что делать если кинули винлокер
Винлокеры — удаление, когда больше нечего делать
История винлокеров тянется уже давно. Особенно было интересно в декабре 2009 — январе 2010 с появлением семейства Digitala. Интересно потому, что умудриться организовать заражение с функционалом руткита ZeroAccess (Get Accelerator) или выполнять подгрузку вредоносной библиотеки из ADS-потока с контролем и блокировкой антивирусных процессов (iLite Net Accelerator) — это, знаете ли, не политики проводника менять и userinit дописывать! А идея дропаться после связи с командным сервером — в итоге сейчас старые дропперы не работают, а прекрасно работали ещё в феврале? Мда, обнищал нынче народ на идеи — ну да ладно! 🙂
Речь пойдёт не о «монстрах» дела блокировки Windows, а о куда более убогих их собратьях, коих процентов 90. Итак, ситуация: у Вас весёлое окно с вымогательством и нерабочая система.
1. Попробуйте узнать код разблокировки с помощью вот этого сервиса (или вот этого и вот этого). Если код не поможет, продолжайте по следующим пунктам. Если поможет — переходите сразу к пункту 5.
2. Если можно запустить софт с окном блокиратора — делаем логи, выкладываем там же, почистить можно 🙂 Запуск можно сделать с помощью вот этой информации, хотя и не всегда помогает.
3а. Если запускаться не удаётся — грузимся в безопасном режиме.
3б. Если безопасный заблокирован — грузимся с LiveCD.
И в 3а и в 3б заходим в папки:
C:\Documents and Settings\All Users\
C:\Documents and Settings\Имя_Пользователя
C:\Documents and Settings\Имя_Пользователя\Application Data
C:\Documents and Settings\Имя_Пользователя\Local Settings
C:\Documents and Settings\Имя_Пользователя\Local Settings\Application Data
C:\Documents and Settings\Имя_пользователя\Главное меню\Программы\Автозагрузка
и аккуратно упаковываем в архив все exe-файлы, после чего их удаляем. Удобнее всего это сделать, организовав поиск в папках по маске «*.exe», потому что нужно проверить вложенные папки по этим путям тоже.
4. Упаковываем в zip-архив и удаляем абсолютно всё здесь:
C:\Documents and Settings\Имя_пользователя\Local Settings\Temporary Internet Files
C:\Documents and Settings\Имя_пользователя\Local Settings\Temp
C:\WINDOWS\Temp
C:\Temp
5. Пробуем загрузиться в нормальном режиме. Если удалось — сразу делаем логи, выкладываем там же.
Почему так важно провести сбор логов даже если окажется, что Вы удалили зловред, угадав код или вручную удалив файлы? Дело в том, что в своё время было достаточно много винлокеров-пустышек, удалявшихся достаточно просто при вводе любого кода. Или же в сети на каждом углу «гремел» рецепт удаления такого зловреда. Все его выполняли и чувствовали себя кулхацкерами, уделавшими вирмейкера. Как бы не так!
Суть таких пустышек была не заблокировать систему, а установить на не другой вредоносный файл, например, ZBot. При этом после «лечения» радостный пользователь даже не предполагал, что на самом деле он остался заражён.
Написание WinLocker’а на Python
Внимание!
Данная статья была создана в познавательных целях! Автор не несёт ответственности за ваши незаконные действия и за вред причинённый вашему компьютеру. Помните, это не игрушка какая-то, это ВИНЛОКЕР! Автор настоятельно не рекомендует запускать программу, которая описана в этой статье без детального ознакомления с кодом.
Вступление
И всем привет братва, с вами я, Геймер Дисклеймер. Как вы думаете, чем я занимался 2 дня подряд? Нет, я не в доту рубился (и вам не советую, раз уж вы себя программистами называете). Я подготавливал материал для Хабра. А точнее, создавал винлокер. И нет, я его не скоммуниздил украл у кого-то, а сам создавал его с нуля. И сегодня я научу вас его создавать. И да, если вы дисклеймер так и не прочитали, то ни в коем случае не используйте этот код во вред другим! Ну ладно, без лишних слов, погнали!
