Восстановление системы после вируса "пенетратор"

Удаляем вирус с компьютера

Предположим, что Вы как-то узнали, что на компе "живёт" этот вирус.

Методы очистки от вирусов

Если вирус ещё не активировался - так если не "сожрал" все Ваши картинки, видеофайлы, документы и т.д., хранящиеся на жёстком диске, и не обозвал вас всякими матами, то следует действовать по такому примерному сценарию:

1. Снять жёсткий диск, где работает операционная система.
2. Пойти к знакомому специалисту которому Вы доверяете свои данные, у которого компьютер заведомо "чист" от вирусов и стоит антивирусная программа с последними обновлениями и базами. Установка антивирусной программы на "заражённый" компьютер может только ухудшить ситуацию. Возможно даже, что "вирус убьёт все Ваши антивирусные программы".
3. Проверить весь винчестер на наличие вирусов и удалить их. Если антивирусная программа заметила и удалила "заражённые" системные файлы, то - либо придётся скопировать их с рабочей системы (иначе комп не "запустится"), либо переустанавливать операционку, предварительно сохранив документы.
4. Удалить все сопутствующие файлы от вирусов. Например многие вирусы любят распространять себя через файл autorun.inf . Сам по себе он не вирус, но помогает вирусу. Антивирусные программы их "не видят".
5. У знакомого взять его антивирусную программу с последними базами - она понадобится.
6. Вернуть жёсткий диск в родной комп и подключить его.
7. Физически отключить остальные жёсткие диски, на которых не стоит система.
8. Включить комп и первым делом установить антивирусную программу и обновить её.
9. Отключить аварийное восстановление системы: "Мой компьютер" -> "Свойства" -> "Восстановление системы". Поставить галочку на "Отключить восстановление системы на всех дисках". Это не даст вирусам копироваться в область аварийного восстановления. Иначе в один прекрасный момент, когда очень срочно нужно будет восстановиться, в систему обратно залезут вирусы.
10. Теперь можно подключать остальные жёсткие диски и уже установленной антивирусной программой проверить их. Также рекомендуется проверить всё сменные накопители: дискеты, диски, флешки на предмет содержания на них вирусов.
11. Компьютер чист - можно включить "Аварийное восстановление системы".
12. Проанализировать к каким компам подключались сменные носители для вычисления "заражённых" от вашего компа машин (или наоборот - источников вируса) и предупредить хозяев этих компьютеров о возможном заражении.
13. Не забывайте обновлять базы антивирусной программы, а также делать резервные копии очень-очень нужных данных.

Если вирус активировался - так если "сожрал" все Ваши картинки, видеофайлы, документы и т.д., хранящиеся на жёстком диске, и обозвал вас всякими матами... ...действуем по такому сценарию:

1. Выключить компьютер Теперь с каждым запуском или манипуляцией файлами на этом же компьютере, всё меньше и меньше шансов спасти Ваши данные.
2. Снять жёсткий диск, где работает операционная система.
3. Пойти к знакомому специалисту которому Вы доверяете свои данные, у которого компьютер заведомо "чист" от вирусов и стоит антивирусная программа с последними обновлениями и базами.
4. Проверить весь винчестер на наличие вирусов и удалить их. Если антивирусная программа заметила и удалила "заражённые" системные файлы, то - либо придётся скопировать их с рабочей системы (иначе комп не "запустится"), либо переустанавливать операционку, предварительно сохранив документы.
5. Запустить программу восстановления данных типа EasyRecovery и восстановить удалённые данные на отдельный жёсткий диск.
6. Удалить все сопутствующие файлы от вирусов. Например многие вирусы любят распространять себя через файл autorun.inf . Сам по себе он не вирус, но помогает вирусу. Антивирусные программы их "не видят".
7. У знакомого взять его антивирусную программу с последними базами и программу восстановления данных - они понадобятся.
8. Вернуть жёсткий диск в родной комп и подключить его.
9. Физически отключить остальные жёсткие диски, на которых не стоит система.
10. Включить комп и первым делом установить антивирусную программу и обновить её.
11. Отключить аварийное восстановление системы: "Мой компьютер" -> "Свойства" -> "Восстановление системы". Поставить галочку на "Отключить восстановление системы на всех дисках". Это не даст вирусам копироваться в область аварийного восстановления. Иначе в один прекрасный момент, когда очень срочно нужно будет восстановиться, в систему обратно залезут вирусы.
12. Теперь можно подключать остальные жёсткие диски и уже установленной антивирусной программой проверить их. Также рекомендуется проверить всё сменные накопители: дискеты, диски, флешки на предмет содержания на них вирусов.
13. Восстановить данные с остальных жёстких дисков, если такие имеются.
14. Компьютер чист - можно включить "Аварийное восстановление системы".
15. Проанализировать к каким компам подключались сменные носители для вычисления "заражённых" от вашего компа машин (или наоборот - источников вируса) и предупредить хозяев этих компьютеров о возможном заражении.
16. Не забывайте обновлять базы антивирусной программы, а также делать резервные копии очень-очень нужных данных.

