Действия при заражении вирусом (продолжение)
(Информация датирована 1996 г.)
Лечение дисков программами-детекторами
Лечение компьютера от заражения вирусом имеет существенные особенности, отличающие его, скажем, от устранения повреждений файловой системы, то есть системных данных,указывающих расположение данных на дисках.
Для лечения компьютера надо поочередно проверить с помощью имеющихся у вас программ-детекторов все логические диски, расположенные на жестком диске. Сначала, чтобы оценить ситуацию, желательно запускать программы-детекторы в диагностическом режиме, без лечения или удаления зараженных объектов.
Выяснение сведений о вирусе
Если какая-либо из программ-детекторов сообщит о том, что она нашла известный ей вирус, то желательно прочесть в ее документации или встроенном справочнике сведения о данном типе вирусов. Например, в комплект поставки программ-детекторов Aidstest и Dr.Web входят текстовые файлы с описаниями знакомых им вирусов. Сведения о вирусах позволят вам оценить возможные последствия заражения и выбрать необходимые меры по их устранению. Например, если компьютер оказался заражен неопасным загрузочным вирусом, то кроме удаления вируса с жесткого диска и дискет, которыми вы пользовались, делать ничего не надо. А устранение последствий заражения вирусом, изменяющим случайно выбранные участки диска, могут быть гораздо серьезнее - обычно при этом приходиться заново устанавливать все пакеты программ с дистрибутивов, а собственные данные - с резервных копий.
Удаление вирусов
Если какая-либо из программ-детекторов обнаружила вирус, то следует с помощью этой программы излечить или удалить зараженные объекты. Как правило, для системных областей диска программа-детектор предлагает выбрать их излечение или оставление без изменений, а для файлов - лечение, удаление или оставление без изменений. Удаление зараженных файлов обычно предпочтительнее их лечения, если зараженный файл входит в пакет программ, который можно заново установить с дистрибутивных дисков.
Чтобы не пропустить вирус в каком-либо файле, желательно задать режим поиска вирусов во всех файлах, а не только в программных файлах, а также режим поиска в архивах. Если вы используете архивы видов, не поддерживаемых программой-детектором, то может потребоваться распаковать архив во временный каталог и проверить его содержимое программой-детектором.
Если вы лечили (а не удаляли) какие-либо файлы, рекомендуется еще раз проверить компьютер всеми имеющимися детекторами на отсутствие вирусов - ведь некоторые файлы могли быть заражены несколькими вирусами, "наслаивающимися" один на другой.
Замечание. Norton AntiVirus для Windows поддерживает архивы формата .ZIP, Norton AntiVirus для Windows 95 - .ZIP и LZH, Dr.Web - .ARJ, .ZIP, .LZH, .RAR, .ZOO и .ICE, а Aidstest - не умеет искать вирусы в архивах вообще.
Если детекторы не находят вирусов
Если имеющиеся у вас программы-детекторы не находят вирусов, то либо эти программы-детекторы старые, а заразивший их вирус - новый и неизвестен программам-детекторам, либо вируса на вашем компьютере нет. Если вы использовали программу-ревизора, то для выяснения этого вопроса можно запустить данную программу и проанализировать изменения на дисках.
Запуск программы-ревизора
Если вы использовали программу-ревизора, например, ADinf из антивирусного комплекта DSAV фирмы "Диалог-Наука" или Norton AntiVirus в режиме инокуляции, то после запуска программ-детекторов следует (независимо от результата работы с программами-детекторами) запустить программу-ревизора и проанализировать изменения на дисках. Часто программа-ревизор сама определяет подозрительные симптомы: изменение в системных областях диска, изменения в файлах при неизменной дате модификации файла и т.д.
При обнаружении изменений программа-ревизор, как правило, предлагает их исправить (восстановить прежнее состояние), пропустить ( при следующей проверке снова будет выдано сообщение об изменении) или запомнить сведения о данном изменении (то есть признать его, так сказать, законным).
Лечение и его последствия
В подавляющем большинстве случаев программы-ревизоры восстанавливают прежнее состояние системных областей дисков и программных файлов правильно. Тем не менее, иногда лечение программами-ревизорами может привести к потере части (или даже всех) данных на диске. Это происходит, например, если вирус зашифровал какие-то сектора жесткого диска. Именно поэтому выше автор рекомендовал применять сначала программы-детекторы (которые, зная принципы работы данного вируса, могут расшифровать поврежденные участки диска), а лишь потом - программы-ревизоры.
Неправильное лечение программой-детектором
Иногда программы ревизоры выявляют, что излеченный программой-детектором исполнимый файл отличается от оригинала (того файла, который был до заражения). Обычно это означает, что программа-детектор неправильно распознала тип вируса и излечила файл неправильно. В этом случае лучше удалить такой файл и восстановить его из других источников (например, с дистрибутивных дисков).
Лечение дисков программами-детекторами
Лечение компьютера от заражения вирусом имеет существенные особенности, отличающие его, скажем, от устранения повреждений файловой системы, то есть системных данных,указывающих расположение данных на дисках.
- Мы уже говорили, что все действия по лечению компьютера от вирусов следует выполнять только после правильной загрузки компьютера с дискеты, запуская при этом только программы с защищенных от записи дискет и съемных дисков.
