Как восстановить файл зараженный макровирусом

Обновлено: 04.07.2024

Если вы потеряли файлы при вирусной атаке, вы можете попробовать два возможных способа восстановить зараженные файлы: очистить диск, а затем восстановить зараженные вирусом данные с помощью командной строки или же воспользоваться профессиональным программным обеспечением для восстановления данных.

Сталкивались ли вы с атакой одного или сразу нескольких неизвестных вирусов? Если у вас имеется подобный опыт, вы знаете, что вирусная атака может привести к неожиданной потере данных на жестком диске, карте памяти или USB-накопителе.

Для пользователей, незнающих, как восстановить зараженные вирусом файлы, это может стать настоящей катастрофой. Но не теперь! На этой странице мы представим вам два возможных решения для восстановления зараженных вирусом данных: исправление и восстановление зараженных вирусом файлов с помощью CMD(командной строки) и восстановление зараженных вирусом файлов с помощью профессионального ПО для восстановления данных. Вы можете последовательно выполнить данные действия, если первый способ не сработает, переходите ко второму.

Решение 1. Использование CMD(командной строки) для восстановления файлов с зараженных вирусом носителей.

При потери доступа к вашим файлам из-за вирусной атаки, лучше всего сначала воспользоваться командной строкой(cmd) и попробовать восстановить зараженные файлы. Поскольку это бесплатно и вполне понятно, cmd - отличный выбор. Теперь посмотрим, как это работает. (Я буду использовать Windows 7 для демонстрации, но процесс в основном тот же и для других версий ОС)

Командная строка

  1. Подключите жесткий диск, карту памяти или USB-накопитель к компьютеру.
  2. Перейдите в меню "Пуск", введите "cmd "в строке поиска, нажмите "Ввод". Затем вы увидите поле под названием "cmd.exe " под списком программ.

  4. Нажмите "cmd. exe", затем откроется окно командной строки Windows, которая и позволит восстановить зараженные файлы.
  • Введите: chkdsk E: /f и нажмите Enter. (Замените E: на букву диска устройства или расположения с зараженными файлами.)
  • Введите: Y и нажмите Enter.
  • Введите: E и нажмите Enter. (Замените E: на соответствующую букву диска.).
  • Введите: attrib -h -r -s /s /d *.* и нажмите Enter.


Затем Windows начнет восстанавливать зараженный вирусом жесткий диск, карту памяти или USB-накопитель. Процесс обычно занимает одну-две минуты. Пожалуйста, подождите. После процесса восстановления перейдите на диск или карту и проверьте, видите ли вы все ранее зараженные вирусом файлы.

Если вы обнаружили все файлы на вашем USB, карте памяти или жестком диске, который был заражен вирусом, поздравляем! Но если нет, не отчаивайтесь. Существует и другой вариант. Просто попробуйте стороннее программное обеспечение для восстановления данных в описании второго решения!

Решение 2. Использование программного обеспечения EaseUS для восстановления данных после очистки вирусных файлов

Если не получается восстановить зараженные файлы с помощью командной строки, программа для восстановления данных EaseUS с легкостью справится с этой задачей. Наша программа является профессиональным программным обеспечением восстановления для всех устройств хранения данных. Благодаря отличной мощности восстановления файлов, ПО эффективно восстанавливает удаленные, поврежденные или скрытые файлы с зараженных вирусом жестких дисков, карт памяти и USB-накопителей.

Процесс восстановления зараженных файлов крайне прост! Ниже вы сможете ознакомиться с пошаговым руководством по восстановлению.

Важная информация:

1. EaseUS Мастер восстановления данных поддерживает только восстановление удаленных или подверженных атаке вируса файлов.

2. А также сперва вы должны воспользоваться инструментом удаления вирусов, чтобы очистить инфекцию с жесткого диска или USB/SD-карты перед началом восстановления данных.

3. Если ваш жесткий диск заражен вирусом и данные были потеряны, попробуйте это программное обеспечение, чтобы возвратить потерянные данные с зараженного вирусом диска.

Запустите программу восстановления данных на ПК.

Если USB-или SD-карта заражена вирусом, подключите ее к компьютеру перед запуском мастера восстановления данных EaseUS.

Откройте программное обеспечение восстановления данных EaseUS и выберите зараженный вирусом диск, USB или SD-карту.

Запуск ПО

Сканирование и поиск данных с зараженного вирусом диска.

