z toho soudím, že kdejaký ms autoruns / codestuff starter s tím vyfakuje i v normálním režimu - prostě nejdřív zabít cizí proces v paměti.
anebo si vyhrají čtenáři hjt / rsit / combofix logů.
klikači mohou stáhnout tradiční antivirové boot cd (live os jak píšeš). tedy pokud uživatel nebude frikulínská lama a nebude to spoutět v iso emulátoru, jako nedávno.

s omezeným účtem stačí přihlásit se jako admin a smazat to.