Лечим Windows от Винлокера (Trojan.Winlock)

Сегодня друг поймал винлокер на свой компьютер похоже из семейства Trojan.Winlock.6412 При запуске Windows блокировались explorer.exe, Program Manager, Connections Tray, taskkill.exe и так далее просил положить на номер телефона 2000 рублей выглядел он так:

Самый простой способ избавиться от него это воспользоваться универсальными паролями разблокировки которые бесплатно можно найти на таких сайтах как Dr. Web и Лаборатория Касперского. К сожалению это не помогло. Но, есть и другие способы.

Вот, что сделал я:
1. Перезагрузить компьютер, во время перезагрузки нажать клавишу F8 или F12 на разных компьютерах по разному.
2. В появившемся меню загрузки выбрать «Безопасный режим с поддержкой командной строки»
3. После загрузки Windows откроется командная строка в которой нужно набрать «regedit» (редактор реестра Windows)
4. В редакторе реестра найти и удалить следующие ключи :
* [\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] ‘Userinit’ = ‘<Полный путь к вирусу>’
* [\Software\Microsoft\Windows\CurrentVersion\Run] ‘explorer’ = ‘<Полный путь к вирусу>’
* [\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] ‘Shell’ = ‘<Полный путь к вирусу>’
* [\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] ‘UIHost’ = ‘<Полный путь к вирусу>’
Не забудьте запомнить «Полный путь к вирусу»!
5. В командной строке набираем «explorer»
6. Удалить сам вирус. У меня он находился в C:\Documents and Settings\User\0.3444234234355.exe Так же можно проверить корневую папку Windows на наличие файла svchost.exe там его не должно быть, если нашли смело удаляем.
7. Перезагрузить компьютер в нормальном режиме.

Пользовался этим