Позвольте программе сканировать выбранный диск, и все данные, удаленные вирусом будут найдены. Также вы можете попробовать найти их, используя следующие вкладки:

Удаленные файлы: если вирус удалил ваши файлы, сперва стоит проверить эту вкладку.

Диск(с вашим именем диска): все найденные данные будут перечислены здесь.

Дополнительные файлы: здесь же перечислены большинство файлов, которые потеряли имена файлов и пути, вы также можете попробовать найти удаленные вирусом данные здесь.

После поиска нужных файлов вы можете дважды щелкнуть по ним, чтобы проверить, можно ли их использовать.

Сканирование

Восстановление данных с диска.

1. Выберите удаленные вирусом файлы.

2. Укажите безопасное место на ПК или внешнем устройстве хранения данных.

Восстановление

Последние статьи - Также в программе EaseUS

Если вы случайно отформатировали жесткий диск и потеряли важные данные, есть спо…

Потеряли важные изображения на SD-карте? Позвольте программе восстановления данн…

На данной странице мы бесплатно расскажем вам о 2 способах восстановления навсег…

Внешний жесткий диск не показывает файлы, хотя они там есть? Не удаётся обнаружи…

Восстановление файлов

Avast – надежный антивирус, однако он может поместить в карантин некоторые важные и нужные пользователю файлы. Если вирусы эта программа удаляет сразу, то подозрительные файлы она блокирует, а именно – помещает в карантин. Иногда файлы, которые на самом деле не вредоносны, попадают туда из-за неправильных настроек антивирусной программы.

Полезно знать, что можно восстановить файл, который попал в хранилище вирусов по ошибке. А чтобы антивирус больше не блокировал этот файл, его можно добавить в исключения.

О хранилище вирусов Avast

Если антивирусная программа Аваст обнаруживает подозрительные файлы или зараженные объекты, то она просто помещает их в хранилище или удаляет автоматически. Если файл был удален, то восстановить его будет сложно. А вот из карантина поднять файл возможно, поскольку это означает, что программа просто заблокировала его работу по причине потенциальной угрозы для ПК и личных данных пользователя.

Блокировка вредоносной программы

Уведомление о наличии потенциальной угрозы в антивирусе

Как получить доступ

Достать файл из карантина достаточно просто. Способ работает как в Avast Free Antivirus, так и в других версиях.

В главном окне Аваст нужно выбрать блок «Защита». Это позволит войти в хранилище вирусов.

Карантин в антивирусе Аваст

Блок защиты в антивирусе Аваст

Так пользователь получает доступ к полному перечню программ, которые в Авасте определены как потенциально опасные. Каждая из них будет доступна для восстановления по запросу пользователя.

Действия с хранилищем

Из хранилища файлов Аваста вирусные программы не способны влиять на систему ПК, но их и невозможно запустить. Для того чтобы запустить определенную программу, файлы которой помещены были в карантин, нужно найти ее в хранилище и вытащить оттуда:

  1. Навести курсор мыши на нужный пункт в предоставленном списке заблокированных Авастом файлов.
  2. Кликнуть левой кнопкой мыши по иконке с многоточием («Еще»).
  3. Выбрать из этого списка опцию «Восстановить», которая вернет файл в изначальное его местоположение.

Восстановление файлов

Функция восстановления файлов помещенных на карантин

Помните, что рядом с многоточием есть другая иконка – мусорная корзина. Она запускает удаление файла (безвозвратно). Если в карантин были помещены вирусы, то лучше сделать именно удаление. Но с нужными и важными файлами, определенными опасными по ошибке, стоит быть осторожнее, чтобы не удалить их совсем.

Восстановление файлов

Если пользователь уверен в том, что файлы безопасны и были удалены антивирусом ошибочно, то можно выполнить их восстановление. Для этого нужно:

  1. Открыть меню антивируса нажатием правой кнопки мыши на ярлыке программы.
  2. Выбрать там «Карантин», после чего высветится перечень всех файлов, которые были перемещены в этом хранилище.
  3. Выбрать нужный файл и нажать на него правой кнопной мыши.
  4. В открывшемся списке выбрать «Восстановить».

Это позволит так же, как в предыдущем случае, просто восстановить файл в том же каталоге, где он был изначально до помещения в карантин.

Отправка файлов в лабораторию анализа угроз Avast

Удаление файлов

Удалить файлы возможно также через хранилище вирусов, куда антивирус Avast собирает все потенциальные угрозы. Это важная функция, и если файл оказался действительно вредоносным и опасным для вашего ПО, то не стоит рисковать и восстанавливать его. И тем более, не стоит его запускать.

