Действия при заражении вирусом (окончание)
(Информация датирована 1996 г.)
Что делать после лечения
После того, как вы выявили и удалили с компьютера вирус, надо выполнить следующие действия.
Проверка файловой системы
Следует проверить целостность файловой системы и поверхности диска с помощью программы NDD. Если повреждения файловой системы значительны, то целесообразно скопировать с диска на дискеты (или иные носители) все нужные файлы, резервных копий которых не имеется, заново отформатировать диск, а затем заново установить все пакеты программ с дистрибутивов, а собственные данные - с резервных копий.
Восстановление загрузки с жесткого диска
Надо загрузить компьютер с жесткого диска. Если компьютер не загружается, можно восстановить системные файлы и загрузочный сектор логического диска С:, загрузившись с дискеты и введя команду SYS C:.
Сравнение файлов с резервной копией
Многие вирусы не только размножаются, но и портят данные. Если вы не уверены в том, что вирус ничего не испортил, следует сравнить файлы в резервных копиях с соответствующими файлами на диске. Большинство программ резервного копирования имеют режим сравнения резервной копии с соответствующими файлами на диске. Если вы обнаружите повреждения в файлах, то есть изменения, которых вы не делали, следует восстановить поврежденные файлы из резервных копий. В этом случае желательно также заново установить используемые пакеты программ с дистрибутивных дисков, так как вирус мог повредить и эти пакеты программ.
Замечания. 1. Программа ARJ тоже имеет режим сравнения содержимого архива с соответствующими файлами на диске.
2. Часто повреждение файла вирусом можно опознать по тому, что у файла изменилось содержимое, а дата и время последней модификации - нет.
Проверка архивов
Если обнаружившая вирус программа-детектор не умеет обрабатывать файлы архивов используемого вами типа, следует проверить содержащиеся на дисках компьютера архивы, распаковывая их по очереди во временный каталог и проверяя содержимое этого каталога программой-детектором.
Проверка дискет
Если вы в тот период, когда компьютер был заражен вирусом, работали с дискетами или съемными дисками, на которых не была установлена защита от записи, следует проверить эти дискеты и диски на наличие вирусов.
Установка антивирусных программ
Потребность в лечении компьютера от вирусов, а тем более, тяжелые последствия заражения вирусом, как правило, связаны с несоблюдением элементарных правил "компьютерной гигиены", описанных ранее. Если вы больше не хотите лечить компьютер от вирусов, установите на компьютер антивирусные программы и выполняйте меры антивирусной профилактики (проверка всех полученных извне данных программами-детекторами, ежедневная проверка жесткого диска программами-ревизорами, использование резидентной программы-сторожа, регулярное обновление версий антивирусных программ и т.д.).
Особые случаи
При лечении компьютера от вирусов возможны самые сложные случаи, некоторые из которых описаны ниже.
Если вирус не найден
Если вы уверены, что на компьютере имеется вирус, а программы-детекторы его не обнаруживают, возможно, компьютер заражен новым вирусом или у вас устаревшие версии программ-детекторов. Последние некоммерческие версии (то есть версии двухмесячной давности) антивирусных программ Aidstest и Dr.Web фирмы "Диалог-Наука" можно безплатно списать по модему с FTP-сервера ftp.kiam1.rssi.ru или с некоммерческой линии BBS фирмы "Диалог-Наука" (095)938-28-56. В фирме можно приобрести и годовой абонемент, дающий право на оперативное получение самых последних версий этих программ по электронной почте или через BBS фирмы "Диалог-Наука". Последние версии базы данных со сведениями о вирусах для программы Norton AntiVirus можно безплатно списать по модему с FTP-сервера ftp.symantec.com или с WWW-сервера www.symantec.com.
Если вирус все-таки не обнаруживается,можно предпринять следующие меры:
Иногда программы-детекторы не могут правильно восстановить загрузочный сектор диска или главную загрузочную запись жесткого диска. При этом обычно выдается соответствующее сообщение, например:
Если диски не видны
Если вирус испортил системные области диска или содержимое CMOS-памяти, то жесткий диск или отдельные его логические диски могут быть вообще "не видны", в том числе и антивирусным программам. В этом случае следует восстановить со спасательной дискеты, созданной программой Rescue сначала содержимое CMOS-памяти, если это не помогает - то таблицы разбиения жесткого диска, а если и это не помогает - то загрузочной записи. Чтобы увидеть, помогло или нет то или иное действие, надо перезагрузить компьютер. После этого логические диски должны опознаваться, но содержимое этих дисков может быть все же недоступно (скажем, если вирус разрушил корневой каталог диска, то диск может представляться пустым или содержащим "мусор"). В этих случаях следует сначала попробовать запустить антивирусные программы-детекторы, а если они не помогут, то воспользоваться программами NDD и/или UnFormat.
