do větve [hcu/.../run] - proč ne? málokterý vir má "neadministrátorskou" fantazii, čekal jsem že se to stane.
přihlásíš se jako jiný uživatel, čili vir nemáš spuštěný, a z disku to hravě smažeš. (kdybys měl třeba salamander, v jeho editoru registrů uvidíš i datum změny, což může být zajímavé pro odhalení původu nákazy).

pak to můžeš buď dohledat v registrech v [h_users/...], nebo se přihlásíš už bezpečně "nakaženým" účtem, a přebytečný záznam z [hcu] smažeš.

ad podvodné antiviry z toho článku - "SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure a XP AntiVirus":
všechny nabízí svou instalaci z nedůvěryhodného internetu, ze stránek které nepatří žádnému známému antiviru, instalační skript se táže v angličtině. přesto si to místní tupohlaví instalují, protože budou mít zase něco zadarmo. k tomu nezbývá než - dobře jim tak.