Действия при заражении вирусом (начало)

(Информация датирована 1996 г.)

Опишем действия, которые надо применять при заражении компьютера вирусом.
Симптомы заражения вирусом
Вы можете быть уверены, что на вашем компьютере имеется вирус, если:

• программа-детектор сообщает о наличии известного ей вируса в оперативной памяти, в файлах или системных областях на жестком диске;
• программа-ревизор сообщает об изменении файлов, которые не должны изменяться. При этом изменение часто выполняется необычным способом, например, содержание файла изменено, авремя его модификации - нет;
• программа-ревизор сообщает об изменении главной загрузочной записи жесткого диска (Master Boot, она содержит таблицу разделения жесткого диска) или загрузочной записи (Boot record), а вы не изменяли разбиение жесткого диска, не устанавливали новую версию операционной системы и не давали иных поводов к изменению данных областей жесткого диска;
• программа-сторож сообщает о том, что какая-то программа желает форматировать жесткий диск, изменять системные области жесткого диска и т.д., а вы не поручали никакой программе выполнять подобные действия4
• программа-ревизор сообщила о наличии в памяти "невидимых ("стелс") вирусов. Это проявляется в том, что для некоторых файлов или областей дисков при чтении средствами DOS ипри чтении с помощью прямых обращений к диску выдается разное содержимое;
• вирус сам вам представился, выведя соответствующее сообщение.

Вы можете подозревать наличие вируса,если:

• антивирусная программа сообщает об обнаружении неизвестного вируса;
• на экран или принтер начинают выводиться посторонние сообщения, символы и т.д.;
• некоторые файлы оказываются испорченными;
• некоторые программы перестают работать или начинают работать неправильно;
• работа на компьютере существенно замедляется.

Впрочем, похожие явления могут вызываться не вирусом, а неправильно работающими программами, сбоями в аппаратуре и т.д.
Пять правил
При заражении компьютера вирусом (или при подозрении на это) важно соблюдать пять правил.

1. Прежде всего, не надо торопиться и принимать опрометчивых решений. Как говорится, "семь раз отмерь, один раз отрежь" - непродуманные действия могут привести не только к потере части данных, которые можно было бы восстановить, но и к повторному заражению компьютера.
2. Тем не менее, одно действие должно быть выполнено немедленно. Если вы не абсолютно уверены в том, что обнаружили вирус до того, как он успел активизироваться на вашем компьютере,то надо выключить компьютер, чтобы вирус не продолжал своих разрушительных действий.
3. Все действия по обнаружению вида заражения и лечению компьютера следует выполнять только при правильной загрузке компьютера с защищенной от записи "эталонной" дискеты с операционной системой. При этом следует использовать только программы (исполнимые файлы), хранящиеся на защищенных от записи дискетах. Несоблюдение этого правила может привести к очень тяжелым последствиям, поскольку при загрузке DOS или запуске программы с зараженного диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет безсмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ.
4. Лечение от вируса обычно несложно, но иногда (при существенных разрушениях, причиненных вирусом) оно очень затруднительно. Если вы не обладаете достаточными знаниями и опытом для лечения компьютера, попросите помочь вам более опытных коллег.
5. Лечение компьютера от вируса - процесс творческий,поэтому любые рекомендации по этому поводу (в том числе и приведенные ниже) не надо воспринимать как догму. Тем более писатели вирусов нет-нет, да и придумают что-то новое, и некоторые рекомендации по борьбе с вирусами из-за этого устареют...

Замечание. Некоторые пользователи предпочитают лечить компьютер при заражении вирусом, не загружаясь с "чистой" дискеты, считая, что так удобнее. Что ж, раньше были хирурги, не считавшие нужным мытьруки перед операциями. Одни больные выздоравливали, а другие умирали от внесенной инфекции...
Раннее обнаружение вируса
Если вы используете резидентную программу-сторожа для защиты от вируса, то наличие вируса можно обнаружить на самом раннем этапе,когда вирус не успел еще активизироваться, заразить другие программы или диски и испортить и испортить какие-либо данные. Например, при обращении к дискете программа-сторож может вывести сообщение, что на дискете имеется загрузочный вирус, и предложить его удалить. Тогда для удаления вируса достаточно согласиться с предложением программы-сторожа. Никаких других действий в этом случае предпринимать не надо. Аналогично, если при проверке полученной со стороны дискеты или скачанного по электронной почте файла программами-детекторами типа Aidstest, Dr.Web и т.д. было получено сообщение, что дискета или файл содержит вирус, то надо вылечить только эту дискету или файл (разумеется, если вы не загружались с дискеты и не запускали полученные программные файлы).
Правильная перезагрузка
Рассмотрим более сложный случай, когда вирус уже мог активизироваться, а значит, заразить или испортить какие-то данные на дисках компьютера. При этом надо перезагрузить компьютер, начать выявление вируса и затем лечение.. Однако перезагрузку компьютера надо выполнить правильно, поскольку имеются вирусы, способные выживать даже при перезагрузке с чистой системной дискеты.

1. Приготовьте системную дискету,про которую вы точно знаете что на ней нет вирусов. Убедитесь, что дискета защищена от записи. Вставьте дискету в дисковод А: компьютера.
2. Нажмите на кнопку перезагрузки ("Reset") компьютера или выключите компьютер и включите его снова.
3. Сразу после начала загрузки в ответ на соответствующее приглашение нажмите клавишу или комбинацию клавиш, предназначенных для входа в программу конфигурирования компьютера (SETUP). Чаще всего для входа в эту программу используется клавиша Del.
4. В программе конфигурирования компьютера убедитесь, что типы дисководов для дискет установлены правильно. Если типы этих дисководов заданы неверно, надо их исправить. Кроме того, Надо проверить установки, отвечающие за порядок начальной загрузки: во многих типах BIOS можно установить, что загрузка сначала осуществляется с жесткого диска, а лишь затем с дискеты. Если такие установки включены, надо их выключить.
5. Выйдите из программы конфигурирования. Если вы меняли параметры конфигурации компьютера, ответьте утвердительно (обычно для этого надо нажать Y) на вопрос о том, надо ли записывать новые значения параметров в CMOS.
6. Компьютер загрузится с системной дискеты, и вирус при этом запущен не будет.

Замечания. 1. Необходимость в шагах 3-5 приведенной выше процедуры вызвана не только тем, что при неправильных параметрах в CMOS компьютер может не загружаться с дискет, но и тем, что существуют вирусы, способные выживать при перезагрузке с дискеты. Эти вирусы исправляют информацию о типах дисководов для дискет в CMOS , например устанавливая, что этих дисководов якобы не существует. В этом случае программа начальной загрузки загружает компьютер не с дискет, а с жесткого диска. При этом запускается вирус, который восстанавливает информацию о типах дисководов для дискет в CMOS и продолжает загрузку с дискеты. Шаги 3-5 выше позволяют предотвратить инициализацию такого вируса.
2. Перезагрузить компьютер желательно даже при обнаружении вирусов, заражающих документы Word для Windows: некоторые из этих вирусов заражают также исполнимые файлы.