Замечания. 1. Еслиспасательной дискеты вы не создавали (ай-яй-яй, как нехорошо), то содержимое CMOS- памяти придется восстанавливать вручную с помощью программы конфигурирования компьютера, таблицы разбиения жесткого диска - с помощью команд FDISK /MBR и (после перезагрузки) NDD /REBUILD, а загрузочных записей - с помощью команды SYS. Однако лучше сначала посмотреть на содержимое жесткого диска программой DiskEdit (если вы понимаете правила размещения данных на жестком диске), чтобы выяснить, что же с жестким диском произошло.
2. Иногда восстановление системных областей диска приводит к потере части данных (или всех данных) на диске - например, если вирус зашифровал какие-то сектора диска.
Что делать после лечения
После того, как вы выявили и удалили с компьютера вирус, надо выполнить следующие действия.
Проверка файловой системы
Следует проверить целостность файловой системы и поверхности диска с помощью программы NDD. Если повреждения файловой системы значительны, то целесообразно скопировать с диска на дискеты (или иные носители) все нужные файлы, резервных копий которых не имеется, заново отформатировать диск, а затем заново установить все пакеты программ с дистрибутивов, а собственные данные - с резервных копий.
Восстановление загрузки с жесткого диска
Надо загрузить компьютер с жесткого диска. Если компьютер не загружается, можно восстановить системные файлы и загрузочный сектор логического диска С:, загрузившись с дискеты и введя команду SYS C:.
Сравнение файлов с резервной копией
Многие вирусы не только размножаются, но и портят данные. Если вы не уверены в том, что вирус ничего не испортил, следует сравнить файлы в резервных копиях с соответствующими файлами на диске. Большинство программ резервного копирования имеют режим сравнения резервной копии с соответствующими файлами на диске. Если вы обнаружите повреждения в файлах, то есть изменения, которых вы не делали, следует восстановить поврежденные файлы из резервных копий. В этом случае желательно также заново установить используемые пакеты программ с дистрибутивных дисков, так как вирус мог повредить и эти пакеты программ.
Замечания. 1. Программа ARJ тоже имеет режим сравнения содержимого архива с соответствующими файлами на диске.
2. Часто повреждение файла вирусом можно опознать по тому, что у файла изменилось содержимое, а дата и время последней модификации - нет.
Проверка архивов
Если обнаружившая вирус программа-детектор не умеет обрабатывать файлы архивов используемого вами типа, следует проверить содержащиеся на дисках компьютера архивы, распаковывая их по очереди во временный каталог и проверяя содержимое этого каталога программой-детектором.
Проверка дискет
Если вы в тот период, когда компьютер был заражен вирусом, работали с дискетами или съемными дисками, на которых не была установлена защита от записи, следует проверить эти дискеты и диски на наличие вирусов.
Установка антивирусных программ
Потребность в лечении компьютера от вирусов, а тем более, тяжелые последствия заражения вирусом, как правило, связаны с несоблюдением элементарных правил "компьютерной гигиены", описанных ранее. Если вы больше не хотите лечить компьютер от вирусов, установите на компьютер антивирусные программы и выполняйте меры антивирусной профилактики (проверка всех полученных извне данных программами-детекторами, ежедневная проверка жесткого диска программами-ревизорами, использование резидентной программы-сторожа, регулярное обновление версий антивирусных программ и т.д.).
Особые случаи
При лечении компьютера от вирусов возможны самые сложные случаи, некоторые из которых описаны ниже.
