Диспетчер задач - из консоли: taskmgr
Если пропал звук в браузере. Вирус setupapi.dll У него есть аплоад и грузится он не только в temp, system32, но и в корни папок ИЕ, Опера и Фаерфокс. Найдите через стандартный поиск. Появится три файла, их удалять Шифт/делит .
Асоциация плеера - Ctrl+F12 -> Вкладка "Дополнительно"-> в списке слева выбираете "Программы"-> далее смотрите какие программы Опера использует по умолчанию. Както так:
mmc - C:\Program Files\Windows Media Player\wmplayer.exe

rtsp - C:\Program Files\K-Lite Codec Pack\Media Player Classic\mpc-hc.exe

 mailto - Opera или Outlook express

Как убрать сообщение "Возможно, вы приобрели поддельную копию программного обеспечения.Эта копия Windows не прошла проверку подлинности."

 для Windows XP:

Данное сообщение выходит, если на вашем компьютере установлено приложение KB905474 - Windows Genuine Advantage Notifications.

1. В меню "Пуск", выбираем пункт "Выполнить";

2. В поле "Открыть" наберите команду regedit и нажмите кнопку "ОК";Откроется окно "Редактор реестра".

3. В окне редактора реестра, последовательно переходим по веткам реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon В этом подразделе будет 20 параметров

4. Делаем копию раздела реестра WgaLogon (так сказать, на всякий случай):  щелкаем на разделе правой кнопкой мыши и выбираем пункт меню "Экспортировать".В окне "Экспорт файла реестра" в поле "Имя файла" вводим WgaLogon и нажимаем кнопку "Сохранить";

5. Теперь удаляем раздел WgaLogon: ПКМ->"Удалить"->"Да". Закрываем все окна и перезагружаем компьютер.
Хаблист:

 SVAO-IX:   http://ddd-dc.ru/hublist-svao

HOME-IX:   http://ddd-dc.ru/hublist-home

NetByNet:   http://ddd-dc.ru/hublist-netbynet

АКАДО Ебург:   http://ddd-dc.ru/hublist-akadoural

Triolan:   http://ddd-dc.ru/hublist-triolan
Винлокер

В реестре необходимо просмотреть две ветки: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Именно в них содержится информация об автозагрузке. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon,

по своему опыту знаю, что многие вредоносные программы прописываются именно там, а именно в строковых параметрах shell и Userinit. Первый параметр выглядел абсолютно нормально там была одна запись «explorer.exe», а вот во втором, кроме стандартного «C:\WINDOWS\system32\userinit.exe» через запятую было дописано «C:\Documents and Settings\All Users\Application Data\blocker.exe» (может быть и другой путь в зависимости от вируса). Удалив все лишнее, я закрыл редактор реестра и набрал в командной строке «explorer.exe». Запустился проводник, и я проследовал, по указанному в реестре пути, а именно: "C:\Documents and Settings\All Users\Application Data\". Стоит добавить, что эта папка системная, поэтому она не будет отображаться, если не изменить соответствующим образом настройки отображения папок. В Application Data мною было обнаружено и удалено два вредоносных файла blocker.exe и blocker.bin. Перезагрузив компьютер в обычном рабочем режиме, никаких требований отправки смс уже не возникало. Мне встречались также другие варианты этого вируса, имеющие другое название, и располагающиеся в других каталогах, например "C:\Documents and Settings\имя пользователя\Local Settings\Temporary Internet Files" или "C:\Documents and Settings\имя пользователя\Local Settings\Temp"."HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run", а сами вредоносные файлы расположились по адресам:"C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\k.php""C:\Documents and Settings\MyLogin\Application Data\ybuuk.exe"После удаления этих файлов проблема успешно решается.

Как восстановить доступ к файлам на сменных носителях после заражения Worm.Win32.Radminerhttp://www.kaspersky.ru/support/viruses/solutions?qid=2086402711.

Откройте консоль: Пуск - Выполнить - наберите команду cmd.exe.

Перейдите в корень сменного носителя, на котором вредоносная программа предположительно скрыла папки, набрав его имя (например, E:).

Выполните команду dir /x.     Если скрытая вредоносной программой папка присутствует на данном сменном носителе, то в качестве ее имени будет указано многоточие ( "..").     В соседней колонке будет указано короткое имя папки, по которому она доступна (например, E2E2~1).

Переименовать папку, используя короткое имя, набрав команду ren <короткое_имя_папки> RESTORED.
1. Пуск - выполнить - "cmd"

2. Z:     (z- буква флешки)

3. dir /x       (В одной из строчек будет написано "E2E2~1" "..")

4. ren E2E2~1 redminer   (переименовать)   или создайте в блокноте файл "redminer.cmd" со следующим содержимым: ren E2E2~1 redminer    и запустите его.
Как включить учетную запись Администратора. 

Запускаем командную строку повышенного уровня, набрав cmd в поле поиска в меню Start (Пуск), щелкнув на иконке командной строки, которая появится в верхнее части меню Start (Пуск) правой кнопкой мыши, а затем выбрав пункт Run as administrator (Запуск от имени администратора). В открывшейся консоли вводим (копируем) такую команду и нажимаем Enter (Ввод): 

net user administrator /active:yes

, если не сработала:

net user Администратор /active:yes

отключить -

net user administrator /active:no

если не сработала:

net user Администратор /active:no

Восстановить админскую учётку можно будет из безопастного режима с поддержкой командной сторки (F6, F8 при загрузке винды) - команды те же.

По умолчанию Windows выгружает ядро и системные драйвера в файл подкачки, если они не используются. С помощью данной опции можно указать Windows хранить ядро и системные драйвера всегда в памяти. Запускаем "Regedit" HKLM\SYSTEM\CurrentControlSet\Control\Ses sion Manager\Memory Management параметр DisablePagingExecutive, "1" - не использовать файл подкачки для хранения ядра системы, "0" – использовать.