Для проверки жёстких дисков и лечения
заражённых файлов предпочтительнее использовать загрузку с заведомо
чистой от вирусов системной дискеты, защищённой от записи, так как
вирусы, уже находящиеся в оперативной памяти, могут противодействовать
антивирусным программам. Причём необходимо применять "холодную"
перезагрузку, т.е. использовать кнопку RESET на системном блоке или
выключение-включение питания, так как многие вирусы умеют переживать
"горячую" перезагрузку по нажатию клавиш <Ctrl>+<Alt>+<Del> и продолжают
оставаться в оперативной памяти компьютера. Выполняя перезагрузку
операционной системы с дискеты, будьте внимательны - существуют коварные
вирусы, способные выполнять даже "холодную" перезагрузку под своим
контролем. Эти вирусы изменяют содержимое CMOS-памяти, отключая НГМД. В
процессе нормальной работы они временно подключают НГМД для выполнения
операций записи или чтения, а затем отключают опять. Если пользователь
вставит системную дискету и перезагрузит компьютер, загрузка будет
выполняться с жёсткого диска, так как в CMOS-памяти отмечено, что
компьютер якобы не оборудован накопителями НГМД. Таким образом, вирус
получит управление и сможет полностью контролировать дальнейший процесс
загрузки операционной системы с дискеты. Для пользователя всё выглядит
как обычно - он видит, что операционная система загружается с дискеты,
но вирус уже "сидит" в оперативной памяти. Поэтому при перезагрузке
убедитесь, что содержимое CMOS-памяти установлено правильно. Для этого
запустите программу SETUP, которая вызывается, как правило, нажатием
клавиши <Del> в начальный период загрузки, и убедитесь, что тип НГМД
указан правильно.
Рекомендуется переименовать антивирусную программу DRWEB.EXE (для
маскировки запуска Doctor Web от резидентных вирусов, контролирующих
работу DRWEB.EXE). При этом необходимо также переименовать файлы
DRWEB.INI, DRWEB.HL1 и DRWEB.HL2 (сохраняя расширения имён).
Проверьте, задействована ли в настройках ваших MS Word 97 и MS Excel 97
защита от макровирусов. Для этого надо войти в меню "Сервис", выбрать
пункт "Параметры" и в открывшемся окне во вкладке "Общие" посмотреть,
отмечена ли галочкой опция "защита от вирусов в макросах" (если нет, то
установите её). При включённой защите при открытии документа,
содержащего макросы, будет появляться предупреждающее сообщение и можно
будет отказаться от выполнения макрокоманд. Подавляющее большинство
документов макросов не содержит, поэтому соглашайтесь выполнять
макрокоманды только в том случае, если уверены, что они там и должны
быть. Если сомневаетесь, то проверяйте документы с помощью антивирусных
программ.
Как известно, вирус может содержаться только в файлах, которым
передаётся управление: программы, динамические библиотеки, драйверы,
командные файлы, скрипты, документы и шаблоны с макросами, то есть файлы
с расширениями COM, EXE, DLL, DRV, VXD, SYS, BAT, DOC, DOT, XLS и др.
Таким образом, например, обычный текстовый файл (с расширением TXT)
можно запускать без опасений получить заразу - TXT-файл будет просто
открыт в Блокноте. Однако, благодаря тому, что в Windows 9x имя файла
может содержать несколько точек (расширением считаются символы после
последней точки) и по умолчанию задано "Не показывать расширения для
зарегистрированных типов файлов", некоторые вирусописатели рассылают
свои творения в письмах со вложенным файлом, имеющим имя, содержащее
перед расширением символы .TXT или что-нибудь другое безобидное.
Последний пример - вирус Love Letter, который представляет собой скрипт
VBS (Visual Basic Script) и содержится в файле с именем
LOVE-LETTER-FOR-YOU.TXT.vbs. Чтобы всегда видеть истинное расширение
файла и не активизировать вирус, посчитав его обычным текстовым файлом,
запустите Проводник, в меню "Вид" выберете пункт "Свойства папки",
перейдите на вкладку "Вид" и снимите галку "Не показывать расширения для
зарегистрированных типов файлов".
