Сейчас очень популярно ставить перехваты на функции и нагора выдавать якобы отсутствие заражения. Ну если уже совсем прямо — руткит-технологии. MSE в этом плане достаточно убог: так что сканирование сработает только на неактивной системе: т.е. сняли винт, просканили на стороне. А в таком плане несравненно проще и лучше LiveCD.

Второй аспект: пакованные файлы. Ловить по пакерам — это заработать кучу фалсов на кейгенах/патчах и прочем. Анпакерами похвастаться могут отнюдь не все, в основном — впереди Каспер и Веб, далеко позади — Авира.

Ну вот как-то так :)

В таком случае и с учётом Ваших обстоятельств — никак :( Все другие варианты будут сложнее LiveCD.
А друзей у неё нет с компьютерами? Или компьютерного клуба неподалёку?

Безопасный грузиться? Вообще что-то запустить можно? Я указал в сообщении инструкцию — LiveCD там в п. 3б, что на счёт п. 2 и п. 3а?

Четыре года назад буткиты не были распространены.

Да, и ещё одно, уважаемые коллеги! Если у кого-то по каким-то причинам есть дроппер или информация о дроппера Whistler Bootkit — просьба сообщить. Необходимо не только бороться с этой заразой, но и отследить, каким образом информация из проекта Stoned выросла в такое нехорошее, мягко говоря, явление.

Нет, ну почему же? Просто про него много уже чего написано. И я уже про него писал вот тут. Поэтому решил на Хабре постить что-то поновее :)

Ну я своих уже приучил в инете только под Sandboxie лазить. Идей много, просто мало кто выполняет. Потому и приходится кейсы разбирать да обзоры писать :)

Спасибо за замечание, Вы правы.

Ну да. И ещё использовать песочницы :) Но кто это делает?

Пожалуйста :) Кстати, на сайте антивирусных компаний инфа выкладывается именно благодаря отсыланию карантинов, о которых я говорил выше ;)

Спрятал. Не знаю, как в России, но в других странах СНГ такой звонок будет платный по международному тарифу :)

Есть. Это и tmp-файлы, которые оказываются вполне работоспособными dll/exe. И куча инфекторов, скачанных во время работы.

А за вирлаб не волнуйтесь — это их работа ;) И как я сказал — там всё сортируется, а потому двойной труд не выполняется.

Вы пользуетесь Actual Windows Manager? Тот во временной папке хранит файл aimemb.dll. Да, он в принципе восстановится при удалении, но кто знает…

Это — как пример.

И поверьте — вирлабу Ваше порно абсолютно неинтересно. Оно даже не попадёт аналитику — будет отсеяно автодятлом (роботом сортировки карантина) ещё на подходе. Как и текстовые кукисы и т.д. Но если перед робтом неловко и считаете, что антивирусная компания за Вас будет ВКонтакте постить — тогда да, согласен :)

Учтено. Поправлено. Так нормально?

Уже всё понял и исправил. Прошу прощения, трудно вспомнить html-теги после ВВкода.

Тайный смысл прост: если Вы удалите что-то, что нужно для работы и зловредом не является — будет откуда восстановить. Кроме того, этот архив можно отправить любимому антивирусному вендору и порадовать его ранее неизвестным винлокером :)