Такая вот история...
Сегодня пытался отловить винлок, пойманный товарищем без понятия о компьютерной безопасности. Загрузился со свежего DrWeb LiveCD, включил проверку системного диска, сам полез в реестр (/reg), глянуть стандартные места загрузки, в надежде отловить его там, т.к. была мысль, что, возможно, винлок не детектируется вебером (не нашел кода по номеру на сайте, поэтому так и подумал, хотел прислать его на анализ, если сканер его не найдет). Полез сначала в «HKLM\SOFTWARE\..\CurrentVersion\Run» т.к., похоже, винлок (или его автор) был «недалеким» и винлок просто грузился вместе с софтом после логина, причем один из последних. В указанной ветке я его не обнаружил. Дальше я отвлекся на копирование некоторых данных товарища, он попросил на всякий случай. Полез дальше в реестре искать… Был удивлен, когда после входа в SOFTWARE я вдруг ничего не обнаружил (пустой «каталог»). Пару минут назад там все было. Закрыл MC, открыл снова, залез. Пусто. Дождался когда сканер закончит проверку. Сканер обнаружил Trojan.inject1 и Trojan.click, винлок не нашелся. Удалил.
Перегрузился. Винда не грузится… Рестарт. LiveCD. Реестр. … SOFTWARE. Пусто. Попробовал автолечение реестра – ошибка подключения к реестру. Приплыли.
Сами файлы реестра на месте. В чем проблема – хз. В конечном счете заменили файл software (забыл сказать, что система - XP) на чистый. Система загрузилась, следов винлока, естественно, нет. Есть проблемы с загрузкой некоторого софта. В общем провозился с востановлением, до поиска винлока дело в итоге не дошло, цейтнот.
В общем – DrWeb LiveCD повредил реестр? Могло такое быть? Вот он был и вот его не стало в течении одного сеанса работы LiveCD с mc. До этого же компьютера доберсь теперь не раньше вторника, если вдруг какие нибудь логи прислать или что еще посмотреть, если это кого нибудь заинтересует 