Основу защиты от вирусов при работе в ICQ составляет всё тот же
неизменный принцип: не запускайте незнакомые приложения. Однако с
недавних пор изобретательные вредители придумали более изощрённый
способ, помогающий заставить пользователя нарушить это правило. Такая
"диверсия" основана на особенности отображения имён файлов в окне ICQ.
Соответствующее текстовое поле вмещает в себя только определённое
количество символов (около 64), и если имя файла длиннее, то в этом
случае отображаться будут только первые 64. Таким образом, исполняемый
файл может называться photo.jpg<необходимое количество знаков
табуляции>.exe и являться совершенно нормальным приложением с несколько
длинноватым именем. При получении подобного файла в строке имени вы
увидите только photo.jpg, и, предположив, что файл является обычной
фотографией, в которой вирусов быть не может по определению, смело
нажмёте на кнопку Open. Программа запустится, и заключённый в ней вирус
начнёт работать. Единственный совет, который можно дать в этом случае:
будьте осторожны, и сначала лучше сохраните полученный файл в отдельной
папке, а затем внимательно изучите его в окне Мой компьютер или
Проводник, чтобы убедиться, что он действительно представляет собой
именно то, о чём утверждал вам его отправитель.
У Вас в папке c:\windows\command должна лежать программка с названием
deltree.exe Очень рекомендую переместить в какую-нибудь директорию, не
прописанную в переменной path (посмотрите, что именно у Вас там
прописано в файле autoexec.bat). Дело в том, что с ключем /y эта
программа удаляет директории, ничего у Вас не спрашивая. Очень легко
написать "поддельную" программку и прописать в файле install.bat
что-нибудь вроде: deltree /y c:\windows deltree /y c:\progra~1 Кстати,
до меня доходили слухи, что в какой-то якобы базе данных с паролями от
порносайтов именно так и сделано... Так что будьте внимательнее!
Отключение кэша паролей.
Помогает избавиться от проблемы "утаскивания" и дальнейшего взлома ваших
сетевых и интернет паролей. Как известно, эти пароли хранятся в файле с
расширением PWL. Отключение кэша запрещает запись паролей в этот файл. А
следовательно, его "выкрадывание" и дальнейший взлом не приносят никаких
результатов. Единственное неудобство - это надобность вводить каждый раз
при коннекте в окно DialUp - Password пароль вручную. Но это всё же
лучше, чем "подарить" пароль и логин хакеру.
Итак. В реестре ищем строку (если её нету - пишем ручками):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies\Network
"DisablePwdCaching"=dword:00000001
Запоминаем произведённые изменения. Находим в каталоге Windows файл (или
файлы) с расширением PWL. Удаляем их. Перезагружаемся. Файл паролей хоть
и создаётся опять, но он пустой. Хе-хе пусть исчуть на здоровье :) Для
возврата в обратное состояние надо удалить строку параметра "DisablePwdCaching"=dword:00000001
Существуют вирусы (например, Win95.CIH), которые уничтожают содержимое
Flash BIOS, записывая в него случайные данные ("мусор"). В результате
после первой же перезагрузки компьютер перестаёт загружаться. И, как
правило, даже в промышленных условиях восстановить содержимое Flash BIOS
и вернуть работоспособность компьютеру достаточно сложно. Я РЕКОМЕНДУЮ
всем пользователям современных компьютеров установить ПЕРЕКЛЮЧАТЕЛЬ на
материнской плате компьютера в положение, запрещающее ЗАПИСЬ во Flash
BIOS! Иначе ВЫ
можете НАВСЕГДА ПОТЕРЯТЬ свой компьютер!
