Утилита бесплатна, работает без установки, удивительно функциональна и выручала меня в самых различных ситуациях. Вирус, как правило, вносит изменения в реестр системы (добавление в автозагрузку, модификация параметров запуска программ и т.д.). Чтобы не копаться в системе, вручную исправляя следы вируса, стоит воспользоваться имеющейся в AVZ операцией "восстановление системы" (хотя и как антивирус утилита весьма и весьма неплоха, очень даже неплохо проверить утилитой диски на наличие вирусов).
Чтобы запустить восстановление, запускаем утилиту. Затем нажимаем файл - восстановление системы
и перед нами откроется такое окошко
отмечаем нужные нам галочки и жмем "Выполнить отмеченные операции"
1.Восстановление параметров запуска.exe, .com, .pif файлов
Данная микропрограмма восстанавливает реакцию системы на файлы exe, com, pif, scr.
Показания к применению: после удаления вируса перестают запускаться программы.
2.Сброс настроек префиксов протоколов Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки префиксов протоколов в Internet Explorer
Показания к применению: при вводе адреса типа www.yandex.ru идет его подмена на что-то вида www.seque.com/abcd.php?url=www.yandex.ru
3.Восстановление стартовой страницы Internet Explorer
Данная микропрограмма восстанавливает стартовую страницу в Internet Explorer
Показания к применению: подмена стартовой страницы
4.Сброс настроек поиска Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки поиска в Internet Explorer
Показания к применению: При нажатии кнопки «Поиск» в IE идет обращение к какому-то постороннему сайту
5.Восстановление настроек рабочего стола
Данная микропрограмма восстанавливает настройки рабочего стола. Восстановление подразумевает удаление всех активных элементов ActiveDesctop, обоев, снятие блокировок на меню, отвечающее за настройки рабочего стола.
Показания к применению: Исчезли закладки настройки рабочего стола в окне «Свойства:экран», на рабочем столе отображаются посторонние надписи или рисунки
6.Удаление всех Policies (ограничений) текущего пользователя
Windows предусматривает механизм ограничений действий пользователя, называемый Policies. Этой технологией пользуются многие вредоносные программы, поскольку настройки хранятся в реестре и их несложно создавать или модифицировать.
Показания к применению: Заблокированы функции проводника или иные функции системы.
7.Удаление сообщения, выводимого в ходе WinLogon
Windows NT и последующие системы в линейке NT (2000, XP) позволяют установить сообщение, отображаемое в ходе автозагрузки. Этим пользуется ряд вредоносных программ, причем уничтожение вредоносной программы не приводит к уничтожению этого сообщения.
Показания к применению: В ходе загрузки системы вводится постороннее сообщение.
8.Восстановление настроек проводника
Данная микропрограмма сбрасывает ряд настроек проводника на стандартные (сбрасываются в первую очередь настройки, изменяемые вредоносными программами).
Показания к применению: Изменены настройки проводника
9.Удаление отладчиков системных процессов
Регистрация отладчика системного процесса позволят осуществить скрытый запуск приложение, что и используется рядом вредоносных программ
Показания к применению: AVZ обнаруживает неопознанные отладчики системных процессов, возникают проблемы с запуском системных компонент, в частности после перезагрузки исчезает рабочий стол.
10.Восстановление настроек загрузки в SafeMode
Некоторые вредоносные программы, в частности червь Bagle, повреждают настройки загрузки системы в защищенном режиме. Данная микропрограмма восстанавливает настройки загрузки в защищенном режиме.
Показания к применению: Компьютер не загружается в защищенном режиме (SafeMode). Применять данную микропрограмму следует только в случае проблем с загрузкой в защищенном режиме .
11.Разблокировка диспетчера задач
Блокировка диспетчера задач применяется вредоносными программами для защиты процессов от обнаружения и удаления. Соответственно выполнение данной микропрограммы снимает блокировку.
Показания к применению: Блокировка диспетчера задач, при попытке вызова диспетчера задач выводится сообщение «Диспетчер задач заблокирован администратором».