Соответственно, можно удалить потенциально опасный файл, не восстанавливая его и не запуская. Для этого нужно:

  1. Войти в хранилище файлов.
  2. Зайти в перечень заблокированных файлов.
  3. Выбрать нужный файл, кликнуть на него левой кнопкой мыши и выбрать функцию удаления.

Для того, чтобы убедиться, действительно ли файл опасен, нужно его вышеописанным образом проверить, отправив на анализ. Ну, или просто удалить без проверки, если пользователь уверен, что он ему просто не нужен.

Как только троян-вымогатель / шифровальщик попадает в вашу систему, уже поздно пытаться спасти несохраненные данные. Удивительно, но многие киберпреступники не отказываются от своих обязательств после оплаты выкупа и действительно восстанавливают ваши файлы. Конечно, никто гарантий вам не даст. Всегда есть шанс, что злоумышленник заберет деньги, оставив вас наедине с заблокированными файлами.

Тем не менее, если вы столкнулись с заражением шифровальщиком, не стоит паниковать. И даже не думайте платить выкуп. Сохраняя спокойствие и хладнокровие, проделайте следующие шаги:

1. Запустите антивирус или антивирусный сканер для удаления трояна

Запустите антивирус или антивирусный сканер для удаления трояна

Строго рекомендуется удалить заражение в безопасном режиме без сетевых драйверов. Существует вероятность того, что шифровальщик мог взломать ваше сетевое подключение.

Удаление вредоносной программы является важным шагом решения проблемы. Далеко не каждая антивирусная программа сможет справится с очисткой. Некоторые продукты не предназначены для удаления данного типа угроз. Проверьте, поддерживает ли ваш антивирус данную функцию на официальном сайте или связавшись со специалистом технической поддержки.

Основная проблема связана с тем, что файлы остаются зашифрованы даже после полного удаления вредоносного заражения. Тем нем менее, данный шаг как минимум избавит вас от вируса, который производит шифрование, что обеспечит защиту от повторного шифрования объектов.

Попытка расшифровки файлов без удаления активной угрозы обычно приводит к повторному шифрованию. В этом случае вы сможете получить доступ к файлам, даже если заплатили выкуп за инструмент дешифрования.

2. Попробуйте расшифровать файлы с помощью бесплатных утилит

Опять же, вы должны сделать все возможное, чтобы избежать оплаты выкупа. Следующим шагом станет применение бесплатных инструментов для расшифровки файлов. Обратите внимание, что нет гарантий, что для вашего экземпляра шифровальщика существует работающий инструмент дешифрования. Возможно ваш компьютер заразил зловред, который еще не был взломан.

“Лаборатория Касперского”, Avast, Bitdefender, Emsisoft и еще несколько вендоров поддерживают веб-сайт No More Ransom!, где любой желающий может загрузить и установить бесплатные средства расшифровки.

Первоначально рекомендуется использовать инструмент Crypto Sheriff, который позволяет определить ваш тип шифровальщика и проверить, существует ли для него декриптор. Работает это следующим образом:

Как удалить шифровальщики и восстановить данные – Crypto Sheriff

Crypto Sheriff обработает эту информацию с помощью собственной базы данных и определит, существует ли готовое решение. Если инструменты не обнаружены, не стоит отчаиваться. Одни из декрипторов все-равно может сработать, хотя вам придется загрузить и протестировать все доступные инструменты. Это медленный и трудоемкий процесс, но это дешевле, чем платить выкуп злоумышленникам.

Инструменты дешифрования

Следующие инструменты дешифрования могут расшифровать ваши файлы. Нажмите ссылку (pdf или инструкция) для получения дополнительной информации о том, с какими вымогателями работает инструмент:

Количество доступных декрипторов может изменяться с течением времени, мы будем регулярно обновлять информацию, проверяя веб-сайт No More Ransom!

Запустить средство дешифрования файлов совсем несложно. Многие утилиты поставляются с официальной инструкцией (в основном это решения от Emsisoft, Kaspersky Lab, Check Point или Trend Micro). Каждый процесс может немного отличаться, поэтому рекомендуется предварительно ознакомиться с руководством пользователя.

Рассмотрим процесс восстановления файлов, зашифрованных трояном-вымогателем Philadelphia:

  • Выбираем один из зашифрованных файлов в системе и файл, который еще не был зашифрован. Помещает оба файла в отдельную папку на компьютере.
  • Загружает средство дешифрования Philadelphia и перемещаем его в папку с нашими файлами.
  • Выбираем оба файла и перетаскиваем их на иконку исполняемого файла декриптора. Инструмент запустит поиск правильных ключей для дешифрования.

