Уважаемый, все ключи реестра куда могут прописаться зловреды можно посмотреть в KIS 2011 ,настройка-> контроль программ -> операционная система, а так же список есть в Comodo Firewall , Outpost Firewall,и т.д.

Ну киску я уже потёр за ненадобностью. Пути могут появляться со временем и новые, а лечением винлоков занимаются не только те, кто пользуется указанными продуктами. Поэтому пусть лучше такой список будет на форуме.

Самые распространенные каталоги, куда копируется троян, это:

в Windows XP

C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Application Data
C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Temp
C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Temporary Internet Files

в Windows Vista/Windows 7

C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Roaming
C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Local\Temp
C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Local\Microsoft\Windows\Temporary Internet Files
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Здесь есть несколько значений, куда троян может прописаться: Userinit, UIHost и Shell.

Насчёт RunOnce и RunOnceEx - Вы точно сами видели?

В первую очередь надо попробовать ресурсы DrWeb'а (http://www.drweb.com/unlocker/index/?lng=ru) и Касперского (http://support.kaspersky.ru/viruses/deblocker), разумеется на другом компе, в режиме онлайн-консультации. Но надежды мало. Современные локеры не только могут не присутствовать в базах данных, но ещё и тупо могут не иметь кода разблокировки.
Можно попытаться зайти в панель управления следующим образом: Сочетание клавиш "Win" + "U" должно запустить Центр специальных возможностей, откуда мы можем перейти в "Панель управления", если это не запрещено вирусом, и попытаться запустить восстановление системы.

Через BIOS (http://forum.kaspersky.com/index.php?showtopic=196313) можно попробовать. Еще несколько способов (http://forum.kaspersky.com/index.php?showtopic=196315).

f8 при загрузке - запуск средства восстановления/исправление неполадок.входим в командную строку-вызываем реестр -меняем значения.
и.т.д если подмена userinit.exe то надо файлик откуда нибудь выдрать.
командная строка в руках.все что угодно можно сделать.сам локер вернее всего сидит в appdata

и.т.д если подмена userinit.exe то надо файлик откуда нибудь выдрать. »
Обычно вирь заменяет не сам юзеринит, а путь к нему в реестре.

Как вариант, можно загрузить компьютер с DrWeb LiveCD. Правда, поскольку этот антивирь реестр не восстанавливает, потом нужно будет скопировать оригинальный userinit.exe на место обнаруженного вируса, чтобы загрузить Windows.
После загрузки нужно будет исправить путь в реестре.

Обычно вирь заменяет не сам юзеринит, а путь к нему в реестре. »
да вы что? видимо с последними локерами не сталкивались.причем заменяет userinit.exe как в system32 так и в dllcache.
плюс подменяет taskmgr. именно заменяет а не меняет пути в реестре.(путь к файлу тот же.изменения в реестре ни к чему, а вот подпись микрософтовская у файла уже отсутствует :) )
из за этого на флэшке "таскаю" файлы со здоровой системы.(в принципе можно извлечь и с дистрибутива , использовать sfc /scannow)
но с флэшки проще и быстрее.
а так как у ТС нет никаких дисков с собой то единственный вариант описанный мной(благо 7-ка имеет такую доп функцию в отличии от хр)

Пришло время немного дополнить тему. Сейчас появились винлоки, которые подменяют файл userinit.exe, поэтому сейчас полезно носить с собой флэшку с копиями этого файла под разные версии винды.

Итак спасибо всем откликнувшимся. Решить проблему удалось с помощью Antiwinlocker LiveCD (http://www.antiwinlocker.ru/) и UltraIso. На другом ноутбуке из соседней палаты с помощью этого набора была создана загрузочная флешка и нетбук был разлочен в автоматическом режиме :) Вечером вчера уже общался с племяшкой, она молодец, умеет четко выполнять инструкции и пользоваться гуглем!!!!!!!!!!!!!!

Ment69, дык всё таки у вас появилась возможность доп программного обеспечения.
appdata то очистили от типа 22CC6C32.exe.?(Antiwinlocker LiveCD каталог appdata не обрабатывает(насколько помню))
думаю да.иначе все может вернуться на круги своя.
(ньюансов много. тот же кэш браузера.плагин и.т.д)
когда появится возможность проведите детальный осмотр системы.