Что нам нужно?
Для создания винлокера нам понадобится:
Сам Python, установить который вы сможете на официальном сайте
Текстовый редактор, в моём случае это будет S*****e Text, цензура для того, чтобы модерация не сочла это за пиар (фактически, вы сможете его написать хоть в простом блокноте)
Доступ к интернету для установки необходимых модулей в PyPI
Компьютер, работающий на ОС Windows
Хоть какое-то базовое познание Python
Чай с молоком, или в крайнем случае кофе
Приступаем к написанию
Ну что-же, раз мы убедились, что всё необходимое у нас есть, теперь можем начинать писать код.
Создаём файл main.py в любой директории
После этого открываем его в любом редакторе.
И начинаем писать наш волшебный код.
Установка и импорт модулей
Ах да. чуть не забыл. Надо нам еще окрыть командную строку (вводим Win + R, и пишем cmd
и попадаем в командную строку.
вводим туда pip install getpass3
И у нас происходит установка
Таким же образом вводим комманды pip install pyautogui и pip install playsound
Потом возвращаемся в наш файл, и пишем в нём слудующее:
Создание окна
После этого для удобства ставим отступ, и пишем вот такое
Тут мы присваиваем переменной USER_NAME имя нашего пользователя, в моём случае это просто User.
Потом вводим в наш файл такие истрочки, пояснение будет в комментариях
Для удобства, вот вам код, который вы должны скопировать:
Запуск, и проверка кода на работоспособность
Сохраняем файл. После сохранения заходим опять в консоль, переходим в нашу директорию, где расположен файл. Делается это так:
Моя директория C:/myFiles. Поэтому моя комманда будет выглядеть вот так
потом вводим вот такую строчку:
В результате у вас должно запуститься окно.
Круто! Но ведь это ещё далеко не винлокер.
Но до этого мы ещё не дошли. Сейчас Мы поговорим про адаптивность
Делаем окно адаптивным
Давайте сначало поговорим, зачем нам это вообще нужно. Я вам скажу. Не у всех же нормальный 1920×1080 мониторы. У меня самого монитор 1366×768. А у кого-то мониторы ещё меньше
И чтобы у некоторых людей текст не вылазил за пределы экрана, мы настроим адаптивность.
К сожалению, для меня этот код тоже был сложным, и мне пришлось его копировать с другого сайта.
ПРИМЕЧАНИЕ. Весь последующий код следует вставлять до строчки window.mainloop()
Опять-же вот вам весь код:
Сохраняем и проверяем. Если код не выдал ошибок, то идём дальше
Добавляем функции
Сохраняем, и запускаем. Вроде-бы ничего не изменилось. Так и должно быть! Ведь мы нигде не запускали наши функции. И запускать мы их пока-что не будем. Иначе будет очень плохо
Сохраняем его в директорию с нашим файлом. Если у файла название не sound.mp3, то переименовываем
Делаем апгрейд интерфейса
До этого момента у нас в окне выводился просто черный квадрат. Не вариант! Где вы видели такой винлокер?
Вводим вот эти строчки кода (опять-же, все обьясняю в комментариях):
ВНИМАНИЕ! ОКНО ЗАКРЫВАЕМ КОМБИНАЦИЕЙ КЛАВИШ ALT + F4
А ТАКЖЕ, КОД ОТ ВИНЛОКЕРА: petya
Запускаем и проверяем. Окно должно выглядеть вот так:
Если же нет, то вот вам весь код:
Убираем возможность закрытия окна путём Alt + F4
Мы с вами закрывали окно путём комбинации клавиш, упомянутой в заголовке.
Нам нужно это убрать. Для этого просто вводим перед строчкой window.mainloop() строку block()
Теперь от винлокера можно избавиться вводом кода.
