Trojan-Ransom.Win32/LockScreen.DB ?

[SIZE="3"][FONT="Arial"]Через неделю после НГ, мне позвонил человек и попросил помощи.
Сразу после НГ к нему на компьютер (с Windows XP Home SP3) попал вирус-вымогатель.
Я с таким встретился впервые, т.к. у себя на компе блох не допускаю - предостерегаюсь.
На переднем фоне висело окно с надписью-предложением отправить SMS
на номер (не записали) сообщение [B]590920196[/B]. Типа за просмотр порно-сайтов задолжал. Ну и т.п.
Молодой человек обратился к приятелю, у которого была такая же проблема
и тот дал ему код для ввода в поле формы (для разблокирования).
Понятно, раз код не тот, ничего не помогло. Я просмотрел журналы
нода от 2-го числа там была запись. Значит прошли ещё и нодом.
В общем, окно им удалось убрать, но тут с удивлением обнаружили, что
Инет заблокирован наглухо!

Я собрал для исследования все журналы системы и нода.
Вот запись из журнала нода:[/FONT][/SIZE]
[code]02.01.2010 20:26:55 Модуль сканирования файлов, исполняемых при запуске системы файл C:\Documents and Settings\user\Cookies\userlib.dll модифицированный Win32/LockScreen.DB троянская программа очищен удалением (после следующего перезапуска) - изолирован NEWCOMPUTER\Оля[/code][SIZE="3"][FONT="Arial"]И вот 3 записи системного журнала (момент установки соединения):[/FONT][/SIZE][LIST=1][*]Подключение пользователя "shatalov-35dml" к "JoKerrr", выполненное с помощью устройства "PPPoE5-9", было прервано.[*]Система обнаружила, что сетевой адаптер \DEVICE\TCPIP_{4D179B30-4D18-4F2E-B187-A5895CF1B89C} был подключен к сети, и инициировала нормальную работу через этот сетевой адаптер.[*]Система обнаружила, что сетевой адаптер \DEVICE\TCPIP_{4D179B30-4D18-4F2E-B187-A5895CF1B89C} был отключен от сети, и сетевая конфигурация этого адаптера была освобождена. Если сетевой адаптер не был отключен, то возможно, что он неисправен. Чтобы получить обновленные драйверы, обратитесь к вендору.[/LIST][SIZE="3"][FONT="Arial"]Я порылся в интернете и нашёл ситуацию один в один. И описание как восстановили работоспособность Инета.
Утилитой WinsockXPFix.exe был восстановлен разрушенный TCP/IP стек.

Но во время исследований я ещё и обнаружил, что заблокировано и восстановление системы!
Я правда не сообразил это восстановление включить тогда.

Теперь у меня такие вопросы:[/FONT][/SIZE][LIST=1][*]Действительно ли этот вирус называется "Trojan-Ransom.Win32/LockScreen.DB" ?[*]Какие ещё разрушения в системе могут быть кроме двух описанных?[*]Возможно ли как-то провести восстановление системы "как и было" до вируса?[*]Смог бы я (если не затупил) "включить" Восстановление системы и откатить её назад?[/LIST]
[SIZE="3"][FONT="Arial"]Сейчас у меня доступа к этому компу нет пока и я интересуюсь из спортивного интереса.
Спасибо заранее![/FONT][/SIZE]

[size="1"][color="#666686"][B][I]Добавлено через 8 часов 35 минут[/I][/B][/color][/size]

up

Разговор полностью беспредметный, т.к. мы не имеем ни логов, ни карантина. Гадать на кофейной гуще здесь не принято.