Итак, почти все клавиши заблокированы. Попытки свернуть все окна, вызвать диспетчер задач или меню "Пуск" были без безрезультатны. Второго компьютера не было под рукой, чтобы подключить этот. Live CD с антивирусом отсутствовал, с собой был только паппилинукс, но без антивируса на нем.

Первое действие было зайти в линукс и попробовать по дате определить вирус в папочке system32, к сожалению пользователь несколько раз уже сбрасывал БИОС, соответственно найти там самый старый файл было не возможно помойка состояла из всех возможных дат.

Вторая идея была создать в папочке главного меню/автозагрузка небольшой батник в которым бы вызывался cmd - вирус не дал обработать файлы оттуда. Уже хотел снимать винчестер и сказать что придется потерпеть до завтра, но потом пришла новая идея:

вирус разрешал два сочетания клавиш:
Win + L (блокировка)
Win + U (вызов экранной лупы)

Блокировка в данном случае была бесполезна - была бы сеть с доменами с правильной политикой безопасности оно бы пригодилось, но тут домашний комп - пришлось использовать "лупу". В этом диалоге (как и в многих виндовых диалогов) можно было вызвать справку по данному диалоговому окну. А из вызваной справки можно попасть в "Главную справку" если нажать в контекстном меню кнопочку "домой".

Дальше уже дело техники: осталось только воспользоваться интересным "багом", впрочем майкрософт уверяет что это "фича", а именно возможностью выполнить любую программу из справки. Первым делом я вызвал msconfig и убедился что вирус не является ни службой, ни отдельной программой из автозагрузки. Затем вызвал cmd из которого через tasklist я и узнал что вирус не отдельная прога, а вживленный кусок кода в шелл.

К сожалению предоставленными средствами sdk от майкрософт подобное может сделать любой хакер недоучка. Впрочем мне опять повезло у пользователя не только не было отключено разрешение на выполнения программ из справки (по умолчанию включено и выключается только через групповую политику), но и система востановления, так что дальше оставалось только вызвать эту систему и откатиться в "будущее". Винду не смутило, что я находясь в 2005 году, восстановил точку из июня 2009 года.

Конечно, даже если бы точка восстановления была отключена через справку виндоуз можно выполнить cmd, а значит любую программу. Надеюсь кому то это поможет сэкономить нервы и время.