КОД: petya
Убираем возможность снять винлокер путём закрытия командной строки
Особо внимательные читатели додумались закрывать винлокер обычного закрытия командной строки. Если вы меня не поняли, ничего страшного. Потом поймёте. нам нужно всего лишь к файлу main.py добавить w, чтобы получилось main.pyw
Исходный код
Вот и всё! Наш винлокер готов, вот вам весь исходный код файла:
.EXE файл
Заключение
Так что всем спасибо за то, что прочитали мою статью, а модерации спасибо, в случае, если моя статься попадёт на ленту.
Как разблокировать windows, удалить winlocker
1. Нажать комбинацию клавиш, которая открывает диспетчер задач. ( ctrl + alt + del ), завершить ненужные задачи.
2. Можно попробовать запустить меню «выполнить» сочетанием клавиш Win + R. Выполнить команду regedit, если открылся редактор реестра, то читаем дальше.
3. Если первые два варианта заблокированы, то запускаем систему в безопасном режиме. (при загрузке нажимаем F-8)
Выбираем безопасный режим с поддержкой командной строки. При запуске компьютера в безопасном режиме не запускаются никакие программы, которые прописаны в автозагрузке и запускаются автоматически.
Теперь нам надо в командной строке прописать команду regedit, чтобы запустить редактор реестра.
Далее переходим по веткам системного реестра, отвечающие за автозагрузку :
1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
2. HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
Убираем ненужные и незнакомые программы, которые автоматически загружаются.
Эти программы (если есть), убирать не нужно:
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\igfxpers.exe
3. HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon
В этом разделе реестра также содержатся значения параметров, отвечающих за автозапуск различных приложений при входе пользователя в систему:
Нам нужны параметр Shell и Userinit.
В параметре Shell должно быть прописано explorer.exe
Если в этих параметрах стоит другое значение, то запоминаем или записываем его ( это есть путь к самому винлокеру, он прячется по этому адресу. )
Меняем значения на такие, которые должны быть.
Мы только удалили автозапуск вируса. Теперь, чтобы разблокировать windows, нужно удалить сам винлокер ( winlocker ).
Но если его не найдете, то можете и не удалять, он все равно не запустится уже при загрузке системы. 😉
Для этого закрываем редактор реестра, в командной строке вводим команду explorer.exe Откроется проводник.
Идём по пути, записанным вами ранее (тот путь, который был записан вместо верных значений), находим и удаляем винлокер ( winlocker ).
Но вирус может прописаться в скрытых системных папках и файлах. Для этого нужно разблокировать доступ к скрытым файлам и папкам в проводнике :
В проводнике — упорядочить / параметры папок и поиска / вид / показывать скрытые файлы, папки и диски.
Показывать скрытые файлы, папки и диски в Windows 7
В проводнике — меню / Сервис / Свойства папки / Вид, в появившемся окне удалить галочку напротив скрывать защищённые системные файлы,
ставим галочку показывать скрытые файлы и папки.
Показывать скрытые файлы, папки и диски в Windows Xp
Чтобы полностью разблокировать windows, идём по пути, записанным вами ранее (который был записан вместо верных значений — вместо userinit.exe или explorer.exe), находим и удаляем винлокер ( winlocker ).
После перезагрузки компьютера проблема исчезнет.
Чтоб таких проблем больше не было, рекомендую установить StartupMonitor
Кто виноват или/и что делать для Чайников (о «винлокерах»)
Накопив определенный опыт в помощи «неосторожным» и обобщив его решил написать краткую обозревательную статейку по проблеме различных смс-вымогателей ака информеров. Опытный ИТ-шник вряд ли найдет в ней что-то новое, но большая часть простых пользователей, вероятно, найдут в ней что-то полезное либо просто интересное для себя.
Назовем её «Кто виноват или/и что делать для Чайников».
