Вирус просит 500 рублей на номер МТС

На днях знакомая поймала вирус бродя по просторам интернета. Вирус просил отправить 500 рублей на номер МТС 89111361217 или может быть другой номер.

Сервис от касперского не помог http://support.kaspersky.ru/viruses/deblocker

И спец софт от касперкого «Утилита Kaspersky WindowsUnlocker для борьбы с программами-вымогателями»

Решил проблемуследующим способом:

1. Загрузился с BartPE

2. Проверил реестр

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

Shell=explorer.exe —в частности

3. Взял на рабочей машине файлик system32userinit.exe и заменил его на зараженной машине

Вот и все

Но бывает, что вирус прописывается в другой ветке:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр Shell, правой кнопкой мыши изменить в значении будет путь где лежит вырус -имя файла будет не обычным (800345ujkjklfgdfkjw.exe), после чего просто удаляем его по пути (в командной строке вводим del и путь к файлу)