Винлокер заблокировал компьютер.

Доброе утро.
Вчера словил винлокера, самое поганое, что это произошло на админской машине под учеткой доменного админа (моей). Зайти в Windows дает только локальному админу, доменную учетку блокирует "нижайшей просьбой" о 900 рублях.
Антивирус стоит официальный корпоративный NOD32. Базы, естественно свежие.
Все действия, описанные в инструкции(да и вообще все), выполнялись в безопасном режиме под учетной записью локального администратора.
Что делал:
1. Пробовал запускать DrWeb Live USB, он проверял пару часов после чего вылетел (подозреваю, что тут не обошлось без моего косяка - во время проверки пнул по полю "статус" или как то так, что бы, как я предположил, отсортировать записи по этому столбцу для того, чтобы все найденные "нехорошести" встали друг под другом)
2. Полез сюда, выполнил все инструкции (проверял касперским - что-то нашел, но, по-моему, это не то, ибо винлокер не ушел), результаты в приложенных файлах.[ATTACH]373779[/ATTACH] [ATTACH]373778[/ATTACH] [ATTACH]373777[/ATTACH]

Уважаемый(ая) [B]RuCosinus[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Всем спасибо, сам нашел заразу. Лежал в C:\Documents and Settings\Имя_Учетки... Некто ms.exe. Я его удалил сразу, а видимо зря, потому что каспер то его пропустил.

[b]RuCosinus[/b], Если баннера нет, сделайте логи по правилам. Если нет, [URL="http://virusinfo.info/showthread.php?t=121985"]Сделайте образ автозапуска uVS из под LiveCD[/URL]