Эта модификация вируса аналог баннера, о котором я уже писал, и лечится он также, но на этот раз я прогнал его на виртуальной машине и получил отличные скриншоты.

Баннер гласит:

Лечится он также:

1. Грузимся с LiveCD, правим ветку реестра <HKLM>SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Ключ Shell
   Пишем туда explorer.exe, вместо пути к файлу 35.exe

2. Включаем Диспетчер задач
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Либо если загружаемся с лив сиди то в соответствии с тамошним редактором реестра, например как на изображении для пользователя Admin:
   HKEY_LOCAL_MACHINE\_C_user_Admin\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system
   Ключ DisableTaskMgr – меняем с единицы на ноль, либо просто удаляем этот ключ.

Выловленный вирус показывает по virustotal 7 из 43 на 30 сентября 2011 г.

Причем мой любимый ESETSmartSecurity (NOD32) определяет его как модифицированный Win32/Kryptik.TJQ троянская программа с сигнатурами на 30 число, а с базами сигнатур на 29 сентября пропускает вирусок.

Также предположительно вирус проник, через какой то сайт, но я уже не стал ковыряться в истории браузера.