Просмотр истории посещений помогает определить примерные источники заражения, но не будешь же у всех на глазах разоблачать виновника. Увы, а прямо признаются лишь единицы. Хотя и просто любопытных хватает…
Исходя из своего опыта помощи от избавления заразы, могу сказать, что просматривается примерно следующий исторический путь становления блокираторов.
Не так давно, когда баннеры («винлоки» в дальнейшем) были достаточно просты и представляли из себя лишь надстроечку (BHO) для IE, вся борьба с ними заключалась в отключении этой самой надстройки. В принципе, проблема и решалась элементарно — трехминутная консультация по телефону – и все счастливы.
Время спустя, начали появляться «вымогалки», блокирующие не только IE, но и другие браузеры, используя, скажем, тот же JS. Начали появляться первые трояны, которых без наличия антивирусной программы, обычному пользователю побороть было уже практически невозможно, что и подтверждалось грустным мычанием в трубку пострадавших жертв.
Да и в то время практически все программы еще позволяли себя убрать посредством кода, полученного через СМС. Причем СМС стояли на порядок меньше, нежели в настоящее время.
Но явление все еще не приводило пользователей в неописуемые ужас, ибо блокировался лишь браузер. Закрыв его, можно было забыть о «неприятности» и продолжить заниматься любимыми делами.
Позже информеры эволюционировали и превратились сперва из надоедающего и мешающего окошка, висящего посреди рабочего стола, в настоящий ахтунг (перевод с нем. – мерзкая фигня, вымогающая деньги), который при загрузке ОС блокировал весь рабочий стол, попытка запуска диспетчера задач ни к чему не приводила, кроме появлению грустной физиономии на лице пользователя, а заблокированный реестр и «безопасный режим» окончательно ставили точку на попытке самостоятельно решить проблему. И хотя порой помогали хитрые приемы, типа многократного нажатия «шифта», либо использования «win+u» с последующим запуском требующегося ПО через браузер, со временем и эта хитрость потеряла актуальность.
Блокираторы переросли из разряда «стикер» в разряд «сверхограниченная учетная запись». Вскоре разработчики информеров окончательно озверели, и для запуска ПО перестали помогать даже приемы со сменой расширения в com, pif, cmd, bat типы – без livecd уже стало не обойтись.
Апогеем стал информер, получивший самое широкое распространение в декабре прошлого года — uFast Download Manager.
Если стандартный запуск антивируса по какой-то причине не помог (вредитель либо не обнаружен, либо АВ вообще не запускается), приходится воспользоваться дополнительным утилитами.
Стандартный набор для восстановления системы пользователей из-под самой зараженной системы стандартен – тут всем известный AVZ, и не менее популярный HiJackThis, некоторые программы от SysInternals, позволяющие отследить активность различных подсистем, а так же, конечно, сами антивирусные сканеры типа CureIt, AntiViral Toolkit, NOD32 и другие менее известные.
Надо заметить, что для разблокировки системы иногда бывают полезны генераторы кодов (этакие кейгены для вирусов) от производителей антивирусного ПО, которые создают сервисы, позволяющие подобрать коды для разблокировки системы, однако в последнее время они теряют актуальность в виду того, что блокираторы перестают содержать в себе саму функцию разблокировки на основе полученного СМС-кода — они просто не рассчитаны на это.
У предпоследнего страница в чем разница» rel=dofollow»>страница даже выполнена в футуристическом дизайне на флеше, дабы подчеркнуть важность и уникальность проекта, я так полагаю.
Так же надо отметить что, порой на форумах появляются алгоритмы ручного подбора кода. Бывает помогает, бывает нет. Пробовать надо.
Часть пострадавших обращаются к своему оператору, который дает коды разблокировки, опять же, если информер поддерживает такую функцию.
Принимаясь за поиск вредителя, в первую очередь (после не/удавшегося сканирование антивирусными утилитами, кои описывать не буду ввиду его простоты), стоит брать AVZ Зайцева Олега. Программа обладает поистине широкими возможностями. Скачать ее можно с сайта автора z-oleg.com.
