1. Загружаемся с LiveCD или устанавливаем второй системой Ubuntu

2. Устанавливаем утилиту chntpw

sudo aptitude install chntpw
3. Подключаем раздел windows

Смотрим где он:
sudo fdisk -l
ищем ntfs раздел и монтируем:
$ sudo mkdir /media/windows
$ sudo mount /dev/sda2 /media/windows
4. Редактируем реестр

chntpw -l /media/windows/Windows/system32/config/software
Редактирование осуществляется перемещением по веткам, например:
cd Microsoft\Windows NT\CurrentVersion\Winlogon
и самим редактированием ключей, например:
ed Shell

Сброс пароля:

1. Пункты 1-3 предыдущего параграфа
4. Смотрим у какого пользователя будем менять пароль
chntpw -l /media/windows/Windows/system32/config/SAM
5. Сбрасываем пароль
chntpw /media/windows/Windows/system32/config/SAM -u Administrator

Сразу привожу места в реестре где могут скрываться записи о запуске вирусов:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Значения по умолчанию в Regedit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
"Userinit"="C:\WINDOWS\system32\userinit.exe"

Проверьте файл Explorer.exe на наличие двойника… правильно лежать ему в папке Windows\ но не в Windows\System32\...

Эта статья была написана в дополнение темы борьбы с вирусами и sms-вымогателями

Статья была взята с habrahabr.ru

Есть очень простой способ сбить с толку autorun-вирусы: необходимо на сменном носителе создать каталог с таким именем. Проблема в том, что вирусопейсатели тоже не сидят на месте и новые разновидности заразы данный каталог умеют удалять. Решение? Легче легкого! Вспомним врожденные ограничения ОС Windows, а именно невозможность работать с некоторыми именами файлов, например "con". Эта особенность знакома всем, кто застал командную строку MS-DOS. Linux и MacOS подобной рефлексией не страдают и этим можно воспользоваться.

Итоговый алгоритм таков:
1) Удалить с USB-накопителя файл "autorun.inf"
2) Создать папку "AUTORUN.INF" и поместить в нее файл с именем "con"

Ни Windows, ни вирусы такой каталог удалить не смогут. Задача решена. Однако руками это делать, разумеется, не стоит. Машина должна работать, а человек думать.

Автоматизируем процесс средствами Bash и AppleScript:
Создаем в /usr/local/bin sh-скрипт с именем myUnvir.sh:

#!/bin/sh

FULLPATH=$(echo $1 |sed -e 's/\/$//')
FSTYPE=$(mount | grep ${FULLPATH} | sed -e 's/.*(//' |sed -e 's/, .*//')

if [ ${FSTYPE}x != 'x' ] ; then
    if [ $FSTYPE = 'msdos' ] ; then
        if [ -d $FULLPATH ] ; then
	    rm -rf ${FULLPATH}/AUTORUN.INF
	    rm -rf ${FULLPATH}/autorun.inf
	    mkdir ${FULLPATH}/AUTORUN.INF
	    touch ${FULLPATH}/AUTORUN.INF/con
	fi
    fi
fi

Создаем в /Library/Scripts/Folder Action Scripts/ applescript с названием antivirus (или любым другим) следующего содержания:

on adding folder items to target_folder after receiving added_items
	repeat with added_item in added_items
		set thefullpath to POSIX path of added_item
		do shell script "/usr/local/bin/myUnvir.sh " & thefullpath
	end repeat
	quit application "System Events"
end adding folder items to

Вешаем этот скрипт на директорию /Volumes:
Запускаем /Library/Scripts/Folder Actions/Attach Script to Folder.scpt
Выбираем в меню наш antivirus.scpt и в следующем диалоговом окне нажимаем cmd-shift-g, в открывшейся строке пишем /Volumes

Еще раз выражаю благодарность тем людям которые написали эту статью.