOT\exefile\shell\open\command\", """%1"" %1"

Dalje, pogledaj po svim particijama ima li fajla Autorun.inf, tako sto NECES dvoklikom otvarati particije NITI Desni klik pa na "Open","Explore","Search", vec ces gore na "Address" odabrati zeljenu particiju. Ako postoji otvori ga sa notepad-om i procitaj sta se pokrece. To je u linijama OPEN=Nesto.exe ili shell\open\command=Nesto.exe ili jos neki... Uglavnom procitaj putanju i obrisi exe, ili foldere u kojima se nalazi, za koji je namenjen Autorun.inf a zatim obrisi i njega.
Javi kakvo je stanje.

_{[Ovu poruku je menjao cyberdjomla dana 22.01.2009. u 02:11 GMT+1]}

Shvatio sam otprilike o cemu si pricao..i sve sam odradio..ali i dalje nista..sem scripta.vbs..ona deluje..sad cu da postavim neke screenove,pa ti ako sta vidis u tome,javi...i pokazacu ti sta mi je sve nasao process explorer...

I jos nesto...da li ima ikakve veze to sto kad zelim da regularno pokrenem regedit,zacuje se kratko pistanje iz kucista...

Sto se tice tog pistanja iz kucista, ne bi trebalo da pisti.

Ovako. Ti imas i taj treci satro adobe speed launcher.
Desni klik na njega i kill three ce ubiti sva tri procesa odjednom.

reader_sl.exe i ova dva sto rade pod njim.

Zapisi njihove putanje i imena fajlova. Znaci ne nazive u procesu vec imena fajlova koji se pokrecu. Ubij "Drvo" ta tri procesa i kreni u regedit potragu. Pokreni ga pomocu skripte.
Dalje je sve u tvojim rukama. Koliko budes vest sa pretrazivanjem toliko ces rezultata napraviti.

Napomena: Obrati paznju na moguce veze oblika {6e93bcf0-aa4a-11dc-b23d-001d60027d3c}. I njih pretrazi po registru napravi backup i obrishi ih. Javi kako napredujes. Ovo ti je osnovno i ne treba ti nista vise za otklanjanje tog cuda.
Ako prometis da se opet startuju i da opet ne mozes da pristupis regedit itd idi u safe mode iskljuci explorer.exe i onda uradi citavu proceduru ponovo.


PS.Ne zaboravi da posle svega obrises i te fajlove. :)))

Bojim se da te nisam uopste razumeo..:)
sad ne vidim nigde taj adobe speed launcher...u stvari nije mi nista jasno sem da pokrenem scriptu..:)

reader_sl.exe sa cetvrte prilozene slike je taj fake adobe speed bla bla kojeg trebas da iskljucis, ALI ne samo njega vec i procese koje on drzi (ispod njega kao sto vidis na slici).
Desnim klikom na reader_sl.exe pa na "kill process tree" ubices sva tri procesa.
Pre nego sto ih ubijes vidi njihov properties i zabelezi putanju gde se nalaze, pa ih ubijes a zatim nadjes i obrises.
Onda je potrebno da izbacis njihove ostatke iz registara.
Prosto.
Ako ne ide mozemo da probamo sa remote desktop tj. da ti ja to sredim koliko mogu odavde pa da iskustvo podelimo sa svim forumasima.

Ne vredi i dalje ne vidim taj proces...trazio sam ga svuda..i nasao sam taj fajl u adobe reader-u 8..pa da probamo i tu varijabtu,remote desktop

Ne znam da li je dozvoljeno ostavljati MSN adresu na forumu... hmm... U svakom slucaju napravio sam jednu privremenu.
(adresa obrisana)
Bicu online veceras posle 00:00h. Na poslu sam do tad. Jes' da malo kasnim sa odgovorom ali se nadam da ces procitati veceras ili sutra u toku celog dana.
Pa da resimo taj problem. A onda cemo nasim forumasima reci da li je jos sta bilo u pitanju, gde se sve virus zavukao i tako dalje. Pozdrav.


_{[Ovu poruku je menjao cyberdjomla dana 22.01.2009. u 02:25 GMT+1]}

ok,dogovoreno za veceras posle ponoci..