Если вирус не найден
Если вы уверены, что на компьютере имеется вирус, а программы-детекторы его не обнаруживают, возможно, компьютер заражен новым вирусом или у вас устаревшие версии программ-детекторов. Последние некоммерческие версии (то есть версии двухмесячной давности) антивирусных программ Aidstest и Dr.Web фирмы "Диалог-Наука" можно безплатно списать по модему с FTP-сервера ftp.kiam1.rssi.ru или с некоммерческой линии BBS фирмы "Диалог-Наука" (095)938-28-56. В фирме можно приобрести и годовой абонемент, дающий право на оперативное получение самых последних версий этих программ по электронной почте или через BBS фирмы "Диалог-Наука". Последние версии базы данных со сведениями о вирусах для программы Norton AntiVirus можно безплатно списать по модему с FTP-сервера ftp.symantec.com или с WWW-сервера www.symantec.com.
Если вирус все-таки не обнаруживается,можно предпринять следующие меры:
- может быть,вируса все-таки нет и зря безпокоиться не надо? Посоветуйтесь с более опытными специалистами;
- как известно, самое надежное средство от головной боли - гильотина. Скопируйте с зараженного диска на дискеты (или иные носители) все созданные вами файлы, резервных копий которых не имеется (кроме исполнимых файлов, ими придется пожертвовать), заново отформатируйте жесткий диск, а затем заново установите все пакеты программ с дистрибутивов, а собственные данные - с резервных копий;
- можно воспользоваться предоставляемыми фирмой "Диалог-Наука" услугами скорой антивирусной помощи с выездом специалиста на место. Естественно, это делается далеко не безплатно. Информацию по этому поводу можно получить по тел. (095)938-28-55, 938-29-70;
- та же фирма изготавливает по заказам клиентов новые версии программ Aidstest и Dr.Web, обнаруживающие и удаляющие новые вирусы.
Иногда программы-детекторы не могут правильно восстановить загрузочный сектор диска или главную загрузочную запись жесткого диска. При этом обычно выдается соответствующее сообщение, например:
Возможно некорректное лечение загрузочного сектора! Продолжить лечение?Это сообщение может быть вызвано тем, что исходная главная загрузочная запись (Master Boot Record, MBR) или загрузочный сектор (Boot Sector) диска не были найдены в секторе, где вирус обычно их "прячет". Причиной тому может быть либо проведенная кем-либо модификация вируса, либо заражение компьютера несколькими загрузочными вирусами. В подобных случаях обычно лучше отказаться от лечения и восстановить системные области диска другими средствами, например:
- другой программой-детектором, если она лучше знает данную модификацию вируса;
- со спасательной дискеты, созданной программой Resue, если вы сохранили системные области диска на спасательную дискету;
- командой SYS, если поврежден оказался загрузочный сектор диска;
- командами FDISK /MBR и затем, после перезагрузки, NDD /REBUILD, если повреждены таблицы разбиения жесткого диска.
Если диски не видны
Если вирус испортил системные области диска или содержимое CMOS-памяти, то жесткий диск или отдельные его логические диски могут быть вообще "не видны", в том числе и антивирусным программам. В этом случае следует восстановить со спасательной дискеты, созданной программой Rescue сначала содержимое CMOS-памяти, если это не помогает - то таблицы разбиения жесткого диска, а если и это не помогает - то загрузочной записи. Чтобы увидеть, помогло или нет то или иное действие, надо перезагрузить компьютер. После этого логические диски должны опознаваться, но содержимое этих дисков может быть все же недоступно (скажем, если вирус разрушил корневой каталог диска, то диск может представляться пустым или содержащим "мусор"). В этих случаях следует сначала попробовать запустить антивирусные программы-детекторы, а если они не помогут, то воспользоваться программами NDD и/или UnFormat.
Замечания. 1. Еслиспасательной дискеты вы не создавали (ай-яй-яй, как нехорошо), то содержимое CMOS- памяти придется восстанавливать вручную с помощью программы конфигурирования компьютера, таблицы разбиения жесткого диска - с помощью команд FDISK /MBR и (после перезагрузки) NDD /REBUILD, а загрузочных записей - с помощью команды SYS. Однако лучше сначала посмотреть на содержимое жесткого диска программой DiskEdit (если вы понимаете правила размещения данных на жестком диске), чтобы выяснить, что же с жестким диском произошло.
2. Иногда восстановление системных областей диска приводит к потере части данных (или всех данных) на диске - например, если вирус зашифровал какие-то сектора диска.
Всего комментариев 0