12.Очистка списка игнорирования утилиты HijackThis
Утилита HijackThis хранит в реестре ряд своих настроек, в частности - список исключений. Поэтому для маскировки от HijackThis вредоносной программе достаточно зарегистрировать свои исполняемые файлы в списке исключений. В настоящий момент известен ряд вредоносных программ, использующих данную уязвимость. Микропрограмма AVZ выполняет очистку списка исключений утилиты HijackThis
Показания к применению: Подозрения на то, что утилита HijackThis отображает не всю информацию о системе.
13. Очистка файла Hosts
Очистка файла Hosts сводится к поиску файла Hosts, удалению из него всех значащих строк и добавлению стандартной строки «127.0.0.1 localhost».
Показания к применению: Подозрения на то, файл Hosts изменен вредоносной программой. Типичные симптомы - блокировка обновления антивирусных программ. Проконтролировать содержимое файла Hosts можно при помощи менеджера Hosts файла, встроенного в AVZ.
14. Автоматическое исправление настроек SPl/LSP
Выполняет анализ настроек SPI и в случае обнаружения ошибок производит автоматическое исправление найденных ошибок. Данную микропрограмму можно запускать повторно неограниченное количество раз. После выполнения данной микропрограммы рекомендуется перезагрузить компьютер. Обратите внимание! Данную микропрограмму нельзя запускать из терминальной сессии
Показания к применению: После удаления вредоносной программы пропал доступ в Интернет.
15. Сброс настроек SPI/LSP и TCP/IP (XP+)
Данная микропрограмма работает только в XP, Windows 2003 и Vista. Ее принцип работы основан на сбросе и пересоздании настроек SPI/LSP и TCP/IP при помощи штатной утилиты netsh, входящей в состав Windows. Обратите внимание! Применять сброс настроек нужно только в случае необходимости при наличие неустранимых проблем с доступом в Интернет после удаления вредоносных программ!
Показания к применению: После удаления вредоносной программы пропал доступ в Интернет и выполнение микропрограммы «14. Автоматическое исправление настроек SPl/LSP» не дает результата.
16. Восстановление ключа запуска Explorer
Восстанавливает системные ключи реестра, отвечающие за запуск проводника.
Показания к применению: В ходе загрузки системы не запускается проводник, но запуск explorer.exe вручную возможен.
17. Разблокировка редактора реестра
Разблокирует редактор реестра путем удаления политики, запрещающей его запуск.
Показания к применению: Невозможно запустить редактор реестра, при попытке выводится сообщение о том, что его запуск заблокирован администратором.
18. Полное пересоздание настроек SPI
Выполняет резервное копирование настроек SPI/LSP, после чего уничтожает их и создает по эталону, который хранится в базе.
Показания к применению: Тяжелые повреждения настроек SPI, неустранимые скриптами 14 и 15. Применять только в случае необходимости!
19. Очистить базу MountPoints
Выполняет очистку базы MountPoints и MountPoints2 в реестре. Данная операция нередко помогает в случае, когда после заражения Flash-вирусом в проводнике не открываются диски
Для выполнения восстановления необходимо отметить один или несколько пунктов и нажать кнопку «Выполнить отмеченные операции». Нажатие кнопки «ОК» закрывает окно.
На заметку:
Восстановление бесполезно, если в системе работает троянская программа, выполняющая подобные перенастройки - необходимо сначала удалить вредоносную программу, а затем восстанавливать настройки системы
На заметку:
Для устранения следов большинства Hijacker необходимо выполнить три микропрограммы - «Сброс настроек поиска Internet Explorer на стандартные», «Восстановление стартовой страницы Internet Explorer», «Сброс настроек префиксов протоколов Internet Explorer на стандартные»
На заметку:
Любую из микропрограмм можно выполнять несколько раз подряд без ущерба для системы. Исключения - «5.Восстановление настроек рабочего стола» (работа этой микропрограммы сбросит все настройки рабочего стола и придется заново выбирать раскраску рабочего стола и обои) и «10. Восстановление настроек загрузки в SafeMode» (данная микропрограмма пересоздает ключи реестра, отвечающие за загрузку в безопасном режиме).
Посвященный AVZ , хочу поделится с Вами еще рядом знаний по возможностям этой замечательной утилиты.
Сегодня речь пойдет о средствах восстановления системы, которые зачастую могут спасти Вам компьютеру жизнь после заражения вирусами и прочими ужасами жизни, а так же решить ряд системных проблем, возникающих в следствии тех или иных ошибок.