AVZ позволяет обнаружить вредоносные файлы и убрать их из системы посредством анализа работы файлов, причем поддерживается большое количество эвристических микропрограмм, большая база сигнатур, нейроанализаторы, программы поиска и устранения проблем, большое количество вспомогательных подпрограмм. Причем, если в системе находится продвинутый вредитель, который не позволяет запустить программу, то можно воспользоваться запуском из консоли с ключом ag=y.
При этом сперва в системе запускается AVZGuard (драйвер, разграничивающий доступ запущенных приложений к системе), который не позволяет закрыть программу (если консоль не запускается, можно попробовать создать bat-файл). А далее уже добавлять в доверенные приложения нужные вам программы и продолжать очищать систему. Причем в случае необходимости перезагрузки для предотвращения повторного заражения рекомендуется не выгружать AVZGuard, а делать перезагрузку с ним. Данный прием помогает избавиться от массы проблем. А сброс различных блокировок системы помогает избавиться от последствий деятельности вредителей. Например, частой жертвой бывает сетевой стек, повреждение которого приводит в нарушению работы сети. С помощью данной утилиты можно восстановить целостность стека. (Надо заметить что часто его можно восстановить и самостоятельно, используя команду netsh winsock reset. Подробнее можно ознакомится здесь support.microsoft.com/kb/817571 и здесь support.microsoft.com/kb/811259).
Под AVZ существуют уже готовые скрипты, (которые пользователь может писать и сам) помогающие избавится от определенных типов вредителей. Кстати, на сайте virusinfo.info эксперты так же могут помочь с решением проблемы, после того как вы предоставите им лог, собранный после анализа системы.
Надо отметить ряд небольших, но крайне полезных утилиток от компании SysInternals, ныне купленной Microsoft, без которых крайне трудно обойтись, используя «ручной» способ поиска вредителей.
С помощью утилиты ProcessMonitor можно использовать удобную функцию “Include Process from window”, указать интересующий элемент на экране (например, баннер) и найти процесс, на котором он висит. Затем его можно проанализировать по базе безопасных файлов AVZ и выявить потенциального нарушителя.
Так же она позволяют в режиме реального времени отслеживать изменения, происходящие в файловой системе и реестре.
Процессы, влияющие на сетевую активность, так же видны в реальном времени.
С помощью Autoruns и Sigcheck можно проверить цифровые подписи файлов и отсортировать их как безопасные.
Отличный сканер от компании Dr.Web в бета-версии обзавелся специальным интерфейсом для противодействия программам, которые блокируют запуск самих антивирусных сканеров. Сперва она активирует защищенный режим, затем загружает все остальные службы. Порой это наиболее эффективный вариант.
Друга известная программа HiJackThis позволяет найти подозрительный объекты в автозапуске, ключи в реестре, а так же потом удалить их.
К тому же можно воспользоваться сервисом, типа www.hijackthis.de/en, куда загрузив лог, можно получить красивый отчет о вероятной опасности того или иного файла или записи.
И дабы окончательно удостоверится, что файл «нечист на руку», файл можно загрузить на www.virustotal.com, где и узнаете об известности субъекта в особо «узких» кругах.
В любом случае всегда после лечения/переустановки меняйте пароли, хранящиеся на компьютере. Ибо крадут.
При обеспечении безопасности всегда надо соблюдать баланс – обеспечить более-менее надежную защиту и при этом не посадить пользователя в смирительную рубашку (хотя и надо бы).
Наиболее безопасный вариант – смена ОС на менее традиционную. Однако устроит далеко не всех по ряду всем известных причин.
Эффективный антивирус с актуальными базами вкупе с обновленной ОС – здорово увеличивает шансы не подцепить что-либо, но как показывает практика, этого не достаточно для юзеров с длинными ручонками. Лезут куда надо и не надо, и при этом не сознаются.
