5. Лечение компьютера от вируса -- процесс творческий, поэтому любые рекомендации по этому поводу (в том числе и приведенные ниже) не надо воспринимать как догму. Тем более писатели вирусов нет-нет, да и придумают что-то новое, и некоторые рекомендации по борьбе с вирусами из-за этого устареют...

Некоторые пользователи предпочитают лечить компьютер при заражении вирусом, не загружаясь с «чистой» дискеты, считая, что так удобнее. Что ж, раньше были хирурги, не считавшие нужным мыть руки перед операциями. Одни больные выздоравливали, а другие умирали от внесенной инфекции...

Раннее обнаружение вируса.

Если Вы используете резидентную программу-сторожа для защиты от вируса, то наличие вируса можно обнаружить на самом раннем этапе, когда вирус не успел еще активизироваться, заразить другие программы или диски и испортить какие-либо данные. Например, при обращении к дискете программа-сторож может вывести сообщение, что на дискете имеется загрузочный вирус, и предложить его удалить. Тогда для удаления вируса достаточно согласиться с предложением программы-сторожа. Никаких других действий в этом случае предпринимать не надо. Аналогично, если при проверке полученной со стороны дискеты или скачанного по электронной почте файла программами-детекторами типа Aidstest, Dr. Web и т.д. было получено сообщение, что дискета или файл содержит вирус, то надо вылечить только эту дискету или файл (разумеется, если Вы не загружались с дискеты и не запускали полученные программные файлы).

Правильная перезагрузка.

Рассмотрим более сложный случай, когда вирус уже мог активизироваться, а значит, заразить или испортить какие-то данные на дисках компьютера. При этом надо перезагрузить компьютер, начать выявление вируса и затем лечение. Однако перезагрузку компьютера надо выполнить правильно, поскольку имеются вирусы, способные выживать даже при перезагрузке с чистой системной дискеты.

1. Приготовьте системную дискету, про которую Вы точно знаете, что на ней нет вирусов. Убедитесь, что дискета защищена от записи. Вставьте дискету в дисковод А: компьютера.

2. Нажмите на кнопку перезагрузки («Reset») компьютера или выключите компьютер и включите его снова.

3. Сразу после начала загрузки в ответ на соответствующее приглашение нажмите клавишу или комбинацию клавиш, предназначенных для входа в программу конфигурирования компьютера (SETUP). Чаще всего для входа в эту программу используется клавиша [Del].

4. В программе конфигурирования компьютера убедитесь, что типы дисководов для дискет установлены правильно. Если типы этих дисководов заданы неверно, надо их исправить. Кроме того, надо проверить установки, отвечающие за порядок начальной загрузки: во многих типах BIOS можно установить, что загрузка сначала осуществляется с жесткого диска, а лишь затем с дискеты. Если такие установки включены, надо их выключить.

5. Выйдите из программы конфигурирования. Если Вы меняли параметры конфигурации компьютера, ответьте утвердительно (обычно для этого надо нажать [Y]) на вопрос о том, надо ли записывать новые значения параметров в CMOS.

6. Компьютер загрузится с системной дискеты, и вирус при этом запущен не будет.

Замечания. 1. Необходимость в шагах 3-5 приведенной выше процедуры вызвана не только тем, что при неправильных параметрах в CMOS компьютер может не загружаться с дискет, но и тем, что существуют вирусы, способные выживать при перезагрузке с дискеты. Эти вирусы исправляют информацию о типах дисководов для дискет в CMOS, например, устанавливая, что этих дисководов якобы не существует. В этом случае программа начальной загрузки загружает компьютер не с дискет, а с жесткого диска. При этом запускается вирус, который восстанавливает информацию о типах дисководов для дискет в CMOS и продолжает загрузку с дискеты. Шаги 3-5 выше позволяет предотвратить инициализацию такого вируса.

2. Перезагрузить компьютер желательно даже при обнаружении вирусов, заражающих документы Word для Windows: некоторые из этих вирусов заражают также исполнимые файлы.

Лечение компьютера от заражения вирусом имеет существенные особенности, отличающие его, скажем, от устранения повреждений файловой системы, то есть системных данных, указывающих расположение данных на дисках.

Лечение дисков программами-детекторами.

