Новый Trojan.Winlock

всё проверил? он еще прописывается в след. местах
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

как я понял здесь уже почистили... .
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

на хр еще и здесь
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

я не очень понял смысли вопроса, если он изменяет значение shell, он что после удаления снова появляется или в чем именно вопрос? напиши мне на почту, помогу если что

Если баннер появился до загрузки рабочего стола, экран заблокирован.
1. Нажмите Ctrl+Shift+Esc и держите, пока не начнёт мигать диспетчер задач.
2. Не отпуская клавиш Ctrl+Shift+Esc, мышкой кликните на диспетчере задач "Cнять задачу".
3. В диспетчере задач нажмите "новая задача" и введите "regedit"
4. Перейдите в раздел HKEY_LOCAL_MACHINE/SOFTWARE/MicrosoftWindows NT/CurrentVersion/Winlogon
5. Перейдите на правую панель редактора реестра и проверьте два параметра “Shell” и “Userinit”. Значением параметра Shell должно быть "Explorer.exe" . Параметр Userinit – "C:\WINDOWS\system32\userinit.exe," (обязательно в конце запятая) !
6. Если параметры “Shell” и “Userinit” в порядке, найдите раздел HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options и разверните его. Если в нем присутствует подраздел explorer.exe, удалите его (Нажмите правой кнопкой мыши => Удалить) .
7. Перезагрузите компьютер.
8. Обязательно проверьте компьютер на вирусы установленным антивирусом или утилитой от Dr.Web'а Cureit
В случае неудачи проделайте этот способ в безопасном режиме.

зайди на сайт доктора веба и отсканируй и почисть все онлайн)))