Ръчно чистене на вируси

В последно време няколко програми са се утвърдили като добри и са предпочитани от потребителите - Norton Antivirus, Kaspersky Antivirus, Panda Antivirus, F-Prot, F-Secure, Anti Virus Grisoft (AVG), McAfee VirusScan. Ако някой се интересува от повече информация може да прочете тази тема във форума на Data.bg. Важно да се знае е, че каквато и антивирусна програма да използвате, трябва редовно да обновявате вирусните дефиниции.

Аз лично ползвам Panda Antivirus Platinum 6.0, без да твърдя, че това е най-добрата, но на мен досега ми върши чудесна работа. Като резерва използвам безплатната ДОС-овска версия на F-Prot по начина, който ще опиша по-долу. Сканиращата машина при нея е същата както и при Windows-ката версия, но няма Updater, Permanent Protection и Scheduler. Това няма значение, тъй като в случая то не е необходимо, а самия скенер върши идеална работа при ръчното сканиране. Програмата може да се изтегли от FTP сайта на Frisk Software, като самата програма е файла f-prot.zip. Файловете за ъпдейт на вирусните дефиниции се намират на същото място, като те са файловете macrdef2.zip, sign.zip и sign2.zip. Програмата няма инсталация, просто се разархивира в отделна директория, най-добре C:\F-Prot. В същата директория се разархивират и ъпдейтите, като новите файлове заместват старите.

Настоящата статия има за цел да даде една примерна схема за ръчно чистене на вируси, в случаите, когато основната антивирусна програма по една или друга причина не може сама да ги отстрани.

Това е, когато антивирусната програма открие вирус, но не е в състояние да го изтрие сама. В повечето случаи само го преименува, като по този начин се стреми да го деактивира. При Panda преименуваният файл получава разширението “.vir”, например файл, който преди се е казвал “file.dll”, бива преименуван на “file_dll.vir”. По този начин програмата го маркира като вирус.

Обикновено самият вирусен файл не може да се изтрие, защото е стартирал някакъв процес, който все още е активен. За да се изтрие вируса трябва процесът преди това да бъде затворен. За целта може да се използва програмката Process Explorer, която дава доста по-подробно описание на стартираните процеси, отколкото Windows-кия Task Manager. От репорта на антивирусната програма се вижда в коя точно директория се намира преименуваният файл, затваря се съмнителния процес и се опитва след това да изтрие самия вирус.

Трябва много да се ВНИМАВА когато се трият ръчно файлове от С:, защото ако се изтрие някой файл, който е необходим за нормалната работа на Windows-а, той после може да не иска да работи и компютъра да трябва да се преинсталира.

 

2 вариант

Това е, когато не може да се изтрие ръчно даден вирусен файл през Windows. По една или друга причина процесът, който този файл стартира не може да бъде затворен и затова и самият вирус не може да бъде изтрит. В такъв случай се зарежда ДОС от чиста дискета и се използва ДОС-овския F-Prot. Преди това обаче трябва да си свалите последните вирусни дефиниции. Потребителите, които са с FAT32 файлова система могат да използват зареждаща дискета за Windows 98 (MSDOS Boot for Win98), а тези които са с NTFS могат да използват програмката NTFS Floppy Setup, която прави зареждаща дискета специално за такава файлова система. Важно е обаче зареждането да става от дискета, която е чиста, т.е. ако има съмнение, че компютърът е заразен с вирус и нямате готова дискета, най-добре е правенето на такава дискета да става на друг компютър, за който е сигурно, че е чист. Преди зареждането трябва да нагласите в БИОС първо зареждащо устройство да бъде флопито.

След като сте заредили ДОС отивате с директорията, където сте сложили F-Prot и стартирате програмата ръчно. Тези, които не знаят с какви команди се навигира в ДОС могат да прочетат тази статия.

В настройките се дава възможно най-щателното сканиране на харддиска, общо взето това са опциите, които се виждат и на фигурата. Това отнема доста време. В голям процент от случаите програмата ще открие вируса и ще го отстрани. След това компютърът се рестартира и се зарежда Windows. Най-добре е отново да се уверите, че вирусът е изтрит.

Това е комбинация от втория и първия вариант, когато и двете антивирусни програми не могат да отстранят вируса.

Зарежда се ДОС от чиста дискета по описания по-горе начин. От репорта на антивирусната програма сте си записали в коя точно директория се намира вирусният файл и чрез поредица от команди стигате до нея. Трябва да се знае, че ДОС не разпознава имена на директории и файлове, които са по-дълги от 8 символа без разширението. Също така не разпознава и интервали в имената. В тези случаи ДОС-ът взима първите 6 символа от оригиналното име и след това прибавя символите ~1. По този начин общият брой на символи в името става 8. Ако например в директорията Program Files има файл, който се казва tovaevirus.vir, ДОС ще ги разпознае като директория PROGRA~1, и файл tovaev~1.vir. Това е важно да се знае, когато се пишат командите в ДОС, защото ако не се напише името такова, каквото го разпознава ДОС-а, той няма да изпълни командата.

След като вече сте в директорията, където е вируса и сте видели как точно му е името, пишете командата “del-интервал-името на файла.разширение”. В описания по-горе пример това би изглеждало така...