вчера полдня промудохался с компьютером знакомого – при загрузке появляется окно “iMax Download Manager”, в котором написано, что мы нарушили условия лицензии и теперь нужно отправить СМС на короткий номер, чтобы получить ключ. В волшебную силу СМС, ясное дело, никто не верил (и не зря – найденный в интернете ключ для этой проги не сработал. Не сработал и ключ, который я поличил в саппорте контент-провайдера, который обслуживает номер 4171, на который нужно было отправить смс).

Записал лайвсиди доктора веба и попробовал просканить диск на предмет заразы. Зараза находиться не хотела (потом оказалось, что нужно было обновить базы и внимательно смотреть логи, потому как дрвеб по-умолчанию ничего не лечит, а только выводит отчет).

Потом была попытка запустить CureIt через безопасный режим. Но зараза не давала выполнять exe-файлы. Следующим щагом было копирование CureIt  в директорию Windows и переименовывание его в .scr с последующим открытием через свойства экрана –> заставка. Еще пришлось потереть пользовательский реестр из documents&settings. Таким способом оно запустилось, но ничего не лечило. Пока ДрВеб сканировал и лечил одну директорию вирус успешно плодился в другой.

Потом была попытка подменить explorer.exe на CureIt. Запуск лечилки произошел, но от лечения опять не было толку. Зараза загружалась раньше CureIt и активно мешала лечению.

Потом я все-таки загрузил DrWeb LiveCD, обновил в нем базы, просканировал c:\winrdows и удалил все файлы, в которых был найден этот самый Trojan.Winlock.548. А было таких файлов 633. После перезагрузки зараза окончательно исчезла, но установленный на том компьютере Avast активно сопротивлялся удалению и установке касторского. Как удалит аваст полностью я так и не понял – пришлось делать грязный хак. Еще раз грузить лайвсиди, удалять все авастовые директории, перезагружаться, чистить от него реестр и только после этого ставить касторского.

Вобщем предохраняйтесь, камрады.