Для информации: это не WinLock, потому что он блокирует загрузку любой ОС, а не только винды.
Алгоритм лечения это конечно хорошо, но как по мне, намного важнее понять как его можно подцепить. Этот вирус смог получить доступ к дисковой памяти(!), вызвать системную программу(!!!), и прописаться в MBR(
).
Тут варианта 2:
1. Вирус был встроен в какой-то файл, который был запущен на компе. Учитывая что мы в основном работаем на компе под админом, сценарий не сложный, тут все зависит от антивируса и он не справился... Какой если не секрет?
Но этот вариант мне кажется маловероятным, потому что вероятность получить такой файл при адекватном поведении не очень велика.
2. Вирус получен с какого-то сайта . Тоесть через браузер. Тут все сложнее, потому что в основном получить доступ к файловой системе из под браузера нельзя(если у вас последняя версия одного из хороших браузеров). Это не ИМХО, а подтверждено на последней конференции PHDays. Сейчас на бытрую руку не получилось найти пруфлинк, но по памяти там удалось вызвать калькулятор(с этого начинаются многие заражения) из под Explorer.
Какой был браузер?
Механизм заражения данным вирусом мне действительно очень интересен, потому что пользуясь бесплатным Avast и Opera и соблюдая элементарные правила поведения в интернете и при работе с незнакомыми файлами я себя чувствую довольно защищенным.
UPD: Взломан был не Explorer, а Safari под Windows. Все остальные браузеры не поддались. Что не может не радовать:)