Как восстановить данные – Philadelphia

Как восстановить данные – Philadelphia

  • После завершения работы, вы получите ключ дешифрования для восстановления доступа ко всем заблокированным шифровальщикам файлам.

Как восстановить данные – Philadelphia

Повторимся, что данный процесс не сработает, если для вашего конкретного экземпляра шифровальщика не существует декриптора. Так как многие пользователи предпочитают заплатить выкуп, а не искать альтернативные способы решения проблемы, даже взломанные шифровальщики активно используются киберпреступниками.

Если есть резервная копия: очистите систему и восстановите бэкап

Шаги 1 и 2 будут эффективны только при совместном использовании. Если они не помогут, то используйте следующие рекомендации.

Надеемся, что у вас есть рабочая резервная копия данных. В этом случае даже не стоит задумываться об оплате выкупа – это может привести к более серьезным последствиям, чем ущерб от первичного заражения.

Самостоятельно или делегировав задачу системному администратору, выполните полный сброс системы и восстановите ваши файлы из резервной копии. Защита от действия шифровальшиков – это важная причина использования инструментов резервного копирования и восстановления файлов.

Пользователи Windows могут использовать полный сброс системы до заводских настроек. На официальном сайте Microsoft доступны рекомендации по восстановлению зашифрованных троянами файлов.

Восстановление зараженных файлов. Профилактика проникновения «троянских программ»

Цели: формирование умений восстановления офисных приложений после поражения макровирусом; навигации по редактору системного реестра ОС Windows 7 ; проверки потенциальных мест записей «троянских программ» в системном реестре ОС Windows 7 .

Оборудование: персональный компьютер, MS Word , редактор системного реестра ОС Windows 7 .

Время выполнения: 2 часа

Теоретический материал

Макровирусы заражают файлы – документы и электронные таблицы популярных офисных приложений.

Макровирусы занимают особое место среди файловых вирусов. Макровирусы представляют собой вредительские программы, на­писанные на макроязыках, встроенных в текстовые редакторы, электронные таблицы и др.

Для существования вирусов в конкретной системе (редакторе) необходимо, чтобы встроенный в нее макроязык имел следующие условия:

привязка программы на макроязыке к конкретному файлу;

копирование макропрограмм из одного файла в другой;

получение управления макропрограммой без вмешательства пользователя.

Таким условиям отвечают редакторы MS WORD, MS OFFICE, AMI PRO, табличный процессор MS EXCEL. В этих системах ис­пользуются макроязыки WORD BASIC и VISUAL BASIC.

При определенных действиях над файлами, содержащими мак­ропрограммы (открытие, сохранение, закрытие и т.д.), автома­тически выполняются макропрограммы файлов. При этом управ­ление получают макровирусы, которые сохраняют активность до тех пор, пока активен соответствующий редактор (процессор). По­этому при работе с другим файлом в зараженном редакторе (процессоре) он также заражается. По механизму заражения здесь про­слеживается аналогия с резидентными вирусами. Для получения управления в макровирусах, заражающие файлы MS OFFICE, как правило, используют некоторые приемы:

в вирусе размещается автомакрос (вирус включается автома­тически при открытии документа, таблицы);

в вирус помещается один из стандартных макросов, который выполняется при выборе определенного пункта меню;

макрос вируса автоматически вызывается на выполнение при нажатии определенной клавиши или комбинаций клавиш.

Макровирус Win Word. Concept, поражающий документы текстового редактора WORD, появился летом 1995 г. Вредительская функция этого вируса заключается в изменении формата документов WORD в формат файлов стилей. Другой макровирус Win Word Nuclear уже не столь безобиден. Он дописывает фразу с требованием запрещения ядерных испытаний, проводимых Фран­цией в Тихом океане

Для анализа макровирусов необходимо получить текст их макросов. Для нешифрованных («не-стелс») вирусов это достигается при помощи меню Сервис/Макрос. Если же вирус шифрует свои макросы или использует «стелс»-приемы, то необходимо воспользоваться специальными утилитами просмотра макросов.

Троянская программа (троян) — вредоносная программа и поэтому подлежит немедленному удалению. По внешнему виду выглядит как полезная. Создается и распространяется людьми, в отличие от всякого рода вирусов и червей, которые распространяются самопроизвольно. Троянские программы загружаются непосредственно в компьютерные системы и если не удалить троян, то после его установки в компьютере может начаться, закачивание из интернета других вредоносных программ.

