Принесли пациента со следующим диагнозом:
Ваш компьютер заблокирован за просмотр. копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо
оплатить штраф в размере 400 рублей на номер телефона XXXXXXXXXX В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку «Разблокировать». После снятия блокировки Вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течение 12 часов штраф не будет оплачен, все данные на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 242 ч. 1 УК РФ.
Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления.

Качественный лок, к диспетчеру задач не подобраться (и как водится, работали под администраторской учеткой, куда ж без этого). Разбираем по складам.
Загрузка с BartPe с параллельным поиском о зловреде в сети. Нашлось много, в основном это мольбы о том, что код нужен прямо сейчас. Среди "волн вайна" (с) отыскивается полезная информация - тело вируса заседает в каталоге пользователя (если не администратор), или в профиле All users\Application Data (если админа пробили). Удалить оттуда. Параллельно вирус модифицирует userinit.exe, как в system32, так и в dllcache - этот уже изощреннее, ага. Ну и само собой, меняется параметр Shell в реестре, чтобы сразу после входа в систему вместо explorer.exe запускался зловред.
Но есть и одно НО! Поражаются не только копии файла userinit.exe, но и taskmgr.exe, так же и в system32, и в dllcache. На это уже наткнулись, когда запустили систему после, казалось бы, успешного лечения.
Суммарная информация:
Лечение в оффлайне.
1. Удаление тел вируса из папок профилей и каталога system32.
2. Копирование на пораженную машину неинфицированных файлов userinit.exe и taskmgr.exe в каталоги system32 и dllcache.
3. Исправление пути на оболочку среды, запускающуюся после входа в систему. Как это сделать: в окружении BartPe подцепить пораженный реестр: Клац, и выправить необходимые параметры - Клац!.
4. После успешной загрузки и входа в систему обязательно запустить от имени администратора команду sfc /scannow, чтобы проверить критичные файлы.
5. Обновить базы антивирусного ПО и провести полную проверку.
6 - last, but not the least - перейти на использование ограниченной учетной записи для повседневной работы. Чинить пораженный профиль значительно проще, чем пораженную систему в целом.