[Rokki]

Уважаемый, все ключи реестра куда могут прописаться зловреды можно посмотреть в KIS 2011 ,настройка-> контроль программ -> операционная система, а так же список есть в Comodo Firewall , Outpost Firewall,и т.д.

[Любезный]

Ну киску я уже потёр за ненадобностью. Пути могут появляться со временем и новые, а лечением винлоков занимаются не только те, кто пользуется указанными продуктами. Поэтому пусть лучше такой список будет на форуме.

[Rokki]

Самые распространенные каталоги, куда копируется троян, это:

в Windows XP

C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Application Data
C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Temp
C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Temporary Internet Files

в Windows Vista/Windows 7

C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Roaming
C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Local\Temp
C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Local\Microsoft\Windows\Temporary Internet Files
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Здесь есть несколько значений, куда троян может прописаться: Userinit, UIHost и Shell.

[Любезный]

Насчёт RunOnce и RunOnceEx - Вы точно сами видели?

[DmB89]

В первую очередь надо попробовать ресурсы DrWeb'а и Касперского, разумеется на другом компе, в режиме онлайн-консультации. Но надежды мало. Современные локеры не только могут не присутствовать в базах данных, но ещё и тупо могут не иметь кода разблокировки.
Можно попытаться зайти в панель управления следующим образом: Сочетание клавиш "Win" + "U" должно запустить Центр специальных возможностей, откуда мы можем перейти в "Панель управления", если это не запрещено вирусом, и попытаться запустить восстановление системы.

[eco]

Через BIOS можно попробовать. Еще несколько способов.

[cher]

f8 при загрузке - запуск средства восстановления/исправление неполадок.входим в командную строку-вызываем реестр -меняем значения.
и.т.д если подмена userinit.exe то надо файлик откуда нибудь выдрать.
командная строка в руках.все что угодно можно сделать.сам локер вернее всего сидит в appdata

[El Scorpio]

Цитата cher:

и.т.д если подмена userinit.exe то надо файлик откуда нибудь выдрать. »

Обычно вирь заменяет не сам юзеринит, а путь к нему в реестре.

Как вариант, можно загрузить компьютер с DrWeb LiveCD. Правда, поскольку этот антивирь реестр не восстанавливает, потом нужно будет скопировать оригинальный userinit.exe на место обнаруженного вируса, чтобы загрузить Windows.
После загрузки нужно будет исправить путь в реестре.

[cher]

Цитата El Scorpio:

Обычно вирь заменяет не сам юзеринит, а путь к нему в реестре. »

да вы что? видимо с последними локерами не сталкивались.причем заменяет userinit.exe как в system32 так и в dllcache.
плюс подменяет taskmgr. именно заменяет а не меняет пути в реестре.(путь к файлу тот же.изменения в реестре ни к чему, а вот подпись микрософтовская у файла уже отсутствует )
из за этого на флэшке "таскаю" файлы со здоровой системы.(в принципе можно извлечь и с дистрибутива , использовать sfc /scannow)
но с флэшки проще и быстрее.
а так как у ТС нет никаких дисков с собой то единственный вариант описанный мной(благо 7-ка имеет такую доп функцию в отличии от хр)

[Любезный]

Пришло время немного дополнить тему. Сейчас появились винлоки, которые подменяют файл userinit.exe, поэтому сейчас полезно носить с собой флэшку с копиями этого файла под разные версии винды.