Методика использования антивирусных программ

В первую очередь следите за тем, чтобы антивирусные программы, используемые для проверки, были самых последних версий. Если к программам поставляются обновления, проверьте их на "свежесть". Обычно выход новых версий антивирусов анонсируется, поэтому достаточно посетить соответствующие сайты. "Национальность" антивирусов в большинстве случаев не имеет значения, так как на сегодняшний день процесс эмиграции вируса в другие страны и иммиграции антивирусных программ ограничивается только скоростью интернета, поэтому и вирусы, и антивирусы не признают границ.

Если на компьютере обнаружен вирус, самое главное – не паниковать, так как паника никогда не доводила до добра: непродуманные действия могут привести к печальным последствиям. Если вирус обнаружен в каком-то из новых файлов и еще не проник в систему, нет причин для беспокойства: "убейте" этот файл (или удалите вирус любимой антивирусной программой) и спокойно работайте дальше. В случае обнаружения вируса сразу в нескольких файлах на диске или в загрузочном секторе проблема становится более сложной, но все равно разрешимой – антивирусы не зря едят свой хлеб.

Следует еще раз обратить внимание на термин "ложное срабатывание". Если в каком-либо одном файле, который достаточно долго "живет" на компьютере, какой-либо один антивирус обнаружил вирус, то это, скорее всего, ложное срабатывание. Если такой файл запускался несколько раз, а вирус так и не переполз в другие файлы, это очень странно. Попробуйте проверить этот файл другими антивирусами. Если они хранят молчание, отправьте этот файл в лабораторию фирмы-производителя антивируса, обнаружившего в нем вирус.

Если же на компьютере действительно найден вирус, надо сделать следующее.

1. В случае обнаружения файлового вируса, если компьютер подключен к сети, необходимо отключить его от сети и проинформировать системного администратора. Если вирус еще не проник в сеть, это защитит сервер и другие рабочие станции от проникновения вируса. Если же вирус уже поразил сервер, то отключение от сети не позволит ему вновь проникнуть на компьютер после его лечения. Подключение к сети возможно лишь после того, как будут вылечены все сервера и рабочие станции. При обнаружении загрузочного вируса отключать компьютер от сети не следует: вирусы этого типа по сети не распространяются (естественно, кроме файлово-загрузочных вирусов). Если произошло заражение макровирусом, вместо отключения от сети достаточно на период лечения убедиться в том, что соответствующий редактор (Word/Excel) неактивен ни на одном компьютере.

2. Если обнаружен файловый или загрузочный вирус, следует убедиться в том, что вирус либо нерезидентный, либо резидентная часть вируса обезврежена: при запуске некоторые (но не все) антивирусы автоматически обезвреживают резидентные вирусы в памяти. Удаление вируса из памяти необходимо для того, чтобы остановить его распространение. При сканировании файлов антивирусы открывают их, многие из резидентных вирусов перехватывают это событие и заражают открываемые файлы. В результате большая часть файлов окажется зараженной, поскольку вирус не удален из памяти. То же может произойти и в случае загрузочных вирусов: все проверяемые дискеты могут оказаться зараженными.
Если используемый антивирус не удаляет вирусы из памяти, следует перезагрузить компьютер с заведомо незараженной и защищенной от записи системной дискеты. Перезагрузка должна быть "холодной" (клавиша Reset или выключение/включение компьютера), так как некоторые вирусы "выживают" при теплой перезагрузке. Некоторые вирусы используют приемы, позволяющие им "выжить" и при холодной перезагрузке (например, вирус "Ugly"), поэтому также следует проверить в настройках BIOS пункт "последовательность загрузки A: C:", чтобы гарантировать загрузку DOS с системной дискеты, а не с зараженного винчестера.
Помимо резидентности/нерезидентности полезно ознакомиться и с другими характеристиками вируса: типами заражаемых вирусом файлов, проявлениями и прочее. Единственный известный мне источник подробной информации данного рода практически обо всех известных вирусах – "Большая вирусная энциклопедия "Лаборатории Касперского".

3. При помощи антивирусной программы нужно восстановить зараженные файлы и затем проверить их работоспособность. Перед лечением или одновременно с ним создать резервные копии зараженных файлов и распечатать или сохранить где-либо список зараженных файлов (log-файл антивируса). Это необходимо для того, чтобы восстановить файлы, если лечение окажется неуспешным из-за ошибки в лечащем модуле антивируса либо по причине неспособности антивируса лечить данный вирус. В этом случае придется прибегнуть к помощи какого-либо другого антивируса. Гораздо надежнее, конечно, восстановить зараженные файлы из backup-копии (если она есть), однако все равно потребуются услуги антивируса – вдруг не все копии вируса окажутся уничтожены, или если файлы в backup-копии также заражены.