Полезно будет всякому.
Вводная
Перед тем как приступить, традиционно, хочу предложить Вам два формата материала, а именно: видеоформат или текстовый. Видео вот:
Ну, а текстовый ниже. Смотрите сами какой вариант Вам ближе.
Общее описание функционала программы
Что это же это за средства восстановления? Это набор микропрограмм и скриптов, которые помогают вернуть в рабочее состояние те или иные функции системы. Какие например? Ну, скажем, вернуть или редактор реестра, очистить файл hosts или сбросить настройки IE. В общем даю целиком и с описанием ( дабы не изобретать велосипед):
- 1. Восстановление параметров запуска.exe, .com, .pif файлов
Данная микропрограмма восстанавливает реакцию системы на файлы exe, com, pif, scr.
Показания к применению: после удаления вируса перестают запускаться программы. - 2. Сброс настроек префиксов протоколов Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки префиксов протоколов в Internet Explorer
Показания к применению: при вводе адреса типа www.yandex.ru идет его подмена на что-то вида www.seque.com/abcd.php?url=www.yandex.ru - 3. Восстановление стартовой страницы Internet Explorer
Данная микропрограмма восстанавливает стартовую страницу в Internet Explorer
Показания к применению: подмена стартовой страницы - 4. Сброс настроек поиска Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки поиска в Internet Explorer
Показания к применению: При нажатии кнопки "Поиск" в IE идет обращение к какому-то постороннему сайту - 5. Восстановление настроек рабочего стола
Данная микропрограмма восстанавливает настройки рабочего стола. Восстановление подразумевает удаление всех активных элементов ActiveDesctop, обоев, снятие блокировок на меню, отвечающее за настройки рабочего стола.
Показания к применению: Исчезли закладки настройки рабочего стола в окне "Свойства:экран", на рабочем столе отображаются посторонние надписи или рисунки - 6. Удаление всех Policies (ограничений)
текущего пользователя.
Windows предусматривает механизм ограничений действий пользователя, называемый Policies. Этой технологией пользуются многие вредоносные программы, поскольку настройки хранятся в реестре и их несложно создавать или модифицировать.
Показания к применению: Заблокированы функции проводника или иные функции системы. - 7. Удаление сообщения, выводимого в ходе WinLogon
Windows NT и последующие системы в линейке NT (2000, XP) позволяют установить сообщение, отображаемое в ходе автозагрузки. Этим пользуется ряд вредоносных программ, причем уничтожение вредоносной программы не приводит к уничтожению этого сообщения.
Показания к применению: В ходе загрузки системы вводится постороннее сообщение. - 8. Восстановление настроек проводника
Данная микропрограмма сбрасывает ряд настроек проводника на стандартные (сбрасываются в первую очередь настройки, изменяемые вредоносными программами).
Показания к применению: Изменены настройки проводника - 9. Удаление отладчиков системных процессов
Регистрация отладчика системного процесса позволят осуществить скрытый запуск приложение, что и используется рядом вредоносных программ
Показания к применению: AVZ обнаруживает неопознанные отладчики системных процессов, возникают проблемы с запуском системных компонент, в частности после перезагрузки исчезает рабочий стол. - 10. Восстановление настроек загрузки в SafeMode
Некоторые вредоносные программы, в частности червь Bagle, повреждают настройки загрузки системы в защищенном режиме. Данная микропрограмма восстанавливает настройки загрузки в защищенном режиме.
Показания к применению: Компьютер не загружается в защищенном режиме (SafeMode). Применять данную микропрограмму следует только в случае проблем с загрузкой в защищенном режиме. - 11. Разблокировка диспетчера задач
Блокировка диспетчера задач применяется вредоносными программами для защиты процессов от обнаружения и удаления. Соответственно выполнение данной микропрограммы снимает блокировку.
Показания к применению: Блокировка диспетчера задач, при попытке вызова диспетчера задач выводится сообщение "Диспетчер задач заблокирован администратором". - 12. Очистка списка игнорирования утилиты HijackThis
Утилита HijackThis хранит в реестре ряд своих настроек, в частности - список исключений. Поэтому для маскировки от HijackThis вредоносной программе достаточно зарегистрировать свои исполняемые файлы в списке исключений. В настоящий момент известен ряд вредоносных программ, использующих данную уязвимость. Микропрограмма AVZ выполняет очистку списка исключений утилиты HijackThis
Показания к применению: Подозрения на то, что утилита HijackThis отображает не всю информацию о системе. - 13. Очистка файла Hosts
Очистка файла Hosts сводится к поиску файла Hosts, удалению из него всех значащих строк и добавлению стандартной строки "127.0.0.1 localhost".
