Вирусы и другой вредоносный код
       

Удаление вирусов


Если удалось определить имя процесса в памяти, принадлежащего вирусу, можно "исцелять" ПК. Производится перезагрузка ПК и освобождение памяти от вируса. Нужно проверить наличие запуска этого процесса в "Автозагрузке" кнопки "Пуск" всех пользователей. Также необходимо посмотреть наличие запуска в программе "Настройка системы" (команда msconfig). Автозагрузка - это не единственное место, где он может быть, но убедиться нужно. Дальше находятся все "измененные" EXE-файлы за последний месяц или лучше за два месяца с помощью программы поиска. Все найденное можно скопировать в один каталог. Дальше проверить программы на наличие в них вируса поможет файловый менеджер FAR (или Norton Commander). В коде программы ведется поиск строки

This program cannot be run in DOS mode или

This program must be run under Win32.

Необходимо отметить, что одна из этих строк обязательно присутствует в начале кода программы. Задача заключается в том, чтобы найти еще одну такую строку. Если строка найдена - значит, в этот файл внедрился вирус. Дальше нужно проверить все найденные файлы подобным способом. После того как вы узнали, какой из файлов заражен, они заменяются незараженными (выполняется с помощью простого копирования файлов). Для этого вам понадобится другой ПК без вируса. Если такого ПК нет, вам придется удалить зараженные файлы и переустановить те приложения (по необходимости и ОС), из которых вы их удалили (не делайте деинсталляцию программ, вы можете запустить вирус!).

В случае, когда вы не нашли процесса в памяти, то вирус у вас работает только в момент запуска зараженной программы и, выполнив свои действия, завершается. В ОС Windows 98/ME его можно увидеть в закладке "Завершенные процессы", а в Windows 2000/ХР увидеть нельзя (имея только встроенные средства). Бороться с ним нужно так же, как и в предыдущем случае, разве что имя процесса знать не нужно.

Когда вы выполнили все описанные выше действия по удалению вируса из ПК, а вирус снова размножается и работает, то, скорее всего, к вам попал загрузочный вирус. Его удаление в ОС Windows 98/ME происходит путем перезаписи загрузчика (команда FDISK /MBR). Ее можно выполнять и при работе в среде Windows (через сеанс MS-DOS). В случае с ОС Windows 2000/ХР нужны дискеты аварийного восстановления. Загрузившись из них, выполните команду:

Fixboot <имя загрузочного диска>



Содержание раздела