Осторожно компьютерные вирусы

       

Как найти вирус


Программа Aidstest умеет обнаруживать вирусы без предварительной загрузки компьютера с чистой системной дискеты. Поэтому лучше всего записать программу Aidstest на жесткий диск компьютера и периодически проверять ей компьютер. Насколько часто нужно пользоваться Aidstest зависит от того, как и для чего используется компьютер. В большинстве случаев достаточно выполнять ежедневную проверку компьютера, включив вызов Aidstest в файл AUTOEXEC.BAT, а также отдельно проверять все новые файлы, записываемые на компьютер и все дискеты, которые в него вставляются. Особое внимание надо уделять проверке свободно распространяемого программного обеспечения, загруженного по электронной почте со станций BBS и FTP-серверов, а также дискетам, полученным от знакомых и друзей.

По мере появления новых вирусов выпускаются новые версии антивируса Aidstest. Чтобы обеспечить надежную защиту компьютера, всегда используйте последние версии антивируса

При ежедневной проверке компьютера можно ограничиться проверкой выполнимых файлов, имеющих расширения COM, EXE и SYS. Следующая команда проверяет загрузочные секторы и выполнимые файлы на диске C:

AIDSTEST C:

Программа отображает на экране наиболее важную информацию и начинает проверять сначала загрузочные сектора указанного диска, а затем выполнимые файлы. По окончании проверки на экране отображается краткая статистическая информация:

Проверка "C:" (метка тома: PROGRAMM)

___ "C:" ___

Проверено файлов:                 518

Заражено файлов:                   0

 

- начальных секторов:           0

Следов вирусов DIR:                              0

Если в ходе проверки на дисках компьютера или дискетах обнаружатся вирусы, на экране будут показаны имена зараженных файлов и названия заразивших их вирусов.

Проверка "A:" (метка тома: PROGRAMM)



Вирус в начальном секторе “FORM”

a:\C-639.COM - болен (Khizhnjak-639)

a:\COMMAND.COM - болен (V-475)

a:\FORMAT.COM - болен (Mini-129)

___ "A:" ___

Проверено файлов:                 28

Заражено файлов:                   3

 

- начальных секторов:           1

Следов вирусов DIR:                              0

В этот раз Aidstest обнаружил на нашей дискете сразу четыре вируса. Один загрузочный - FORM и три файловых - Khizhnjak-639, V-475, Mini-129. Возможно, на дискете есть еще и другие вирусы, вы обязательно должны повторить проверку дискеты антивирусом Doctor Web.

После обнаружения на диске вирусов в выполнимых файлах повторите проверку еще раз, добавив в командной строке Aidstest параметр /G. На этот раз антивирус проверит все файлы на диске. Не забывайте выполнять такую проверку, так как иногда пользователи создают резервные копии файлов, изменяя их расширение. Например, резервная копия выполнимого файла MAYRAIN.EXE может называться MAYRAIN.BAK или MAYRAIN.EX_.



c:\TETRA\REPORT.WEB - Ok

c:\TETRA\OVLOAD\KELA.EXE инфицирован TPE.Kela.4546

c:\TETRA\OVLOAD\EBBOI.COM инфицирован HelloUser.402

c:\TETRA\OVLOAD\APOC1.COM - Ok

c:\GAME\APOC1016.EXE - Ok

c:\GAME\GREEN.COM - Ok

c:\GAME\KLOM.EXE инфицирован XAM.278

c:\GAME\DOOM2DTH.EXE инфицирован Doom.666

c:\GAME\GKBEC.COM инфицирован Beer.3490

c:\NET\LOG.EXE инфицирован Novell.3120

Вместе с антивирусом Doctor Web поставляется файл с описаниями известных вирусов VIRLIST.WEB. Перед тем как удалять обнаруженные вирусы, рекомендуется прочитать их описания. Файл VIRLIST.WEB может поставляться в архиве VIR-WEB.LZH. Для восстановления файлов из этого архива используйте архиватор LHA.

При проверке компьютера в режиме эвристического анализа, Doctor Web, может сообщить о том, что файл инфицирован неизвестным вирусом. Название неизвестного вируса составляется из слова Virus и одного или нескольких терминов, описанных в следующей таблице:

Термин

Обнаружен

COM

Вирус, заражающий COM-файлы

EXE

Вирус, заражающий EXE-файлы

TSR

Резидентный вирус

BOOT

Вирус, заражающий загрузочные секторы дисков

CRYPT

Зашифрованный или полиморфный вирус

Названия обнаруженных таким образом вирусов могут выглядеть следующим образом:

D:\PROGRESS\DID\NCAA.EXE возможно инфицирован COM.CRYPT.Virus

D:\PROGRESS\FOXWOOD\README.EXE возможно инфицирован EXE.TSR.Virus

D:\FORMER\LOOM.EXE возможно инфицирован COM.EXE.TSR.CRYPT.Virus

Эти сообщения означают, что эвристический анализ данных файлов обнаружил подозрительные участки кода, характерные для вирусов. Такие файлы нужно передать специалистам для дальнейшего изучения.


Содержание раздела