Показания к применению: Подозрения на то, файл Hosts изменен вредоносной программой. Типичные симптомы - блокировка обновления антивирусных программ. Проконтролировать содержимое файла Hosts можно при помощи менеджера Hosts файла, встроенного в AVZ. - 14. Автоматическое исправление настроек SPl/LSP
Выполняет анализ настроек SPI и в случае обнаружения ошибок производит автоматическое исправление найденных ошибок. Данную микропрограмму можно запускать повторно неограниченное количество раз. После выполнения данной микропрограммы рекомендуется перезагрузить компьютер. Обратите внимание! Данную микропрограмму нельзя запускать из терминальной сессии
Показания к применению: После удаления вредоносной программы пропал доступ в Интернет. - 15. Сброс настроек SPI/LSP и TCP/IP (XP+)
Данная микропрограмма работает только в XP, Windows 2003 и Vista. Ее принцип работы основан на сбросе и пересоздании настроек SPI/LSP и TCP/IP при помощи штатной утилиты netsh, входящей в состав Windows. Подробно про сброс настроек можно прочитать в базе знаний Microsoft - Обратите внимание! Применять сброс настроек нужно только в случае необходимости при наличие неустранимых проблем с доступом в Интернет после удаления вредоносных программ!
Показания к применению: После удаления вредоносной программы пропал доступ в Интернет и выполнение микропрограммы "14. Автоматическое исправление настроек SPl/LSP" не дает результата". - 16. Восстановление ключа запуска Explorer
Восстанавливает системные ключи реестра, отвечающие за запуск проводника.
Показания к применению: В ходе загрузки системы не запускается проводник, но запуск explorer.exe вручную возможен. - 17. Разблокировка редактора реестра
Разблокирует редактор реестра путем удаления политики, запрещающей его запуск.
Показания к применению: Невозможно запустить редактор реестра, при попытке выводится сообщение о том, что его запуск заблокирован администратором. - 18. Полное пересоздание настроек SPI
Выполняет резервное копирование настроек SPI/LSP, после чего уничтожает их и создает по эталону, который хранится в базе.
Показания к применению: Тяжелые повреждения настроек SPI, неустранимые скриптами 14 и 15. Применять только в случае необходимости! - 19. Очистить базу MountPoints
Выполняет очистку базы MountPoints и MountPoints2 в реестре.
Показания к применению: Данная операция нередко помогает в случае, когда после заражения Flash-вирусом в проводнике не открываются диски - На заметку
:
Восстановление бесполезно, если в системе работает троянская программа, выполняющая подобные перенастройки - необходимо сначала удалить вредоносную программу, а затем восстанавливать настройки системы
На заметку :
Для устранения следов большинства Hijacker необходимо выполнить три микропрограммы - "Сброс настроек поиска Internet Explorer на стандартные", "Восстановление стартовой страницы Internet Explorer", "Сброс настроек префиксов протоколов Internet Explorer на стандартные"
На заметку :
Любую из микропрограмм можно выполнять несколько раз подряд без ущерба для системы. Исключения - "5. Восстановление настроек рабочего стола" (работа этой микропрограммы сбросит все настройки рабочего стола и придется заново выбирать раскраску рабочего стола и обои) и "10. Восстановление настроек загрузки в SafeMode" (данная микропрограмма пересоздает ключи реестра, отвечающие за загрузку в безопасном режиме).
Полезно, не правда ли?
Теперь о том как пользоваться.
Загрузка запуск, использование
Собственно все просто.
- Качаем отсюда (или откуда-нибудь еще) антивирусную утилиту AVZ .
- Распаковываем архив с ней куда-нибудь куда Вам удобно
- Следуем в папку куда мы распаковали программу и запускаем там avz.exe .
- В окне программы выбираем "Файл " - "Восстановление системы" .
- Отмечаем галочками нужные пункты и давим в кнопочку "Выполнить отмеченные операции ".