Игорь Данилов
http://wwwDialogNauka.ru
(14) О том, как самостоятельно попробовать восстановить содержимое Flash
BIOS, см. соответствующие советы в рубрике "8. BIOS". Кроме того,
современные варианты вируса Win95.CIH портят также информацию на жёстком
диске. О восстановлении её см. нижеприведённые советы.
Вниманию всех постpадавших от виpуса Win95.CIH!
Если у вас не загpужается компьютеp - не спешите фоpматиpовать винты!
Вся
инфоpмация пpекpасно восстанавливается! Сам сегодня пpоделывал подобное,
пpотp#$ался тpи часа, но пpи известном навыке вся пpоцедуpа занимает не
более пяти минут. Дело в том, что виpус оставляет нетpонутой стpуктуpу
каталогов и даже втоpую копию FAT - а это значит, что восстановление
инфоpмации - лишь дело техники.
В общих чеpтах пpоцедуpа восстановления выглядит следующим обpазом:
1. Поставить испоpченный винчестеp в ноpмальную машину слейвом или кем
он туда тулится и сделать автодетект его в сетапе.
2. загрузить DISKEDIT и посмотреть каким ФИЗИЧЕСКИМ диском он стал.
3. Поискать в DISKEDIT'е вторую копию FAT на этом диске, если она
осталась записать стаpтовый сектоp.
4. Поискать на этом диске точку входа корневой директории (ROOT). Так
как она идёт сpазу за 2 копией FAT, опpеделить pазмеp FAT в сектоpах.
5. Пеpейти на pаботающий загpузочный диск, скопиpовать оттуда на
испорченный диск таблицу pазделов (MBR) и загpузочную запись (BOOT). Это
будет пpимеpно 100 пеpвых сектоpов от начала диска. Коpоче - все сектоpа
до пеpвой копии FAT.
6. Скопиpовать с испорченного диска 2 копию FAT на место пеpвой. Длину
мы уже узнали в п.4.
7. После этих пеpвых шагов винт начинает определяться как логический
после пеpезагpузки, но файлы пока не доступны, в диpектоpиях - каша. Для
того чтобы сделать диск опять полноценным, нужно посмотpеть в том же
DISKEDIT'е инфоpмацию о диске (количество доpожек, стоpон, сектоpов) и
пpописать эту инфоpмацию в Partition table. Желательно в обе копии.
Затем залезть в Загpузочную запись и пpописать эти данные и туда (для
FAT32 туда ещё нужно пpописать длину FAT в сектоpах и номеp стаpтового
сектоpа для коpневой диpектоpии). Для этого пpидётся немножко посчитать.
Следует помнить, что BOOT
тоже в двух копиях, поэтому изменения желательно вносить в обе.
8. Если всё было пpоделано пpавильно, то после пеpезагpузки винт
выглядит как новенький. Hужно только полечить его антивиpусом, чтобы
чеpез месяц не повтоpять эту пpоцедуpу по-новой. ;-)
Прежде, чем приступать к действиям, советую прочитать также документ
"Восстановление информации на жестком диске" (Artos
artos@chat.ru), который находится на
сайте "Русские документы" (http://www.rusdoc.ru)
в разделе "Разное".
Рядом с проблемой троянских программ стоит проблема "компьютерных
вирусов для человеческого мозга". Что это такое? Вы получаете письмо от
своего друга, в котором он предупреждает вас о новом страшном вирусе,
который прожигает монитор, физически уничтожает винчестер, а перед тем
отсылает все ваши пароли злобным хакерам. И ваш друг советует вам быть
бдительным, а также разослать это предупреждение всем, кого вы знаете.
Этап воспроизводства вируса здесь поддерживается человеком! Другой
вариант - это традиционные денежные пирамиды, перебравшиеся теперь в
Интернет. Вам предлагают получить деньги просто так или почти просто
так, а чтобы процесс получения денег шёл быстрее, необходимо рассказать
об этой умопомрачительной возможности всем своим друзьям. Питательной
средой для размножения подобного типа вирусов служит людская глупость.