Вчора на компі колеги по роботі появилося повідомлення такого змісту: 

"Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов, педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 500 рублей на номер телефона МТС 8-981-759-88-40 (89183085345, 89897506553, 89881612114, 89881612102). В случае оплаты суммы равной штрафу либо превышающей её на фискальном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле нижней части окна и нажать кнопку "Разблокировать". После снятия блокировки Вы должны удалить все материалы содержащие все элементы насилия и педофилии. Если в течении 12 часов штраф не будет оплачен, все данные на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 242 ч.1 1 УК РФ.Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS с невозможностью дальнейшего восстановления."

Завантаження в безпечному режимі нам не допомагає, тому що комп'ютер повністю блокується. Тому для фізичного доступу до системи доведеться використовувати завантажувальний диск, вручну правити реєстр і видаляти непотрібні файли.

1. Завантажитися з будь-якого завантажувального диска. Я використовував Live CD dr.Web. Зайти на комп'ютер (папка win). Перевірити, чи нема на робочому столі файлу test.exe або 22CC6C32.exe Якщо є - видалити
зайти за вказаною адресою X: \ Documents and Settings \ All Users \ Application Data і видалити файл з назвою 22CC6C32.exe. Перезавантажити комп'ютер уже з вінчестера (звичайна загрузка). Появиться чорний екран (тому, що експлорер не запуститься). Запускаєте диспетчер задач (ctrl+alt+del) і нажимаєте "Нове завдання", вводите "regedit".
2. Зайти в розділ реєстру HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon значення параметра Shell виправити на значення explorer.exe
3. Значення параметра Userinit виправити на значення C: \ WINDOWS \ system32 \ userinit.exe, (не забудьте про кому в кінці рядка) в реєстрі через пошук знайти згадку файлу з назвою 22CC6C32.exe - видалити ці рядки

Важливо: при наступному запуску браузера сайт, з якого зайшов вірус може знову запуститися. Тому відразу при запуску закривайте всі зайві сторінки.

Також можна переглянути відеоінструкцію по темі:

Будуть питання - звертайтесь.