Различные брандмауэры не сыскали любви у обычного пользователя ввиду необходимости постоянного контроля. А так как порой не хватает знаний для принятия решений, то даже использующий брандмауэр пользователь либо блокирует нужный процесс, что часто приводит к пропаданию сети и нарушению работы программ, либо наоборот — разрешает вредоносный код. Самое любимое дело – заблокировать все и удалить программу, как «мешающую»…
Увы, чаще всего так и бывает.
Само собой рекомендуется использовать не стандартный браузер ввиду его неполноценности и привязки к ядру системы.
Самое слабое звено – прокладка между стулом и ПК. Значит чтобы звено укрепить – ручонки надо укоротить (с)Народная мудрость.
Одним из наиболее эффективных мер — ограничение прав пользователя в самой системе, однако чаще всего пользователям лень тратить время на создание отдельного аккаунта. Да и ряд программ отказываются устанавливаться, настраиваться да и просто запускаться под ограниченными профилями.
В данном случае будет полезна известная утилита DropMyRights, ограничивающая права запускаемого приложения.
Она поддерживает 3 уровня доступа. Чем ниже права — тем ниже и возможности программы. Скажем, для того же IE на самом низком становятся не доступны такие функции, скажем, как active-x.
Данный способ хорошо себя зарекомендовал у клиентов из группы «высокого риска». И хотя часть сайтов не отображается корректно, но ради безопасности этим моментом можно пренебречь.
Как вариант, так же использовать программы, делающие полный откат системы после завершения сессии, но они, как показывает практика, мало пригодны для домашнего применения.
И хотя в последнее время наблюдается резкий спад активности винлокеров, вероятно, в ближайшем будущем все же стоит ожидать новых разнообразных модификаций тех или иных видов вымогателей, а значит и новых эпидемий. Обеспечить полную безопасность, не стянув руки пользователя у него за спиной, невозможно и пока юзер, наученный горьким опытом, не будет прислушиваться к советам более опытных собратьев и относиться с большим вниманием к своей безопасности, так и будут миллионы зараженных компьютеров работать во вред, а сотни миллионов рублей будут уходить в карман вирусописателей.
Ну а с вашей стороны рад выслушать ваши пожелания, критику да и просто делитесь опытом.
Тема: [Гайд]Winlocker. Удалить и обезвредить
Опции темы
Доброго времени суток, уважаемые форумчане. Сегодня, я хочу написать гайд об удалении и профилактике такого семейства вирусов, как Winlock(Troyan-Ransom(по классификации лаборатории Касперского) и Troyan.Winlock(по классификации Доктор Веб)).
И так, давайте вначале разберем, что такое winlock :
Часто в таких пишут следующее:
1) в случае не оплаты «штрафа» или не пополнения счета ваши данные будут удалены с жесткого диска.
Это чистая ложь. Я не разу не видел удаления файлов с винчестера или полной блокировки системы за весь опыт их удаления!
Пути распространения Winlockrerа и подобных вирусов разнообразны, в значительной части случаев инфицирование происходит через уязвимости браузеров при просмотре заражённых сайтов или через уязвимость ПО. Его получение возможно на любом сайте. Специальная программа может не заметно для вас скачать файл и поставить его в автозагрузку. При повторном включении ПК вирус выходит на рабочий стол.
Обычно, семейство этих вирусных программ подразделяется на простые или сложные или на три основных типа.
Сложные : тип баннеров, который загружается после полной загрузки рабочего стола Windows. Они закрывают практически весь рабочий стол, блокируют запуск диспетчера задач, редактора реестра, а также загрузку в безопасном режиме. Некоторые разновидности полностью блокируют клавиатуру, предоставляя пользователю лишь цифровые клавиши из своего интерфейса, и рабочую мышь для ввода кода.
Откуда берутся эти вирусы?
Ответ на этот вопрос очень прост. Обычно, они создаются такими утилитами, как winlocker builder v0.4 и v0.5. Скачать их может любой желающий пользователь, без каких-либо навыков программирования. Так что, любой пользователь может создать этот вирус, но не каждый может его удалить.