1. Мы уже говорили, что все действия по лечению компьютера от вирусов следует выполнять только после правильной загрузки компьютера с дискеты, запуская при этом только программы с защищенных от записи дискет и съемных дисков.

2. Несмотря на то, что вирусы могут испортить файловую систему на дисках (например, отдельные диски могут быть не видны), программы для устранения повреждений на дисках типа NDD, UnFormat и т.д., следует применять в последнюю очередь. Сначала надо использовать антивирусные программы-детекторы, так как они лучше знают, как именно конкретный вирус портит файловую систему. Более того, для некоторых видов вирусов (вирусов типа DIR, вирусов, шифрующих информацию на дисках и т.д.) после лечения программами типа NDD или UnFormat восстановить информацию на дисках будет невозможно.

3. Обнаружение и излечение от какого-либо вируса не означает, что компьютер «здоров» -- компьютер мог быть заражен несколькими вирусами. Поэтому по окончании лечения надо обязательно еще раз проверить компьютер всеми имеющимися детекторами на отсутствие вирусов. Кстати, даже это не гарантирует отсутствия вирусов -- ведь компьютер может быть заражен вирусом, неизвестным имеющимся у Вас программам-детекторам.

Запуск программ-детекторов.

Для лечения компьютера надо поочередно проверить с помощью имеющихся у Вас программ-детекторов все логические диски, расположенные на жестком диске. Сначала, чтобы оценить ситуацию, желательно запускать программы-детекторы в диагностическом режиме, без лечения или удаления зараженных объектов.

Выяснение сведений о вирусе.

Если какая-либо из программ-детекторов сообщит о том, что она нашла известный ей вирус, то желательно прочесть в ее документации или встроенном справочнике сведения о данном типе вирусов. Например, в комплект поставки программ-детекторов Aidstest и Dr. Web входят текстовые файлы с описаниями знакомых им вирусов. Сведения о вирусах позволят Вам оценить возможные последствия заражения и выбрать необходимые меры по их устранению. Например, если компьютер оказался заражен неопасным загрузочным вирусом, то кроме удаления вируса с жесткого диска и дискет, которыми Вы пользовались, делать ничего не надо. А устранение последствий заражения вирусом, изменяющим случайно выбранные участки диска, могут быть гораздо серьезнее -- обычно при этом приходится заново устанавливать все пакеты программ с дистрибутивов, а собственные данные -- с резервных копий.

Удаление вирусов.

Если какая-либо из программ-детекторов обнаружила вирус, то следует с помощью этой программы излечить или удалить зараженные объекты. Как правило, для системных областей диска программа-детектор предлагает выбрать их излечение или оставление без изменений, а для файлов -- лечение, удаление или оставление без изменений. Удаление зараженных файлов обычно предпочтительнее их лечения, если зараженный файл входит в пакет программ, который можно заново установить с дистрибутивных дисков.

Чтобы не пропустить вирус в каком-либо файле, желательно задать режим поиска вирусов во всех файлах, а не только в программных файлах, а также режим поиска в архивах. Если Вы используете архивы видов, не поддерживаемых программой-детектором (см. замечание ниже), то может потребоваться распаковать архив во временный каталог и проверить его содержимое программой-детектором.

Если Вы лечили (а не удаляли) какие-либо файлы, рекомендуется еще раз проверить компьютер всеми имеющимися детекторами на отсутствие вирусов -- ведь некоторые файлы могли быть заражены несколькими вирусами, «наслаивающимися» один на другой.

Norton AntiVirus для Windows поддерживает архивы формата .ZIP, Norton AntiVirus для Windows 95 -- .ZIP и LZH, Dr. Web -- -ARJ, .ZIP, .LZH, .RAR, .ZOO и .ICE, a Aidstest -- не умеет искать вирусы в архивах вообще.

Если имеющиеся у Вас программы-детекторы не находят вирусов, то либо эти программы-детекторы старые, а заразивший их вирус -- новый и неизвестен программам-детекторам, либо вируса на Вашем компьютере нет. Если Вы использовали программу-ревизора, то для выяснения этого вопроса можно запустить данную программу и проанализировать изменения на дисках.

