ERD Commander - один из компонентов DaRT (Diagnostics and Recovery Toolset), который, в свою очередь, входит в состав Microsoft Desktop Optimization Pack.

ERD Commander - это набор программ, работающих в среде WindowsPE. WinPE позволяет выполнить загрузку системы со съемного носителя, что дает возможность запустить компьютер даже в случае тотального повреждения файлов существующей на диске ОС, жизненно необходимых для ее старта. Являясь «почти настоящей» 32-битовой Windows, WinPE обеспечивает полный доступ к NTFS-томам, системному реестру, параметрам настройки и драйверам. Стандартный оконный интерфейс ERD Commander, сходный с привычным Рабочим столом, позволяет легко и эффективно использовать предлагаемые им инструменты.

Простыми словами: ERD Commander - винда, которую можно запустить со сменного носителя (CD или USB-флэшка) и починить вашу родную операционную систему (вручную или с помощью встроенных в ERD Commander специальных утилит).

1. Скачать образ диска ERD Commander (торент-трекеры рулят!).

2. Записать этот образ на CD (поставить минимально возможную скорость записи диска).

3. Загрузиться с этого диска (во время запуска системы активировать функцию boot sequence с помощью функциональных клавиш или установить очередность загрузки в BIOSe).

Загрузка напоминает обычную загрузку Windows:

Можно пропустить (а лучше - оставить) конфигурирование сети:

ERD Commander предложить указать операционную систему, к которой нужно подключиться. Если система одна, то она уже будет предложена, и пользователю останется только это подтвердить:

Рабочий стол ERD Commander'a:

4. Если ваша задача - поиск и удаление вирусов, запустите программу "Autoruns" через меню Пуск ERD Commander'a:

5. Просмотрите подразделы System и [имя пользователя] (в этом примере - max) на предмет наличия подозрительных объектов, загружающихся из директорий:

• C:\Temp
• C:\WINDOWS\Temp
• C:\Documents and Settings\user\Local Settings\Temp



А также файлы из директории C:\WINDOWS\System32, имеющие названия из хаотичного набора букв и цифр, например, jmrec7crvc.exe или нечто подобное. Также с недоверием стоит относиться к файлу C:\WINDOWS\System32\novirus.exe

Для любителей поковыряться в реестре предусмотрен редактор - знакомый RegEdit, вот только его нужно запускать командой "erdregedit", иначе он просто не запустится. С помощью редактора реестра можно проверить все ветки, о которых рассказано в статье - "Где прячутся вирусы" вручную.

Также не стоит пропускать проверку файла userinit.exe - его размер должен составлять 26,0 КБ (26 624 байт) и дата его создания должна быть не очень свежей :) Очень часто вирусы внедряются в сам файл userinit.exe, не меняя запись в реестре в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Оригинальные файлы userinit.exe, logonui.exe можно скопировать из любого дистрибутива виндовса (найдете поиском), или скачайть отсюда.