Удаляем смс вирус Trojan.Winlock.3252

Как то, привезли ноутбук, зараженный смс вирусом. Вскрытие показало, что это Trojan.Winlock.3252. Вирус хотел получить на телефонный номер 8911-757-25-04 сумму в размере 400 рублей.

Внимание!!! Ни за какие коврижки не отправляйте СМС!



Симптомы:
При включении компьютера появляется смс баннер с надписью - Ваш компьютер заблокирован за просмотр копирование и тиражирование материалов... Для снятия блокировки вам необходимо оплатить штраф в размере Nnn рублей на номер телефона МТС 8911-757-25-04.

Порядок действий при удалении смс баннера:
Загрузка в безопасном режиме не помогает, так как компьютер полностью блокируется. Поэтому для физического доступа к системе придется использовать загрузочный диск, вручную править реестр и удалять ненужные файлы. 

• Грузимся с любого загрузочного диска. 
• Проверяем нет ли на рабочем столе файла test.exe Если есть - удалить;
• Заходим по пути X:\Documents and Settings\All Users\Application Data и удаляем файл с названием 22CC6C32.exe;
• Заходим в раздел реестра (команда regedit) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
• Значение параметра Shell исправить на значение explorer.exe;
• Значение параметра Userinit исправить на значение C:\WINDOWS\system32\userinit.exe, (не забудьте про запятую в конце строки);
• В реестре через поиск найти упоминание файла названием 22CC6C32.exe - удалить эти строки.

Данный вирус переименовывает и заменяет системый файл userinit.exe в папке WINDOWS\system32 на файл вируса с таким же именем. Поэтому нужно проделать следующее:

• Копируем файл userinit.exe из папки X:\WINDOWS\system32 в любое другое место(делаем резервную копию);
• Удаляем файл userinit.exe из папки X:\WINDOWS\system32;
• Находим в этой же папке файл 03014D3F.exe и переименовываем его в userinit.exe;
• Перезагружаем компьютер.