Восстановление загрузочных секторов

Восстановление файлов-документов и таблиц

Восстановление пораженных объектов

В большинстве случаев заражения вирусом процедура восстановления зараженных файлов и дисков сводится к запуску подходящего антивируса, способного обезвредить систему. Если же вирус неизвестен ни одному антивирусу, то достаточно отослать зараженный файл фирмам — производителям антивирусов и через некоторое время (обычно — несколько дней или недель) получить программу против вируса. Если же время не ждет, то обезвреживание вируса придется произвести самостоятельно.

Для обезвреживания Word и Excel достаточно сохранить всю необходимую информацию в формате недокументов и нетаблиц – наиболее подходящим является текстовый RTF-формат, содержащий практически всю информацию из первоначальных документов и не содержащий макросов. Затем следует выйти из Word или Excel, уничтожить все зараженные Word-документы, Excel-таблицы, NORMAL.DOT у Word и все документы/таблицы в StartUp-каталогах Word и Excel. После этого следует запустить Word или Excel и восстановить документы/таблицы из RTF-файлов.

В результате этой процедуры вирус будет удален из системы, а практически вся информация останется без изменений. Однако этот метод имеет ряд недостатков. Основной из них — трудоемкость конвертирования документов и таблиц в RTF-формат, если их число велико. К тому же в случае Excel необходимо отдельно конвертировать все Листы (Sheets) в каждом Excel -файле.

Второй недостаток – потеря невирусных макросов, используемых при работе.

Поэтому перед запуском описанной процедуры следует сохранить их исходный текст, а после обезвреживания вируса – восстановить необходимые макросы в первоначальном виде.

Восстановление секторов в большинстве случае в является довольно простой операцией и проделывается при помощи DOS’овской команды SYS (загрузочные сектора дискет и логических дисков винчестера) или командой FDISK/MBR (MasterBootRecord винчестера). Можно, конечно, воспользоваться утилитой FORMAT, однако практически во всех случаях команды SYS вполне достаточно.

Следует иметь в виду, что лечение секторов необходимо производить только при условии отсутствия вируса в оперативной памяти. Если копия вируса в памяти не обезврежена, то вполне вероятно, что вирус повторно заразит дискету или винчестер после того, как код вируса будет удален (даже если воспользоваться утилитой FORMAT).

Будьте крайне осторожны и при использовании FDISK/MBR. Эта команда заново переписывает код программы — загрузчика системы и не изменяет таблицу разбиения диска (DiskPartitionTable). Если же восстановление секторов при помощи SYS/FDISK невозможно, то следует разобраться в алгоритме работы вируса, обнаружить на диске первоначальный загрузочный/МВR-сектор и перенести его на законное место (для этого подходят NortonDiskEditor или AVPUTIL). При этом следует иметь в виду, что при перезаписи системных загрузчиков нужно соблюдать особую осторожность, поскольку результатом неправильного исправления сектора MBR или загрузочного сектора может быть потеря всей информации на диске (дисках).