Здравствуйте, Сергей Сергеевич.
Вы не сообщили о результатах проверки Вашей ОС на наличие вирусов с помощью лучшей лечащей утилиты
CureIt (см Ответ от Protos), рекомендую лечить ею, загрузившись в Безопасный режим (жмите клавишу F8 в начале загрузки ОС).
Кроме того, баннеры часто авто-загружаются без использования перехватывающих вирус-кодов. Мне неоднократно приносили сис-блоки с баннерами, в которых антивирусные прогаммы со свежими базами не выявляли вирусов. Лечение несложно:
1)Удалите все ярлыки из обеих папок Главное меню\Программы\Автозагрузка (в \Documents and Settings\All Users\ и в профиле Вашей учётки типа \Documents and Settings\Sergey\ ). Если Вы сомневаетесь, что какие-то ярлыки могут пригодиться Вам в будущем, то сделайте их скрытыми, скрытые ярлыки не авто-загружают прописанные в них Приложения.
2)Возможно, авто-загруз баннера прописан в Вашем профиле (а не в машине), попробуйте загрузиться в другую (новую) учётную запись. В случае успеха можно продолжать работу в этой учётке, переместив в неё свои личные файлы.
3)Удалите неиспользуемые в здоровых системах разделы реестра
Hklm\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run ,
Hklm\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\TaskMan и
Hkcu\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run (они подозрительно отображены в Вашем отчёте AutoRuns.arn). Причём, файл c:\windows\system32\wxrnwyr.exe (прописанный в Hkcu\…\Run) имеет слишком свежую дату: 5 июля 2010г - похоже, это дата заражения.
4)Если предыдущие манипуляции не помогли, то удалите все автозапускающие параметры в разделах реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (оставьте т-ко CTFMON.EXE , ссылающий на C:\WINDOWS\system32\ctfmon.exe , если этот файл не вирус, а продукт корпорац Microsoft c датой модификации как у его собратьев, он отображает в сис-трее клав-раскладку). Не бойтесь удалять содержимое Run-разделов, все прописанные в них приложения можно запустить вручную.
Когда Вы избавитесь от автозагрузки баннера, то возможно, некоторые рег-параметры облегчат Вам работу на компьютере, и Вы захотите восстановить их. Для этого перед удалением параметров из реестра успейте сохранить их копии в редакторе реестра (Пуск \ Выполнить \ RegEdit ) из меню Файл \ Экспорт или из контекста Run-раздела выберите команду Экспортировать. В открывшемся окне "Экспорт файла реестра" введите имя с путём (типа C:\WinXp\HklmRun , папку C:\WinXp создайте заранее). При пуске этих .reg-файлов удалённые параметры будут восстановлены. Чтобы перед пуском вычистить из этих файлов ненужные параметры, откройте .reg-файл из его контекста командой Изменить и удалите ненужные строки ЦЕЛИКОМ! Всегда оставляйте исходную копию на случай ошибки!
5)Убедитесь, что в разделе реестра
[Hklm\software\Microsoft\Windows NT\CurrentVersion\Winlogon] параметр Shell имеет значение
Explorer.exe , а параметр
Userinit - значение
C:\WINDOWS\system32\userinit.exe, (вместо C:\WINDOWS\ подставьте путь к Вашей \WINDOWS-папке, например D:\WINDOWS\ ). Исправьте эти значения, если они модифицированы зловредным источником баннеров.
Удачи Вам!