Трояны проникают на открытые или индексируемые ресурсы (файл-серверы и системы файлообмена), носители информации, присылаются по электронной почте. Использование троянов иногда является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы.

Троянская программа может имитировать имя и иконку существующей, несуществующей, или просто привлекательной программы, компонента, или файла данных (например, картинки), как для запуска пользователем, так и для маскировки в системе своего присутствия.

Реестр операционной системы Windows – это большая база данных, где хранится информация о конфигурации системы. Этой информацией пользуются как операционная система Windows , так и другие программы. В некоторых случаях восстановить работоспособность системы после сбоя можно, загрузив работоспособную версию реестра, но для этого, естественно, необходимо иметь копию реестра. Основным средством для просмотра и редактирования записей реестра служит специализированная утилита «Редактор реестра».

Файл редактора реестра находится в папке Windows . Называется он regedit . exe . После запуска появится окно редактора реестра. Вы увидите список из 5 разделов ( рис .22):


Рисунок 22 – Реестр системы Windows 7

Работах разделами реестра аналогична работе с папками в Проводнике. Конечным элементом дерева реестра являются ключи или параметры, делящиеся на три типа (рис. 23):

- строковые (напр. «C:\Windows»);

- двоичные (напр. 10 82 АО 8F );

DWORD – этот тип ключа занимает 4 байта и отображается в шестнадцатеричном и в десятичном виде (например, 0x00000020 (32)).

В Windows 7 системная информация разбита на так называемые ульи ( hive ). Это обусловлено принципиальным отличием концепции безопасности этих операционных систем. Имена файлов ульев и пути к каталогам, в которых они хранятся, расположены в разделе HKEY _ LOCAL _ MACHINE \ SYSTEM \ CurrentControlSet \ Control \ hivelist (рис. 24).


Рисунок 23 - Редактор реестра


Рисунок 24 – Параметры безопасности реестра

В таблице 3 даны краткие описания ульев реестра и файлов, в которых хранятся параметры безопасности.

Характеристика основных разделов системного реестра

HKEY _ LOCAL_MACHINE \ SAM

Содержит информацию SAM ( Security Access Manager ), хранящуюся в файлах SAM , SAM . LOG , SAM . SAV в папке % Systemroot %\ Svstem 32\ Config

Содержит информацию безопасности в файлах SECURITY , SECURITY . LOG , SECURITY . SAV в папке \% Systemroot %\ System 32\ Co nfig

Содержит информацию об аппаратных профилях этого подраздела. Информация хранится в файлах SYSTEM , SYSTEM . LOG , SYSTEM . SAV в папке \ % Systemroot %\ System 32\ Co nfig

HKEY _ CURRENT _ CONFIG

Содержит информацию о подразделе System этого улья , которая хранится в файлах SYSTEM.SAV и SYSTEM.ALT в папке \ %Systemroot%\System32\Config

Содержит информацию, которая будет использоваться для создания про филя нового пользователя, впервые регистрирующего ся в системе. Информация хранится в файлах DEFAULT , DEFAULT . LOG , DEFAULT . SAV в папке \% Systemroot %\ System 32\ Co nfig

HKEY _ CURRENT_USER

Вопросы для самопроверки:

1. Дайте определение программного вируса.

2. Перечислите виды «вирусоподобных» программ.

3. Назовите характерные черты макровируса.

4. Что такое реестр?

5. Какую структуру имеет системный реестр ОС Windows 7?

Задание 1. Восстановить файл, зараженный макровирусом.

Алгоритм выполнения задания 1:

Для восстановления документов Word и Excel достаточно сохранить пораженные файлы в текстовый формат RTF , содержащий практически всю информацию из первоначальных документов и не содержащий макросы.

Для этого выполните следующие действия.

1. В программе WinWord выберите пункты меню Файл – Сохранить как.

2. В открывшемся окне в поле Тип файла выберите Текст в формате RTF (рис. 25).


Рисунок 25 - Сохранение документа

3. Выберите команду Сохранить, при этом имя файла оставьте прежним.

4. В результате появится новый файл с именем существующего, но с другим расширением.

5. Далее закройте WinWord и удалите все зараженные Word -документы и файл-шаблон NORMAL . DOT в папке WinWord .

6. Запустите WinWord и восстановите документы из RTF -файлов в соответствующий формат файла (рис. 26) с расширением (. doc ).