Можно ли привлечь создателей вируса к уголовной ответственности?
Я лично точно не знаю, но вот что нам говорит закон:
1)Никогда не переводите сумму на счет злоумышленникам! В 95% случаях после оплаты счета злоумышленников код разблокировки не приходит!
2)При возможности воспользуйтесь онлайн-сервисами подбора кода разблокировки на сайтах производителей антивирусного ПО.
3)Бывают такие случаи, когда помогает перестановка BIOS на 3-5 лет назад
Существуют разные способы удаления этого баннера. Так как чаще всего антивирусная защита нам не помогает, я озвучу вам известный способ удаления сложных winlocker»ов(действенный способ, читал недавно про него и смотрел видео. Получил вирус на сайте opel.com, и способ действительно помог. Способ для windows 7 и vista). Для этого нам понадобиться:
1)Болванка(DVD+R)
2)образ Rus Live
1) вставляем болванку в дисковод.
2) открываем папку с сохраненым образом и кликаем правой кнопкой мышки по файлу и открываем с помощью «Средство записи образов windows».
3) Нажимаем «Проверить диск после записи» и записать.
Загружается стандартная оболочка Windows XP. Затем выбираем следующее: 
Далее меню утилит и редактор реестра. На всякий случай сохраняем копию реестра, для этого жмем «Экспорт и сохраняем.
Затем нажимаем кнопку «Старт» в AntiWinLockerLiveCD и там начинается автоматический режим очистки ПК. Через 11 секунд должно выйти вот такое окно с автоматической разблокировкой:
Как мы видим программа сделала все необходимое и указала адрес на экзэмпляр этого вируса. Программа автоматически закроет данное окно.
Это можно сделать и в ручном режиме:
Нажимаем «вручную», затем выбор системы и загрузить! Во вкладке оболочка должен быть «explorer.exe», если его там нет, нажимаем исправить. Затем «выбор пользователя» и проверяем все ваши учетные записи(нажаем загрузить, если вкладки пустые, то все хорошо. Затем выгрузить, и так каждую учетную запись). Затем в «Автозагрузке» смело отключаем все параметры, кроме антивируса. В «инструменты и файлы» удаляем временные файлы. Переходим в «блокировка сайтов» и редактор HOST файлов:
Если есть надпись похожая на надпись в красной рамке, то нажимаем очистить! Эта надпись переводит нас по другому адресу IP-адресу при вводе, например vk.vom
Нажимаем сохранить и нажимаем на надпись «Для выхода. » и затем «Для выхода нажмите здесь»! После этого закрываем два последующих окна.
Затем можно удалить вирус вручную или с помощью антивирусника. На windows 7 вирус обычно лежит в папке C:/Users/ ваша основная учетная запись/AppData/Local или Roaming. Удаляем вирус и нажимаем «перезагрузка». Вытаскиваем болванку из дисковода и загружаем наш windows в обычном режиме. ВАЖНО! Сразу же включите полную проверку системы в антивируснике!
Заходим на сайт drweb.ru(если у вас есть доступ ко 2-му ПК(можно и на сайт лаборатории Касперского)). Выбираем «Поддержка» и «Бесплатная разблокировка windows». Вводим код, который указали мошенники. Если не нашли, ищите по изображениям.
Перезагружаем систему(как перезагружать при сложных winlock»ах я писал выше). До появления логотипа Windows обычно, с помощью клавишы F8 вызываем вот такое вот меню:
Включаем безопасный режим(можно проделать другой способ с командной строкой, но я его описывать не буду). Потом ищем «Восстановление системы» и переводим систему на несколько дней назад.
Вот и все! 
Просто будьте готовы к различным ситуациям
Материал взят из собственного опыта и других источников(сайты, видео).
Жду вашей адекватной критики, скоро добавлю другие способы если понадобиться. Дополняйте, ищите ошибки. При возможности, исправлю!
p.s.- данный гайд написан для windows 7.