Порнобаннер заблокировал компьютер (Winlocker)

Что-то из рода [I]Trojan.Winlock[/I].

Предположительно произошло заражение c сайта: было сообщение "о зараженности" одной страниц ресурса не средставами [I]Avira AntiVir Premium[/I], а скорее средствами браузера [I]SW Iron[/I] или его аддона [I]AD Block[/I]. На остальные страницы "зараженного" ресурса предупреждения не было, да и с этой (в свое время спокойно делалась закладка) раньше было все нормально. Поэтому предупреждение было расценено как ложное срабатывание.

Проблемы начались после выключения/включения компьютера. Блокировка работы [I]Windows[/I], баннер с голыми бабами, требование честно оплатить 300 руб. через терминал оплаты и прочее разводилово. Попытка загрузиться в защищенном режиме -[I] BSOD[/I].

Лечение:
1. С помощью загрузки с болванки [I]Win XP PE[/I], при редактировании реестра были обнаружены записи, ссылающиеся на зловредный модуль:

[I]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell[/I] - значение [I][B]C:\Program Files\Common Files\Cursors\svhost.exe[/B][/I] (нормальное значение [B][I]Explorer.exe[/I][/B])
[I]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\[U]winlogon[/U]\Shell[/I] - значение [I][B]C:\Program Files\Common Files\Cursors\svhost.exe[/B][/I] (такого раздела быть не должно, поц подстраховался зачем-то по регистру)

2. Модуль для тестовой дизактивации былл изолирован в другое место. Удалены вручную все временные файлы учетных записей, ОС, кэш браузеров.
3. Нормальная загрузка ОС, нет прав для средств редактирования реестра [I]regedit[/I].
4. При помощи оснастки [I]gpedit.msc[/I] (странно что ей права оставили) права востановлены.

Других отклонений от нормы не установлено.

На машине проверено средствами [I]Avira AntiVir Premium[/I], на другой машине копия папки средствами [I]"Касперский Workstation 6"[/I] с актуальными обновлениями. При сканировании папки со зловредом ничего не обнаруживается.

Отослано на экспертизу в обе конторы.

[B]UPD Ответ от Касперского[/B]

С сегодняшнего дня у Касперского его нарекли [B][I]Trojan-Ransom.Win32.Losya.cb[/I][/B], в обновления обещали добавить.

[B]UPD2 Ответ от Avira[/B]

В [I]Avira[/I] его нарекли [B][I]TR/Injector.EX[/I][/B], причислили к классу [B]MALWARE[/B], в обновления обещали добавить. Вообще странная у них реакция на него, есть мнение что у них в Дойчланде угрозы другого рода.

[B]Обновление[/B]

Опять таже песня. Почти.

Теперь понятно как эта гадость прописывается.

1. Проник предположительно при помощи [B][I]HTML/Crypted.Gen[/I][/B] (отсюда [U][I]httр://pic2profit.сom/img/wtp.js[/I][/U])
2. Запускается из Темпа профиля [I]C:\Documents and Settings\[B]<Профиль>[/B]\Local Settings\Temp\jar_cache387288650716660209.tmp[/I]
3. Живет теперь в [I]С:\Program Files\Common Files\Offline Web Pages\svhost.exe[/I] (Называется теперь [B][I]TR/Ransom.Losya.cj[/I][/B])
4. Проник вчера, активизировался утром после перезагрузки, при первой прогонке [I]Avira'ой[/I] не обнаружился, позже, видать после авто-обновлений свежих, - да.

Поц не спит, поц совершенствуется.
[B]Шоб ему пусто было.[/B]