Лично я использую следующую схему:
1.Сначала пытаюсь грохнуть вымогатель без перезагрузки. Некоторые из них так неквалифицированно написаны, что получается различными вариантами комбинаций таки запустить Диспетчер задач и грохнуть процесс вымогателя. Либо не грохнуть, а хотя бы узнать название процесса.
2. Если же не получается, то гружусь с LiveCD, и начинаем искать запуск вымогателя в реестре. Hijackthis - весьма удобный способ. Можно прогнать и спец софт по борьбе с вымогателями, точное его название наверное не вспомню, по моему он есть на LiveCD называющемся HirensBootCD - иногда оно неплохо срабатывает. Но вовсе не обязательно. Еще может пригодится CureIt! (банально для проверки базой еще одного антивируса) и AVZ. В итоге выяснив название процесса находим файл, обычно где нибудь в c:\Windows\System32 и физически удаляем его.
3. Далее перезагрузка. И продолжение поисков, часто зловред идет не один, а в связке с другим. Важно удить всё. Так как один из-них может устанавливать другой. После всего этого запускаем обновление штатного антивиря (какого-нибудь Avast'а) и всё еще раз проверяем. В идеале даже в режиме проверки "до запуска ОС". Также понятное дело, неплохо бы поудалять и левые запуски (уже недействительные) зловредов, просто чтобы они не засоряли систему...
Как то так...