- Несмотря на то, что вирусы могут испортить файловую систему на дисках (например, отдельные диски могут быть не видны), программы для устранения повреждений на дисках типа NDD, UnFormat и т.д., следует применять в последнюю очередь. Сначала надо использовать антивирусные программы-детекторы, так как они лучше знают, как именно конкретный вирус портит файловую систему. Более того, для некоторых видов вирусов (вирусов типа DIR, вирусов, шифрующих информацию на дисках и т.д.) после лечения программами типа NDD или UnFormat восстановить информацию на дисках будет невозможно.
- Обнаружение и излечение от какого-либо вируса не означает, что компьютер "здоров" - компьютер мог быть заражен несколькими вирусами. Поэтому по окончании лечения надо обязательно еще раз проверить компьютер всеми имеющимися детекторами на отсутствие вирусов. Кстати, даже это не гарантирует отсутствия вирусов - ведь компьютер может быть заражен вирусом, неизвестным имеющимся у вас программам-детекторам.
Для лечения компьютера надо поочередно проверить с помощью имеющихся у вас программ-детекторов все логические диски, расположенные на жестком диске. Сначала, чтобы оценить ситуацию, желательно запускать программы-детекторы в диагностическом режиме, без лечения или удаления зараженных объектов.
Выяснение сведений о вирусе
Если какая-либо из программ-детекторов сообщит о том, что она нашла известный ей вирус, то желательно прочесть в ее документации или встроенном справочнике сведения о данном типе вирусов. Например, в комплект поставки программ-детекторов Aidstest и Dr.Web входят текстовые файлы с описаниями знакомых им вирусов. Сведения о вирусах позволят вам оценить возможные последствия заражения и выбрать необходимые меры по их устранению. Например, если компьютер оказался заражен неопасным загрузочным вирусом, то кроме удаления вируса с жесткого диска и дискет, которыми вы пользовались, делать ничего не надо. А устранение последствий заражения вирусом, изменяющим случайно выбранные участки диска, могут быть гораздо серьезнее - обычно при этом приходиться заново устанавливать все пакеты программ с дистрибутивов, а собственные данные - с резервных копий.
Удаление вирусов
Если какая-либо из программ-детекторов обнаружила вирус, то следует с помощью этой программы излечить или удалить зараженные объекты. Как правило, для системных областей диска программа-детектор предлагает выбрать их излечение или оставление без изменений, а для файлов - лечение, удаление или оставление без изменений. Удаление зараженных файлов обычно предпочтительнее их лечения, если зараженный файл входит в пакет программ, который можно заново установить с дистрибутивных дисков.
Чтобы не пропустить вирус в каком-либо файле, желательно задать режим поиска вирусов во всех файлах, а не только в программных файлах, а также режим поиска в архивах. Если вы используете архивы видов, не поддерживаемых программой-детектором, то может потребоваться распаковать архив во временный каталог и проверить его содержимое программой-детектором.
Если вы лечили (а не удаляли) какие-либо файлы, рекомендуется еще раз проверить компьютер всеми имеющимися детекторами на отсутствие вирусов - ведь некоторые файлы могли быть заражены несколькими вирусами, "наслаивающимися" один на другой.
Замечание. Norton AntiVirus для Windows поддерживает архивы формата .ZIP, Norton AntiVirus для Windows 95 - .ZIP и LZH, Dr.Web - .ARJ, .ZIP, .LZH, .RAR, .ZOO и .ICE, а Aidstest - не умеет искать вирусы в архивах вообще.
Если детекторы не находят вирусов
Если имеющиеся у вас программы-детекторы не находят вирусов, то либо эти программы-детекторы старые, а заразивший их вирус - новый и неизвестен программам-детекторам, либо вируса на вашем компьютере нет. Если вы использовали программу-ревизора, то для выяснения этого вопроса можно запустить данную программу и проанализировать изменения на дисках.
Запуск программы-ревизора
Если вы использовали программу-ревизора, например, ADinf из антивирусного комплекта DSAV фирмы "Диалог-Наука" или Norton AntiVirus в режиме инокуляции, то после запуска программ-детекторов следует (независимо от результата работы с программами-детекторами) запустить программу-ревизора и проанализировать изменения на дисках. Часто программа-ревизор сама определяет подозрительные симптомы: изменение в системных областях диска, изменения в файлах при неизменной дате модификации файла и т.д.
При обнаружении изменений программа-ревизор, как правило, предлагает их исправить (восстановить прежнее состояние), пропустить ( при следующей проверке снова будет выдано сообщение об изменении) или запомнить сведения о данном изменении (то есть признать его, так сказать, законным).
Лечение и его последствия
В подавляющем большинстве случаев программы-ревизоры восстанавливают прежнее состояние системных областей дисков и программных файлов правильно. Тем не менее, иногда лечение программами-ревизорами может привести к потере части (или даже всех) данных на диске. Это происходит, например, если вирус зашифровал какие-то сектора жесткого диска. Именно поэтому выше автор рекомендовал применять сначала программы-детекторы (которые, зная принципы работы данного вируса, могут расшифровать поврежденные участки диска), а лишь потом - программы-ревизоры.
Неправильное лечение программой-детектором
Иногда программы ревизоры выявляют, что излеченный программой-детектором исполнимый файл отличается от оригинала (того файла, который был до заражения). Обычно это означает, что программа-детектор неправильно распознала тип вируса и излечила файл неправильно. В этом случае лучше удалить такой файл и восстановить его из других источников (например, с дистрибутивных дисков).
Всего комментариев 0
