Буквально за пару дней поступило несколько пациентов с подобыми симптомами. С Первого взгляда ничего особенного - обычный блокиратор, уже не раз писал о них в разделе вирусология. Однако этот тип немного отличается от описанных ранее, например Internet Security и отличие это поганенькое.

Данный вымогатель заменяет собой системый файл userinit.exe, находящийся в каталоге C:\WINDOWS\system32\, чего не замечалось за его предшественниками.

По доброй традиции, для лечения понадобится загрузочный диск или флешка. Получив доступ к системе, после загрузки с диска или флешки выполните следующие действия:
В каталоге C:\Documents and Settings\All Users\Application Data\ удаляем файл с названием 22CC6C32.exe
В каталоге C:\WINDOWS\system32\ удаляем файл userinit.exe
В этом же каталоге находим и переименовываем файл 03014D3F.exe в userinit.exe
Для Windows XP проверяем размер файла userinit.exe в каталоге C:\WINDOWS\system32\dllcache\ с тем, который мы только что сделали. Если размер не совпадает, заменяем его переименованным файлом.
Подключаем реестр больной системы, как это сделать вручную читаем тут. Заходим в следующую ветку реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Параметру Shell прописываем его исходное значение explorer.exe

Параметр Userinit исправляем на C:\WINDOWS\system32\userinit.exe, (всё лишнее убрать)

Поиском в реестре находим и удаляем все записи, где содержится 22CC6C32.exe
Перезагружаем компьютер