Рисунок 26 - Сохранение документа

7. В результате этой процедуры вирус будет удален из системы, а практически вся информация останется без изменений.

а) этот метод рекомендуется использовать, если нет соответствующих антивирусных программ;

б) при конвертировании файлов происходит потеря не вирусных макросов, используемых при работе. Поэтому перед запуском описанной процедуры следует сохранить их исходный текст, а после обезвреживания вируса – восстановить необходимые макросы в первоначальном виде.

8. Для последующей защиты файлов от макровирусов включите защиту от запуска макросов.

9. Для этого в WinWord выберите последовательно пункты меню: Сервис – Макрос – Безопасность

10. В открывшемся окне на закладке Уровень безопасности отметьте пункт Высокая (Очень высокая).

Задания для самостоятельной работы:

1. Создать файл virus . doc (содержание - чистый лист) и выполните алгоритм восстановления файла (в предположении его заражения макровирусом).

2. Зафиксировать этапы работы, используя команду PrintScreen клавиатуры (скопированные таким об разом файлы вставьте в новый Word - документ для отчета преподавателю).

3. Сравнить размеры файлов virus , doc и virus . rtf , используя пункт контекстного меню Свойства.

Задание 2. Проверить потенциальные места записей «троянских программ» в системном реестре операционной системы Windows 7.

Алгоритм выполнения задания 2:

Потенциальными местами записей «троянских программ» в системном реестре являются разделы, описывающие программы, запускаемые автоматически при загрузке операционной системы от имени пользователей и системы.

1. Запустите программу regedit.exe.

2. В открывшемся окне выберите ветвь HKEY _ LOCAL _ MACHINE и далее Software \ Microsoft \ WindowsNT \ CurrentVersion \ Winlogon .

3. В правой половине открытого окна программы regedit . exe появится список ключей.

4. Найдите ключ Userinit ( REG _ SZ ) и проверьте его содержимое.

5. По умолчанию (исходное состояние) 151 этот ключ содержит следующую запись C :\ WINDOWS \ system 32\ userinit . exe (рис. 27).


Рисунок 27 - Редактор реестра

6. Если в указанном ключе содержатся дополнительные записи, то это могут быть «троянские про граммы».

7. В этом случае проанализируйте место расположения программы, обратите внимание на время создания файла и сопоставьте с Вашими действиями в это время.

8. Если время создания файла совпадает со временем Вашей работы в Интернете, то возможно, что в это время Ваш компьютер был заражен «троянским конем».

9. Для удаления этой записи необходимо дважды щелкнуть на названии ключа (или при выделенном ключе выбрать команду Изменить из меню Правка программы regedit.exe).

10. В открывшемся окне в поле Значение (рис. 28) удалите ссылку на подозрительный файл.


Рисунок 28 - Редактирование

11. Закройте программу regedit.exe.

12. Перейдите в папку с подозрительным файлом и удалите его.

13. Перезагрузите операционную систему и выполните пункты задания 1-4.

14. Если содержимое рассматриваемого ключа не изменилось, то предполагаемый «троянский конь» удален из Вашей системы.

Еще одним потенциальным местом записей на запуск «троянских программ» является раздел автозапуска Run .

Для его проверки выполните следующее.

1. Запустите программу regedit . exe .

2. В открывшемся окне выберите ветвь HKEY _ LOCAL _ MACHINE и далее Software \ Microsoft \ Windows \ CurrentVersion \ Run \. (REG _ SZ) .

3. В рассматриваемом примере автоматически запускается резидентный антивирус и его планировщик заданий, а также утилита, относящаяся к программе Nero (запись на CD ).

4. Если в указанном разделе есть записи вызывающие подозрения, то выполните пункты 6-14 предыдущего задания.

Задания для самостоятельной работы:

1. Проверить содержимое ключа HKEY_LOCAL_MACHINE \Software\Microsoft\ WindowsNT\CurrentVersion\ Winlogon\System (REG_SZ)

2. Зафиксировать этапы работы, используя команду PrintScreen клавиатуры.

3. Составить отчет о результатах проверки.

Контрольные вопросы:

1. Какие файлы заражают макровирусы?

2. Как восстановить файл, зараженный макровирусом?

3. Является ли наличие скрытых листов в Excel признаком заражения макровирусом?

4. Поясните механизм функционирования «троянской программы».

5. Почему профилактика «троянских программ» связана с системным реестром?

6. Какие разделы и ключи являются потенциальными местами записей «троянских программ»?

Читайте также: