Вернуться   Компьютерный форум > Блоги > Базаров
Оценить эту запись

Действия при изменениях на диске и при иных предупреждениях программы ADinf

Запись от Базаров размещена 02.05.2015 в 14:27

Дадим некоторые рекомендации по действиям при изменениях на диске и при предупреждениях, выдаваемых программой ADinf.
Не игнорировать сообщения программы
Прежде всего, автор программы советует ( и автор статьи к нему полностью присоединяется) никогда не оставлять без внимания сообщения программы ADinf об изменениях на диске. Это относится и к случаю, когда программа не считает изменения подозрительными (см. пункт "Изменения в файлах" ниже). Поэтому при получении сообщения об измененных файлах не ленитесь - посмотрите, что это за изменения, знаете ли вы, почему они произошли. Если вы не знаете причину произошедших изменений, проконсультируйтесь с более опытными пользователями и проверьте компьютер на наличие вирусов программами-детекторами типа Aidstest и Dr.Web.
Изменение объема памяти
Если ADinf обнаружит изменение объема оперативной памяти, доступной DOS, то сообщит об этом сразу же после запуска программы ADinf.
Многие загрузочные вирусы размещают свое тело вконце первых 640 Кбайт оперативной памяти, сообщая DOS о том, что ей доступно меньше памяти. Поэтому если вы не знаете причину изменений объема памяти, выберите ответ Продолжить так и внимательно следите за всеми изменениями на диске, о которых сообщает ADinf. Если вы точно знаете причину изменения объема памяти, выберите ответ Запомнить новое, после чего при последующих запусках ADinf будет использоваться новое значение объема памяти.
Изменение загрузочных областей диска
Если ADinf обнаруживает, что на логическом диске изменился загрузочный сектор (Boot record) или начальный сектор жесткого диска (главный загрузочный сектор, Master Boot Record), содержащий таблицу разбиения жесткого диска, то ADinf выдает сообщение о подозрительных изменениях на диске (см. ранее). После этого в окне с сообщением об изменениях на диске вы можете выделить строчку "Master-boot сектор" или "Загрузочный сектор" нажать Enter. При этом программа выведет окно с объяснением ситуации.
Вы можете выбрать одну из трех возможностей:
Продолжить - если вы не хотите восстанавливать с помощью ADinf содержимое измененного сектора;
Восстановить - чтобы восстановить с помощью ADinf содержимое измененного сектора;
Подробнее - чтобы посмотреть таблицу с информацией в старом и новом секторе. После просмотра ADinf снова выведет запрос о действиях, показанный выше.
При выборе ответа Восстановить ADinf спросит еще раз, уверены ли вы в том, что хотите сделать. Если вы упорствуете в своих намерениях, программа запросит имя файла, в который следует записать измененный (возможно, зараженный вирусом) загрузочный сектор или главный загрузочный сектор. Можно ответить Esc, и тогда программа не будет сохранять измененный сектор, однако это неразумно (см. ниже). После записи измененного сектора программа запросит разрешение на перезагрузку компьютера. Автор рекомендует без малейшего промедления согласиться на это предложение, поскольку вирус (если изменение вызвано вирусом) остается активным в оперативной памяти и может повторно заразить восстановленный ADinf сектор.
Вообще говоря, сразу восстанавливать с помощью ADinf загрузочный сектор или главный загрузочный сектор автор бы не советовал: правильное лечение от последствий заражения многими видами загрузочных вирусов отнюдь не исчерпывается восстановлением загрузочного сектора или главного загрузочного сектора. Например, если вам "повезло" подхватить вирус, шифрующий содержимое жесткого диска, то надо еще и расшифровать зашифрованные им данные. Но как раз своим вмешательством вы уничтожите симптомы "болезни" и сделаете лечение с помощью антивирусных программ-детекторов (Aidstest, Dr.Web и др.) невозможным - они просто не поймут, что компьютер был заражен загрузочным вирусом.
Поэтому автор бы посоветовал при появлении сообщения об изменении загрузочного сектора или главного загрузочного сектора (если вы перед этим не переразбивали жесткий диск, не устанавливали новую версию операционной системы и т.д., в результате чего данные сектора могли измениться), не восстанавливать сразу эти сектора с помощью ADinf, а перезагрузить компьютер с чистой системной дискеты (разумеется, "правильно", как это описано ранее), и запустить антивирусные программы-детекторы. И лишь если они не опознают заразивший компьютер вирус, то можно воспользоваться данной возможностью ADinf, запустив его с дискеты.
Сообщение об активном стелс-вирусе
Для новых и измененных файлов ADinf сравнивает длины и контрольные суммы файлов, получаемые посредством запросов к DOS, с фактическими, получаемыми путем непосредственного чтения секторов диска. Если ADinf обнаруживает несовпадение, то сразу же прекращает проверку диска и выдает сообщение.
Лучше всего не отвечать на этот запрос вообще, а вставить в дисковод А: защищенную от записи загрузочную дискету,нажать на кнопку "Reset" и правильно, как это было описано ранее, перезагрузить компьютер, после чего начать его лечение с помощью антивирусных программ-детекторов типа Aidstest, Dr.Web и др.
Появление новых дефектных кластеров
Новые дефектные (сбойные) кластеры на диске могут образоваться, если вы запускали программу типа Norton Disk Doctor для проверки диска и она забраковала некоторые кластеры, пометив их как дефектные (см. ранее). В этом случае сообщение ADinf о появлении новых дефектных кластеров следует игнорировать. Но если вы не проверяли поверхность диска с помощью Norton Disk Doctor или аналогичной программы, то появление новых дефектных кластеров, как правило, свидетельствует о появлении вируса на вашем компьютере. Внимательно проанализируйте изменения на диске, поскольку вирус должен не только пометить какие-то кластеры как дефектные, но и изменить либо файлы, либо загрузочный сектор, либо главный загрузочный сектор (иначе тело вируса, записанное в псевдодефектных кластерах, никогда не получит управление). По окончании проверки диска перезагрузите компьютер с чистой системной дискеты ("правильно", как это описано ранее) и попробуйте вылечить компьютер с помощью антивирусных программ-детекторов.
Изменения в файлах
ADinf считает изменения в файлах "подозрительными" в следующих случаях:
  • если дата и время модификации файла не изменились, а размер файла увеличился;
  • если дата или время модификации файла стали необычными: число больше 31, месяц больше 12, год больше текущего, минут больше 59, часов больше 23 или секунд больше 59;
  • если имя файла указано в списке неизменяемых файлов программы ADinf.
Стоит обратить внимание на то, что ADinf относит к числу подозрительных далеко не все изменения на диске, делаемые вирусом, а лишь те, которые характерны для вирусов и нехарактерны для остальных программ. Например, если вирус изменит исполнимый файл, поменяв хотя бы на две секунды его дату и время последней модификации (а эти секунды не отображаются большинством программ), то программа ADinf не сочтет изменение подозрительным - ведь при установке новой версии какой-либо программы, ее перекомпиляции и т.д., также меняется содержимое исполнимых файлов и время их модификации. Аналогично, если вирус изменит файл, уменьшив его размер (за счет сжатия содержимого), то это изменение также не будет сочтено подозрительным - ведь точно также поступают программы-упаковщики исполнимых файлов типа Diet, PKLITE, EXEPACK и т.д.
Поэтому при получении сообщения об измененных файлах не поленитесь - посмотрите, что это за файлы, и знаете ли вы, почему они изменились. Особенно осторожным надо быть, если на диске изменилось много файлов (это типично для некоторых вирусов). Если вы не знаете причину происшедших изменений, выведите протокол изменений на принтер и проверьте компьютер на наличие вирусов программами-детекторами типа Aidstest и Dr.Web. В случае сомнений проконсультируйтесь с более опытными пользователями.
Замечание. Чтобы понапрасну не тратить время на отслеживание изменений файлов в тех каталогах, в которых вы часто меняете файлы, например создаете программы, целесообразно сообщить ADinf имена таких рабочих каталогов. Это делается с помощью команды меню Опции | Настройки | Что контролировать | Рабочие кат. (здесь символом | отделены пункты меню, которые надо последовательно выбирать). Для рабочих каталогов ADinf сообщает только о подозрительных с его точки зрения изменениях.
Прочие предупреждения ADinf
Программа ADinf выявляет также следующие ситуации:
  • изменение самой программы ADinf;
  • изменение обработчика Int 13h, то есть прерывания низкоуровневого ввода-вывода, в BIOS (при организации так называемой теневой BIOS в оперативной памяти это вполне возможно);
  • попытку отобрать у ADinf обработку прерывания 76h (прерывания, с помощью которого контроллер жестких дисков типа IDE сообщает о завершении операций ввода-вывода с диском).
В подобных случаях перезагрузите компьютер с чистой системной дискеты ("правильно", как это описано ранее) и попробуйте вылечить компьютер с помощью антивирусных программ-детекторов.
Размещено в Без категории
Просмотров 2667 Комментарии 0 Отправить другу ссылку на эту запись
Всего комментариев 0

Комментарии

 

Текущее время: 20:13. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.