Проблема: отсутствие меню "Свойства папки..." в "Проводнике"

О проблеме

Волна вируса "пенетратор" давно в прошлом, но последствия до сих пор объявляются то там, то тут. Итак, недавно с Serж'ем, чистили машину от вирей. В процессе, оказалось, что программа распространения пенетратора ahtomsys, спокойненько жила в системе, вместе с ещё 12-ю разновидностями программ-вирусов. После "чистки" винта на отдельной машине (а иначе - никак), оказалось, что исчез пункт "Свойство папки" из меню "сеpвис" в "Проводнике".

Меню "Свойства папки"

Так выглядит отсутствие меню "Свойства папки"

Также исчез значёк "Свойства папки" и в "Панели управления".
Многие наверно скажут: "да ну и бог с ним!" А если подумать, то пользователь лишился:

• удобного средства управления к очень важным системным настройкам "Эксплорера" (Проводника);
• настроек внешнего вида Проводника;
• средств для сопоставления файлов и программ (например связать mp3-файлы с программой Winamp);

Если Вы — хозяин компьютера, а не наоборот компьютер — Ваш хозяин, приступаем к восстановлению "свои х прав". Предполагается что все вирусы в системе удалены и потерянные данные - восстановлены.

Google подсказал нам несколько решений данной проблемы:

1. Изменение некоторых параметров реестра.
2. Изменение групповой политики безопасности.
3. Использование внешних программ.

Рассмотрим все решения.

Изменение параметров реестра

Реестр в Windows - это база данных, в которой хранится 90% всей конфигурации операционной системы. Настройки, касательные пунктов меню хранятся тоже в реестре. Итак, нам потребуется редактор реестра:

• "Пуск" ->"Выполнить"
• В поле "Открыть" набираем слово regedit
• Жмём "ОК".
• По списку в левой колонке идём в ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Подчёркнут нужный нам параметр

А вот и нужный нам параметр: NoFolderOptions со значением "1"

• Два раза мышкой кликаем по названию параметра.
• В появившемся окне, в поле "Значение", вместо "1" ставим "0"
• Перезагружаем машину и видим что пункт "Свойства папки..." в появился в "Проводнике".

На этом можно было статью закончить, но есть 2 "но", которые проверились на практике:

1. В вышеописанной ветке реестра такого параметра может и не быть вообще.
2. Создание этого параметра и присвоение ему значения "0" может не сработать.

Прежде чем продолжать поиски дальше, рекомендую создать данный параметр и присвоить ему значение "0":

• Заходим в ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
• Через правую кнопку мыши в колонке справа делаем "Создать" -> "Параметр DWORD".
• Изменяем название нового параметра на NoFolderOptions.
• Два раза мышкой кликаем по названию параметра.
• В появившемся окне, в поле "Значение", ставим "0"
• Перезагружаем машину.

Изменение настроек групповой политики безопасности

В двух словах: Операционная система Windows имеет много-много всяких настроек, в том числе и для обеспечения контроля за данными пользователей на их компьютерах. К числу таких настроек можно отнести настройки защиты пользовательских данных или, другое название — "политика безопасности".

Ещё одним средством контроля за доступом к данным является настройки "Политики безопасности", так если настройки правил и условий взаимодействия пользователей и компьютера. "Групповая политика безопасности" - это множественные (групповые) настройки, применимые к пользователям и их данным: документам, настройкам программ, условиям работы. Итак, нам нужно изменить настройки программы "Проводник" так, чтобы появился пункт меню "Свойства папки":

• "Пуск" -> "Выполнить".
• В поле "Открыть" набираем gpedit.msc
• Жмём "ОК".
• В появившемся окне, в левой колонке идём в ветку: "Политика «Локальный компьютер»" –> "Конфигурация пользователя" –> "Административные шаблоны" –> "Компоненты Windows" –> "Проводник"

Консоль настроек "Групповой политики безопасности"

Справа откроется приличный список шаблонов. Нам нужен: "Удалить команду «Свойства папки» из меню «Сервис»" По умолчанию, состояние должно быть:"Не задана". Остальные настройки, если не знаете последствий их применений — лучше не трогать.

• Если же "состояние" = "Включено", то кликаем по названию шаблона 2 раза и в окне "Свойства" изменям состояние на "Отключён" или "Не задана".
• Жмём "ОК".
• Перезагружаем компьютер и видим что пункт "Свойства папки..." в появился в "Проводнике".

Если данное решение не помогло, а такое может быть, переходим на следующий пункт.

Использование внешних программ

Решение нашлось в самый последний момент - антивирусная утилита от Олега Зайцева avz. Скачать её можно на официальном сайте разработчика http://z-oleg.com .Там же на сайте есть много нужной информации по борьбе с вирусами.

Программа обладает множеством функций, о которых можно почитать во встроенной справке. Для нашего случая, а именно доступ к меню "Свойства папки", потребуется:

• Скачать с сайта программу avz (~4Мб). Распаковать и запустить.
• Зайти в "Файл" -> "Восстановление системы".
• Выбрать пункт "Восстановление настроек проводника".
• Нажать на "Выполнить отмеченные операции".
• Перезагрузить машину и проверить.

Меню "Восстановление настроек системы" в прорамме avz

Итоги

Надеемся, что вирусная атака "пенетратора" научила многих ценить свои данные - делать резервные копии и использовать антивирусные программы. Вирусы - это не единственная проблема, из-за которой можно потерять свои данные. Например отказ винчестера вследствии механического удара или случайное удаление "не_в_корзину" могут привести к тем же последствиям. Будьте внимательны. Удачи!