Trojan-Ransom.Win32/LockScreen.DB ?

[бУРов]

Через неделю после НГ, мне позвонил человек и попросил помощи.
Сразу после НГ к нему на компьютер (с Windows XP Home SP3) попал вирус-вымогатель.
Я с таким встретился впервые, т.к. у себя на компе блох не допускаю - предостерегаюсь.
На переднем фоне висело окно с надписью-предложением отправить SMS
на номер (не записали) сообщение 590920196. Типа за просмотр порно-сайтов задолжал. Ну и т.п.
Молодой человек обратился к приятелю, у которого была такая же проблема
и тот дал ему код для ввода в поле формы (для разблокирования).
Понятно, раз код не тот, ничего не помогло. Я просмотрел журналы
нода от 2-го числа там была запись. Значит прошли ещё и нодом.
В общем, окно им удалось убрать, но тут с удивлением обнаружили, что
Инет заблокирован наглухо!

Я собрал для исследования все журналы системы и нода.
Вот запись из журнала нода:

Код:

02.01.2010 20:26:55 Модуль сканирования файлов, исполняемых при запуске системы файл C:\Documents and Settings\user\Cookies\userlib.dll	модифицированный Win32/LockScreen.DB троянская программа очищен удалением (после следующего перезапуска) - изолирован NEWCOMPUTER\Оля

И вот 3 записи системного журнала (момент установки соединения):

1. Подключение пользователя "shatalov-35dml" к "JoKerrr", выполненное с помощью устройства "PPPoE5-9", было прервано.
2. Система обнаружила, что сетевой адаптер \DEVICE\TCPIP_{4D179B30-4D18-4F2E-B187-A5895CF1B89C} был подключен к сети, и инициировала нормальную работу через этот сетевой адаптер.
3. Система обнаружила, что сетевой адаптер \DEVICE\TCPIP_{4D179B30-4D18-4F2E-B187-A5895CF1B89C} был отключен от сети, и сетевая конфигурация этого адаптера была освобождена. Если сетевой адаптер не был отключен, то возможно, что он неисправен. Чтобы получить обновленные драйверы, обратитесь к вендору.

Я порылся в интернете и нашёл ситуацию один в один. И описание как восстановили работоспособность Инета.
Утилитой WinsockXPFix.exe был восстановлен разрушенный TCP/IP стек.

Но во время исследований я ещё и обнаружил, что заблокировано и восстановление системы!
Я правда не сообразил это восстановление включить тогда.

Теперь у меня такие вопросы:

1. Действительно ли этот вирус называется "Trojan-Ransom.Win32/LockScreen.DB" ?
2. Какие ещё разрушения в системе могут быть кроме двух описанных?
3. Возможно ли как-то провести восстановление системы "как и было" до вируса?
4. Смог бы я (если не затупил) "включить" Восстановление системы и откатить её назад?

Сейчас у меня доступа к этому компу нет пока и я интересуюсь из спортивного интереса.
Спасибо заранее!

Добавлено через 8 часов 35 минут

up

[Bratez]

Разговор полностью беспредметный, т.к. мы не имеем ни логов, ни карантина. Гадать на кофейной гуще здесь не принято.