Винлокер

[feoni]

Имеется компьютер с двойной загрузкой: XP SP3 и XP SP2. На SP3 поймали локера с веб-манями. Есть ли шанс, что SP2 загрузится, или гадина обе системы уделывает?

PS Я туда только завтра пойду. Охота знать, к чему готовиться. Есть ли шанс загрузиться со второй ОС и есть ли смысл пробовать. Или сразу готовить ремнабор.

[msshveikin]

У меня грузилось нормально, локер был только в одной системе. Но лучше все равно использовать какой нибудь восстанавливающий диск. Последний раз довольно таки быстро и успешно применил Kaspersky WindowsUnlocker с флешки.

[feoni]

Последний раз довольно таки быстро и успешно применил Kaspersky WindowsUnlocker с флешки.

А флешку готовили по прилагаемой там инструкции или сначала делали её загрузочной, а потом только записывали с касперского? Просто у меня привод сейчас снят, а с флешками там, у касперского на форуме, народ пишет что морока (поэтому и спрашиваю про вторую ОС).

[msshveikin]

Сейчас уже точно не помню, вроде по инструкции. Все получилось с первого раза.

[feoni]

Буду надеяться, что тоже получится. Кодов на эту пакость всё равно нет.

[msshveikin]

А как же Новый Деблокер не помог?

[feoni]

Не-а, нет у них на эл. кошелёк 079 151 659 608. У Доктора Веба тоже нет. Что-то свеженькое.

Как я поняла, на свежие локеры вообще кодов не существует. Изначально они писались без возможности разблокирования.

[a_glow]

Имеется компьютер с двойной загрузкой: XP SP3 и XP SP2. На SP3 поймали локера с веб-манями. Есть ли шанс, что SP2 загрузится, или гадина обе системы уделывает?

Если вторая система не запускалась, скорее всего она не заражена (могут быть нюансы с размещением систем и особенностями самого зловреда).
Обычно эта гадость подменяет собой userinit.exe. Если удастся загрузиться со второй системы, нужно взять этот файл с чистой системы и поместить его в зараженную. Главное - не перепутать!
Попутно можно запастись чистыми файлами explorer.exe, taskmgr.exe. Их тоже бывает подменяют. Можно сейчас на флешку записать. Все кроме експлорера находятся в /windows/system32, експлорер просто в windows.
В простых случаях в реестр прописывается запуск левых файлов из %temp%, %appdata%, %programfiles%. Такие файлы сравнительно легко находятся глазами по невнятным цифробуквенным именам и неправильному размещению. Чтобы удалить из реестра неактивной системы лишние ключи запуска, нужен некоторый навык. Для надёжности можно прогнать CureIt'ом зараженный диск.

[feoni]

Вторая точно не запускалась.

Тогда сразу вопрос. Если неактивная ОС выживает, то возможен вариант ХР под игры и линукса под интернет? Там ситуация - ребёнок 6 лет, которому купили компьютер для игр и дед, который подключил интеренет и ходит по всем помойкам Если интернет поставить на линукс, то ребёнкина ХР не будет заражаться?

[a_glow]

feoni
Есть более простой вариант - завести в XP простого юзера и играть/ходить в инет из-под него. Под админом только ставить/удалять софт и менять настройки. Обязательно пароль на админа и под админом в инет не ходить!. Ну и антивирус работающий и регулярно обновляемый.

[feoni]

feoni
Ну и антивирус работающий и регулярно обновляемый.

Стоит там Касперский. Я сама с Касперским полтора года назад локера схватила.

[msshveikin]

Я тоже локера при Каспере ловил, о чём он меня предупредил, но картинка всё равно повисла. Правда после перезагрузки он его удалил.

[a_glow]

Таки первая часть (работа под простым юзером) важнее. У него нет права записи в системные папки и ветви реестра, соответственно троян не заразит всю систему. Правда ещё и саму систему обновлять нужно, дыры латать...
У меня Microsoft Security Essentials вполне справляется...

[feoni]

Спасибо, так и сделаю.

[Ant]

Я сама с Касперским полтора года назад локера схватила.

У меня Microsoft Security Essentials вполне справляется...

У меня было дело люди ловили локера в 3 часа дня, когда он вообще становился известен только в 12, т.е. естественно что базы не успевали обновиться. 21-й век...