Вернуться   Компьютерный форум > Блоги > Базаров
Оценить эту запись

Лечение файлов и системных областей дисков

Запись от Базаров размещена 17.04.2015 в 03:05
Обновил(-а) Базаров 18.04.2015 в 06:07

Расскажем о том, как происходит процесс лечения от вирусов с помощью программ Aidstest и Dr.Web.
Включение режима лечения
Для включения режима лечения при запуске программ необходимо задать режим /F. Пр лечении рекомендуется производить поиск вирусов во всех файлах (параметр /G программы Aidstest, параметр /A программы Dr.Web).
Замечание. Следует иметь в виду, что программы Aidstest и Dr.Web могут лечить только от знакомых им вирусов. Программа Dr.Web может лишь подозревать наличие незнакомых вирусов, но лечить файлы, зараженные неизвестными ей вирусами, она не умеет. В этом случае пользователь может либо удалить файл, который он сочтет зараженным, либо воспользоваться программой ADinfExt - лечащим блоком для ревизора ADinf. ADinfExt на основе сведений о файлах, собранных ревизором ADinf, и знания основных механизмов, которые используют вирусы при заражении файлов, может излечивать файлы от более чем 95% вирусов.
Сообщения о ходе лечения
В режиме лечения для каждого зараженного объекта на экран выводится сообщение, содержащее имя объекта, имя вируса и предпринятое действие. Например, программа Aidstest выводит сообщение вида:
Вирус в начальном секторе "Sampo" - ОБЕЗВРЕЖЕН
C:\EXE\MSDOS\DISKCOMP.COM - болен (V-475)/475 - ОБЕЗВРЕЖЕН
C:\EXE\MSDOS\FORMAT.COM - болен (V-475)/475 - ОБЕЗВРЕЖЕН
Здесь для файловых вирусов сообщается как номинальная длина вируса (в скобках), так и вызванное вирусом увеличение длины файла (оно может быть равно нулю - некоторые вирусы не меняют длину файла).
А программа Dr.Web выводит сообщение вида:
Master Boot Record HDD1 инфицирован Sampo - исцелен!
C:\EXE\MSDOS\DISKCOMP.COM инфицирован Loz.2968 - исцелен!
C:\EXE\MSDOS\FORMAT.COM инфицирован Loz.2968 - удален!
Замечания. 1. Иногда после сообщения об излечении программа Aidstest добавляет: "(есть вопросы)". В текущей версии программы это добавление выдается при неудачной попытке освободить кластеры, занятые загрузочным вирусом.
2. При лечении от вирусов, шифрующих данные на диске, программа Dr.Web выводит сообщение: "Подождите, пожалуйста!.. Производится расшифровка диска... Данная процедура может длиться довольно продолжительное время...".
Итоги лечения
По окончании лечения для каждого объекта, указанного в командной строке (диска, каталога и т.д.) выводится таблица с итогами лечения файлов. Например, программа Aidstest выводит следующие сведения:

Здесь строка "строк каталогов" относится к вирусам типа DIR, которые модифицируют элементы каталогов, в результате чего при вызове исполнимых файлов вызывается вирус (см. ранее).
А программа Dr.Web выводит такие сведения:

Некорректное лечение загрузочных областей диска
В некоторых случаях при лечении от загрузочных вирусов вылечить диск не удается: в том месте, где вирус должен прятать незараженные версии загрузочной записи (Boot Record) или главной загрузочной записи (Master Boot Record), этих записей не оказывается. Причиной тому может быть произведеннаякем-то модификация вируса или заражение компьютера несколькими вирусами, которые "накладываются" друг на друга. В этом случае программы Aidstest и Dr.Web могут вывести сообщения вида:
Возможно некорректное лечение загрузочного сектора! Продолжить лечение?

Оригинальный загрузочный сектор диска вирусом не сохранен!
Записать стандартный загрузочный сектор?

Записать стандартную версию программной части главного загрузочного сектора?
Для дискет запись стандартного загрузочного сектора в худшем случае означает, что с дискеты нельзя будет загружаться, что легко исправить командой SYS. А вот для жестких дисков доступ к информации на жестком диске может быть утрачен, особенно если диск был размечен нестандартными средствами типа ADM, Disk Manager, SSTOR и т.д., либо если вы использовали программы защиты жесткого диска от несанкционированного доступа, модифицирующие загрузочные области жесткого диска. Поэтому лучше отказаться от такого лечения и восстановить загрузочные области другими способами, как это указано ранее.
Диск для временных файлов
При проверке упакованных исполнимых файлов программа Dr.Web должна их распаковать во временный файл на диске. Диск,на котором создаются эти временные файлы, задается параметром /Uдиск:, а если этот параметр не задан, используется текущий на момент запуска программы диск. Поэтому при запуске программы с жесткого диска обычно этот параметр не указывается..
Однако при запуске Dr.Web с защищенной от записи дискеты, если не указать параметр /Uдиск:, программа будет пытаться распаковать файлы на дискету и выводить сообщения ►имя-файла - ошибка записи. Но дело в том, что назначать для записи временных файлов жесткий диск можно далеко не всегда - ведь вы подозреваете заражение жесткого диска компьютера вирусом, а при этом до излечения от вирусов лучше ничего на жесткий диск не записывать. Можно предложить следующие выходы из этого положения:
  • создать электронный диск (будет рассмотрено далее) и записывать на него временные файлы;
  • назначить для создания временных файлов съемный диск, например, магнитооптический (если он есть), или другую дискету, если у вас два дисковода для дискет. Однако при использовании дискет работа программы будет очень медленной;
  • если программа NDD (см. ранее) сообщает, что файловая система хотя бы одного логического диска, расположенного на жестком диске, в порядке, можно записывать временные файлы на этот логический диск. Однако в этом случае лучше сначала проверить диск программой Aidstest и программой Dr.Web без параметра /Uдиск:, игнорируя сообщения об ошибке записи, а уж затем продолжить проверку с указанием данного диска в параметре /U программы Dr.Web.
Вывод отчета
При лечении жестких дисков часто весьма полезен отчет о лечении - с его помощью вы сможете узнать, какие файлы или программные комплексы надо восстановить из дистрибутивов или резервных копий. Однако на жесткий диск файл протокола можно выводить далеко не всегда (см. предыдущий пункт). Поэтому лучше вывести протокол на принтер (параметр программы Aidstest). Если принтер не русифицирован, задайте параметр /L. Возможны и другие решения - вывод файла протокола на электронный диск, на другую дискету и т.д.
Размещено в Без категории
Просмотров 1611 Комментарии 0 Отправить другу ссылку на эту запись
Всего комментариев 0

Комментарии

 

Текущее время: 03:18. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.