dik, tenhle tip me asi tak inspiroval nejvic. Widle7+McAfee, ten pár dní před locknutím něco odchytil (Win64/Sirefef.A) v %systemroot%\services.exe. Mám variantu za 2000,- + auto-odlogování ze safemode, takže nutno přes safecmdline (tj. bez services) a tam přímo napíšu explorer. Podle tohoto tipu jsem našel v %appdata% (C:\users\NAME\appdata\roaming) podivné altshell.dat a altshell.ini. Přejmenovat a promazat tempy ve win a v user\local - a jedu. Scanoval jsem předtím jen pomocí McAfee a MS Safety Scanner a to je na nic, fůra času a výsledek nula. Akorát teď nevím jestli je to čistý, takže scanování mě stejně nemine.. Jo a v registrech ten altshell nikde není a Winlogon klíče Shell a Userinit byly nedotčené tak nevím jak se ta havěť loadovala. Snad už mi to může být jedno..