Если Вы использовали программу-ревизора, например, ADinf из антивирусного комплекта DSAV фирмы «Диалог-Наука» или Norton AntiVirus в режиме инокуляции (см. главу 51), то после запуска программ-детекторов следует (независимо от результата работы с программами-детекторами) запустить программу-ревизора и проанализировать изменения на дисках. Часто программа-ревизор сама определяет подозрительные симптомы: изменения в системных областях диска, изменения в файлах при неизменной дате модификации файла и т.д.

При обнаружении изменений программа-ревизор, как правило, предлагает их исправить (восстановив прежнее состояние), пропустить (при следующей проверке снова будет выдано сообщение об изменении) или запомнить сведения о данном изменении (то есть признать его, так сказать, законным).

Лечение и его последствия.

В подавляющем большинстве случаев программы-ревизоры восстанавливают прежнее состояние системных областей дисков и программных файлов правильно. Тем не менее, иногда лечение программами-ревизорами может привести к потере части (или даже всех) данных на диске. Это происходит, например, если вирус зашифровал какие-то сектора жесткого диска. Именно поэтому выше я рекомендовал применять сначала программы-детекторы (которые, зная принципы работы данного вируса, могут расшифровать поврежденные участки диска), а лишь потом -- программы-ревизоры.

Неправильное лечение программой-детектором.

Иногда программы-ревизоры выявляют, что излеченный программой-детектором исполнимый файл отличается от оригинала (того файла, который был до заражения). Обычно это означает, что программа-детектор неправильно распознала тип вируса и излечила файл неправильно. В этом случае лучше удалить такой файл и восстановить его из других источников (например, с дистрибутивных дисков).

Что делать после лечения.

После того, как Вы выявили и удалили с компьютера вирус, надо выполнить следующие действия.

Следует проверить целостность файловой системы и поверхности диска с помощью программы NDD. Если повреждения файловой системы значительны, то целесообразно скопировать с диска на дискеты (или иные носители) все нужные файлы, резервных копий которых не имеется, заново отформатировать диск, а затем заново установить все пакеты программ с дистрибутивов, а собственные данные -- с резервных копий.

Надо загрузить компьютер с жесткого диска. Если компьютер не загружается, можно восстановить системные файлы и загрузочный сектор логического диска С: загрузившись с дискеты и введя команду SYS С: .

Многие вирусы не только размножаются, но и портят данные. Если Вы не уверены в том, что вирус ничего не испортил, следует сравнить файлы в резервных копиях с соответствующими файлами на диске. Большинство программ резервного копирования имеют режим сравнения резервной копии с соответствующими файлами на диске. Если Вы обнаружите повреждения в файлах, то есть изменения, которых Вы не делали, следует восстановить поврежденные файлы из резервных копий. В этом случае желательно также заново установить используемые пакеты программ с дистрибутивных дисков, так как вирус мог повредить и эти пакеты программ.

Программа ARJ тоже имеет режим сравнения содержимого архива с соответствующими файлами на диске.

Часто повреждение файла вирусом можно опознать но тому, что у файла изменилось содержимое, а дата и время последней модификации -- нет.

Если обнаружившая вирус программа-детектор не умеет обрабатывать файлы архивов используемого Вами типа, следует проверить содержащиеся на дисках компьютера архивы, распаковывая их по очереди во временный каталог и проверяя содержимое этого каталога программой-детектором.

Если Вы в тот период, когда компьютер был заражен вирусом, работали с дискетами или съемными дисками, на которых не была установлена защита от записи, следует проверить эти дискеты и диски на наличие вирусов.

Установка антивирусных программ.

Потребность в лечении компьютера от вирусов, а тем более, тяжелые последствия заражения вирусом, как правило, связаны с несоблюдением элементарных правил «компьютерной гигиены», описанных в предыдущем параграфе. Если Вы больше не хотите лечить компьютер от вирусов, установите на компьютер антивирусные программы и выполняйте меры антивирусной профилактики (проверка всех полученных извне данных программами-детекторами, ежедневная проверка жесткого диска программами-ревизорами, использование резидентной программы-сторожа, регулярное обновление версий антивирусных программ и т.д.).

При лечении компьютера от вирусов возможны самые сложные случаи, некоторые из которых описаны ниже.

Страницы: 1, 2, 3, 4, 5