Для автоматизации действий по удалению троянов-вымогателей написал небольшой скрипт.
Внимание! Скрипт работает только для XP! (В дальнейшем, возможно, сделаю аналогичный для семерки)

Общее описание работы
1. Распаковываем архив и копируем папку vircleaner на флэшку.
2. Загружаемся с внешнего носителя (например, с LiveCD).
3. Копируем папку vircleaner с флэшки в корень диска C:
4. Запускаем C:\vircleaner\vircleaner.cmd
5. Перезагружаемся и пробуем запустить систему в обычном режиме.
Скрипт восстанавливает системные файлы winlogon.exe, userinit.exe, taskmgr.exe, explorer.exe и правит ветку реестра Winlogon зараженной системы (как правило, именно в эти места вирусы вносят изменения, блокирующие работу системы). Также чистятся временные папки.
Описание действий также есть в комментариях самого скрипта.

Примечания
1. В скрипте путь к системному диску прописан как C:, путь к профилям - C:\Documents and Settings\. Если у вас системный диск при загрузке с LiveCD получит другую букву, надо соответствующим образом подправить файл vircleaner.cmd
2. Это первая версия скрипта, поэтому работоспособность системы может быть не восстановлена или восстановлена не полностью. Например, вручную придется разблокировать редактор реестра и восстановление системы и править измененные вирусом локальные политики. В дальнейшем постараюсь сделать скрипт более "интеллектуальным".
3. Даже если после применения скрипта проблема устранена, ОБЯЗАТЕЛЬНО сделайте полную проверку всех дисков бесплатными утилитами от Касперского ил DrWeb
4. Скрипт не будет работать, если на внешнем загрузочном носителе используется NIX-система (например, LiveCD от DrWeb).
Буду рад замечаниям и предложениям по улучшению.

Насколько понимаю ключевот отличие от WindowsUnlocker (http://support.kaspersky.ru/viruses/solutions?qid=208641245#func) это замена системных файлов. Проверка на наличие изменений перед запуском скрипта планируется?

К сожалению, WindowsUnlocker еще не пользовался и услышал про нее только от Вас (иначе, наверно, не стал бы писать этот скрипт :).
Судя по описанию с сайта, Касперский более глобально фиксит реестр, у меня же правится только ветка Winlogon. И, как правильно замечено, заменяются системные файлы (пока их только 4).
Проверка на наличие изменений перед запуском скрипта планируется? »
Не совсем понял. Какие изменения имеются в виду?

К сожалению, WindowsUnlocker еще не пользовался и услышал про нее только от Вас (иначе, наверно, не стал бы писать этот скрипт »
Это не страшно. Иногда умельцы -одиночки могут переплюнуть целые команды крупных лабораторий. :)

Грузился с Life-CD, заместа TasManagera стандартного ставил PorcesAntiXaker -заменял в систем32\*.exe,перезагружаешь винду в обычном режиме,вызываешь диспетчер задачь, он выходит по верх Winlock и смотришь что запускается и удаляй

Через прогрумму АнтиАуторан смотришь откуда грузиться Lock файл,удаешь,правишь ветки

Делай Бэкап чистого реестра на новой винде и ложи в сторонку ,вдруг пригодяться какие либо данные правильные,зная в какой ветке через поиск и блокнот можеш в своем бякапе найти эти данные

Любезный, можно скрипт написать с помощью subinacl.exe который нам даст на время работе нете,защиту!!! а какую то есть даст доступ только на чтение из этих веток,если надо установить программу с помощью скрапта можео реализовать стандартные настройки на данные ветки.Что даст нам защиту под NTFS,опять же если вирус не умеет менять безопасность в реестре! а таких мало на данный момент знач прокатит!)))

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Здесь есть несколько значений, куда троян может прописаться: Userinit, UIHost и Shell.

На раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon можно ограничить полный доступ для Администраторов на запись, удаление значений (оставить только разрешение на чтение значений) для Windows XP или на запись, удаление и смену владельца для Windows 7. Но, как было сказано выше, частенько винлокеры пишутся и в HKCU и в другие разделы HKLM (в Run).

O L E G, такой подход не всегда срабатывает. Некоторые вирусы подменяют путь к диспетчеру задач в реестре (параметр Taskman в ветке HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon) и прописывают там ссылку на себя. Поэтому помимо замены файла в папке system32 придется еще править и реестр.