- Ждем и наслаждаемся результатом.
Вот такие вот дела.
Послесловие
Надо сказать, что работает оно на ура и избавляет от ряда лишних телодвижений. Так сказать, все под рукой, быстро, просто и эффективно.
Спасибо за внимание;)
Сегодня я расскажу о том, как локализовать вирус, если он все-таки проник на ваш компьютер, как победить трояны и как восстановить систему после заражения руткитами, если все зашло слишком далеко.
Итак, если у вас есть подозрение на то, что компьютер заражен, первым делом вы должны выполнить следующие действия:
- отключить компьютер от сети интернет (вытащить UTP-кабель, погасить Wi-Fi);
- отключить от компьютера все внешние устройства (внешние жесткие диски, флешки, телефоны и прочее).
Все это необходимо сделать для изоляции зараженного компьютер от внешнего мира. Отключать компьютер нужно обязательно от доступа во внешний мир через интернет и от локальной внутренней сети, поскольку вредоносная программа практически со стопроцентной вероятностью попытается распространить себя на весь доступный ей сегмент.
К тому же если зловред является частью сети ботнет или содержит компоненты , то он будет бездействовать и активируется в тот момент когда поступит управляющая команда из внешней сети. Это застрахует нас и от утечки локальных данных в сеть, на пример, через DNS-туннелированные или подобные хакерские штуки.
Восстанавление реестра
Реестр Windows, начиная с самых первых версий ОС, остается критически важным компонентом системы, по сути представляя собой базу данных для хранения различных параметров и настроек рабочего окружения, установленного ПО и самой Windows. Логично, что нарушение работы реестра или его повреждение грозит неработоспособным состоянием ОС.
Сам реестр, который открывается штатной утилитой regedit, физически представлен несколькими файлами, хранящимися по пути %SystemRoot%\System32\config\. Это файлы с именами SYSTEM, SOFTWARE, SECURITY, SAM, DEFAULT без расширений и доступные только для системных процессов NT AUTHORITY\SYSTEM, LocalSystem. Но если реестр открывать через штатный редактор, то эти файлы предстанут в виде большого иерархического дерева.
Первое, что приходит на ум, - это, конечно же, сделать бэкапы этих файлов и при необходимости просто заменить битые на резервные копии. Но из-под загруженной ОС простым копированием выполнить это не удастся, а экспорт данных с использованием regedit может получиться неполноценным. Поэтому рассмотрим инструменты, которые помогут нам в этом деле.
Штатные инструменты Windows для восстановления реестра
«Из коробки» Windows, к сожалению, не имеет отдельного инструмента, позволяющего делать резервные копии реестра. Все, что может дать система, - это функциональность морально устаревшей NTBackUp родом из эпохи Windows XP / 2003 Server или в новых ОС Windows 7, 8, 10 ее реинкарнацию в виде « », предлагающей создать целиком образ системы (всей системы - не реестра!). Поэтому рассмотрим лишь небольшой пример действий в консоли восстановления, позволяющих восстановить реестр вручную. По сути это операции замены битых файлов на инфицированной системе оригинальными файлами реестра из заранее сделанной резервной копии.
Интерфейс утилиты NTBackUp
Загрузившись в Live CD режиме с установочного диска или с локально установленной консоли восстановления (для XP/2003), необходимо выполнить следующие команды, описанные самой Microsoft:
// Создаем резервные копии реестра системы
md tmp
copy c:\windows\system32\config\system c:\windows\tmp\system.bak
copy c:\windows\system32\config\software c:\windows\tmp\software.bak
copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak
copy c:\windows\system32\config\security c:\windows\tmp\security.bak
copy c:\windows\system32\config\default c:\windows\tmp\default.bak
// Удаляем битые файлы из системной директории ОС
delete c:\windows\system32\config\system
delete c:\windows\system32\config\software
delete c:\windows\system32\config\sam
delete c:\windows\system32\config\security
delete c:\windows\system32\config\default
// Копируем работоспособные файлы реестра из теневой копии
copy c:\windows\repair\system c:\windows\system32\config\system
copy c:\windows\repair\software c:\windows\system32\config\software
copy c:\windows\repair\sam c:\windows\system32\config\sam
copy c:\windows\repair\security c:\windows\system32\config\security
copy c:\windows\repair\default c:\windows\system32\config\default
Все, перезагружаем машину и смотрим на результат!
Продвинутые методы восстановления реестра
Как мы выяснили, у Windows нет достойного инструмента управления реестром. Поэтому посмотрим, что же нам могут предложить сторонние производители.
Окно утилиты TCPViewСписок сетевых служб и соотносящихся с ними резервированных портов для NT-шных систем можно посмотреть в файле %SystemRoot%\system32\drivers\etc\services - это тоже по сути текстовый файл без расширения, который доступен к просмотру любым блокнотом.
Окно утилиты Nirsoft CurrPortsИ напоследок для всего из описанного выше, что мы делали руками, можно использовать тулзы, к примеру . Данная утилита восстанавливает ключи реестра сетевых настроек системы со значениями по умолчанию. Помимо этого, она также:
- проверяет файл hosts на правильность указателя localhost (обязан ссылаться на адрес 127.0.0.1);
- создает бэкап текущих системных установок (по желанию пользователя);
- отключает все сетевые адаптеры и переустанавливает их параметры.
Окно утилиты WinSock XP Fix Нативная тулза с графическим интерфейсом , о которой мы говорили, выполняет то же самое, что и команды netsh int ip reset и netsh winsock reset. Аналогична ей тулза Reset-TCPIP, которая выполняет все описанные комбинации консольных команд под одним GUI.
Окно утилиты Reset-TCPIPЕще одна хорошая бесплатная тулза предназначена для исправления самых разных ошибок, связанных с работой сети и интернета в Windows. Краткий список ее возможностей:
- очистить и исправить файл hosts;
- включить Ethernet и беспроводные адаптеры сети;
- сбросить Winsock и протокол TCP/IP;
- очистить кеш DNS, таблицы маршрутизации, очистить статические IP подключений;
- перезагрузить NetBIOS.
Live CD как спасательный круг
И, продолжая нашу тему, мы просто не могли пройти мимо рассказа о Live CD сборках, предназначенных для восстановления системы. Изначально Livе CD позиционировался как инструмент для выполнения административных задач: подготовки жесткого диска, оперативного получения доступа к данным, хранящимся на дисках, и так далее. Сейчас же Live CD напоминают скорее универсальный спасательный круг для реанимации системы в случае различных падений, в том числе и после вирусной атаки. Главное их достоинство заключается в том, что все инструменты собраны под одним капотом и могут работать параллельно. Но есть и недостаток: чтобы загрузиться в Live CD режиме, нужно перезагружать машину, что в некоторых случаях для нас недопустимо.
Все известные антивирусные разработчики имеют бесплатные загрузочные диски для восстановления системы. Мы кратенько по ним пробежимся, но углубляться в детали не станем - мы же договорились в начале нашего материала, что будем использовать только те инструменты, которые не являются антивирусным ПО в чистом виде.
Мой лучший друг принёс мне посмотреть нетбук, на котором сурово погуляли вирусы, и попросил помочь почистить систему от зоопарка. Впервые увидел воочию забавную ветку в развитии вредоносного ПО: «вымогатели». Такие программы блокируют часть функций операционной системы и требуют отправить SMS сообщение для получения кода разблокировки. Лечение вышло не совсем тривиальным, и я подумал, что возможно эта история сбережёт кому-нибудь немного нервных клеток. Я постарался приводить ссылки на все сайты и утилиты, которые понадобились в ходе лечения.
В данном случае, вирус изображал из себя антивирусную программу Internet Security и требовал отправки SMS K207815200 на номер 4460. На сайте Лаборатории Касперского есть страница позволяющая сгенерировать коды ответа «вымогателям»: support.kaspersky.ru/viruses/deblocker
Тем не менее, после введения кода, функции ОС оставались заблокированными, а запуск любой антивирусной программы приводил к мгновенному открытию окна вируса, старательно эмулировавшего работу антивируса:
Попытки загрузиться в безопасных режимах приводили точно к такому же результату. Также дело осложняло то, что пароли на все учётные записи администраторов были пустые, а вход на компьютер по сети для администраторов с пустым паролем по умолчанию закрыт политикой.
Пришлось загружаться с USB Flash диска (в нетбуке по определению отсутствует привод для дисков). Самый простой способ сделать загрузочный USB-диск:
1. Форматируем диск в NTFS
2. Делаем раздел активным (diskpart -> select disk x -> select partition x -> active)
3. Используем утилиту \boot\bootsect.exe из дистрибутива Vista/Windows 2008/ Windows 7: bootsect /nt60 X: /mbr
4. Копируем все файлы дистрибутива (у меня под рукой был дистрибутив Windows 2008) на usb диск. Всё, можно грузиться.
Так как нам надо не устанавливать ОС, а лечить вирусы, копируем на диск набор бесплатных лечилок (AVZ , CureIt) и вспомогательных утилит (забегая вперёд, мне потребовалась Streams от Марка Руссиновича) и Far . Перезагружаем нетбук, в BIOS выставляем загрузку с USB.
Загружается программа установки Windows 2008, соглашаемся с выбором языка, Install now и после этого нажимаем Shift+F10. Появляется окно командной строки, из которого мы можем запускать наши антивирусные средства и искать заразу на системном диске. Тут я столкнулся с трудностью, CureIt ронял систему в синий экран смерти с руганью на ошибку работы с NTFS, а AVZ, хотя и отрабатывал, ничего не мог найти. Видимо вирус очень и очень свежий. Единственная зацепка - сообщение AVZ о том что обнаружен исполняемый код в дополнительном NTSF-потоке для одного из файлов в каталоге Windows. Мне это показалось странным и подозрительным, поскольку дополнительные потоки NTFS используются в очень специфических случаях и ничего исполняемого там храниться на нормальных машинах не должно.
Поэтому пришлось скачать утилиту Streams (http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx) от Марка и удалить этот поток. Размер его составлял 126464 байта, точно также как и dll-файлы которые вирус раскладывал на флеш-диски вставленные в систему.
После этого я при помощи Far проискал весь системный диск на предмет файлов такого же размера и обнаружил ещё 5 или 6 подозрительных файлов, созданных за последние 2-3 дня. Они точно так же были удалены. После этого CureIt смог отработать (видимо он спотыкался на дополнительных потоках) и успешно вычистил ещё два трояна:)
После перезагрузки всё заработало, дополнительные прогоны антивирусных сканеров ничего не обнаружили. При помощи AVZ были восстановлены политики, ограничивающие функции ОС. Другу было сделано строгое внушение о том, как важно пользоваться антивирусами, тем более что, есть много бесплатных (
A virus is a type of malicious software that penetrates system memory areas, code of other programs, and boot sectors. It is capable of deleting important data from a hard drive, USB drive or memory card.
Most users do not know how to recover files after a virus attack. In this article, we want to tell you how to do it in a quick and easy way. We hope that this information will be useful to you. There are two main methods you can use to easily remove the virus and recover deleted data after a virus attack.
Delete the virus using the command prompt
1) Click the “Start” button. Enter CMD in the search bar. You will see the “Command Prompt” at the top of the pop-up window. Press Enter.
2) Run the Command prompt and type in: “attrib –h –r –s /s /d driver_name\*.*”
After this step, Windows will start recovering the virus-infected hard drive, memory card or USB. It will take some time for the process to be completed.
To start Windows recovery, click the “Start” button. Type Restore in the search bar. In the next window click “Start System Restore” → “Next” and select the desired restore point.
Another variant of the path is “Control Panel” → “System” → “System Protection”. A recovery preparation window will appear. Then the computer will reboot and a message will appear saying “System Restore completed successfully.” If it did not solve your problem, then try rolling back to another restore point. That’s all to be said about the second method.
Magic Partition Recovery: Restoring Missing Files and Folders after a Virus Attack
For reliable recovery of files deleted by viruses , use Magic Partition Recovery. The program is based on direct low-level access to the disk. Therefore, it will bypass the virus blocking and read all your files.
Download and install the program, then analyze the disk, flash drive or memory card. After the analysis, the program displays the list of folders on the selected disk. Having selected the necessary folder on the left, you can view it in the right section.
Thus, the program provides the ability to view the contents of the disk in the same way as with the standard Windows Explorer. In addition to existing files, deleted files and folders will be displayed. They will be marked with a special red cross, making it much easier to recover deleted files.
If you have lost your files after virus attack, Magic Partition Recovery will help you restore everything without much effort.
