указанные файлы заменены на оригиналы с работающей ОС, инфа в соответствующей ветке реестра правильная, но когда троян ремовер заканчивает работу, пишит что перезагрузить не может и просит это сделать вручную, но Алкаид не перезагружается, только с кнопки и вновь троян ремовер показывает такие пикчи.
Имеем дело с трояном. Ясно что при загрузке каждый раз он подсоединяется к lsass.exe. Где его искать - большой вопрос. Каждый случай почти индивидуальный. Когда система не загружена, то есть загружаемся с LiveCD - источник не активен и обнаружить его не удается. Если смена реестра помогает, значит команда либо сам процесс, по крайне мере конечный, приводящий к порче, запускается из реестра. Что там в разделах автозагрузки находится? Можно также вычистить временные файлы и кеш браузера, и TEMP виндусовый и explovera. Но это маловероятно что поможет.
Находим антивирус который можно прописать в реестре на проверку при загрузке системы - возможно avz это умеет делать ( лучше посмотреть документацию к нему), через LiveCD устанавливаем AVZ и редактируем "испорченный" реестр - вносим запись на проверку. Avast это точно умеет делать, но по поводу подключения не смотрела как это происходит.
Может происходить такая ерунда - вирус создает файл lsass.exe, регистрирует его в реестре по пути с:\Windows, в разделе автозагрузки, запускает - внешне все нормально, не подкапаешься, но это cовсем не виндусовый lsass.exe(тот находится в system 32 и dllcache). Отредактировать автозагрузку, закрыть реестр на запись и попробовать загрузиться.
Да и кстати Nod лучше тоже убрать из загрузки, иногда он может приводить к подобным процессам, например если он испорчен и не может корректно подгрузится.
Вот ветки загрузки (взяла с форума):
"HKEY_CURRENT_USER-software-microsoft-windows-currentversion-run
HKEY_CURRENT_USER-software-microsoft-windows-currentversion-runonce
HKEY_CURRENT_USER-software-microsoft-windows-currentversion-runonceex
HKEY_CURRENT_USER-software-microsoft-windows-currentversion-runservices
HKEY_CURRENT_USER-software-microsoft-windows-currentversion-runservicesonce
Аналогично в HKEY_LOCAL_MACHINE и HKEY_USERS, в последнем проверяешь Default и первый с длинным рядом цифр"