Быстрый метод восстановления системы как наилучший способ борьбы с вирусами, троянами и BSOD после посещения зловредных сайтов ../images/2thTitles/TFreeCat.jpg 7885

Быстрый метод восстановления системы как наилучший способ борьбы с вирусами, троянами и BSOD после посещения зловредных сайтов

    Системы защиты от вирусов и троянов не могут быть 100%-но совершенными и может случиться так, что после посещении некоторых сайтов Ваш компьютер окажется заражённым. После этого возможны различные исходы - от полной ил практически полной неработоспособности системы до, в "лёгких случаях"(когда испорчен реестр и/или системные файлы) периодичеси возникающего "синего экрана" BSOD. Что же делать? Есть ли выход?
    Если Вы заранее не готовы к такой ситуации, то возможны 2 варианта:
    1. Быстрая переустановка системы и программ с очень вероятной потерей многих данных и настроек системы.
    2. Медленное лечение и восстановление системы.
    Первый способ "быстр и приятен" ... особенно для начинающих(и всяческих "ремонтников"-халявщиков, которые вместо лечения систем ставят всяческие "сборки", а говорят что лечили от вирусов и сделали "стотысяч действий и работ" - вот пример в моём дневнике.). Но при этом теряются системные настройки(наверняка) и часто данные(если Вы не поместили их правильно). Второй способ позволяет сохранить данные, настройки - но возможен не в 100% случаев. А может быть есть и 3-й вариант?
    Есть! И я сейчас расскажу что делать чтобы быстро восстановить работоспособность системы, при этом практически не потеряв данных и настроек. Хотя это требует некоторых подготовительных действий.
        Нужно:
    0.0 Провести проверку системного диска программой Norton Disk Doctor с проверкой поверхности или командой chkdsk /R/F (через Пуск->Выполнить) или любой другой программой, которая проверят файловую систему и поверхность системного диска. Для выполнения команды chkdsk /R/F на системном диске система захочет предварительно перезагрузиться - сделайте это!
    0.1 Создать несколько новых разделов(дисков). Необходимо создать разделы для временных данных, рабочих данных, программ и архива(минимум один, но можно несколько). Если на диске всего один раздел, то создать новые без переустановки системы можно с помощью программы Acronis Disk Director или Partition Magic. Для создания новых разделов сначала надо уменьшить размер единственного раздела так, чтобы он был по размеру равен размеру уже занятому данными+удвоенный размер памяти+1Гбайт. Затем создаём на освободившемся месте новые разделы. Для того, чтобы не потерять данные во время операции, очень полезно перед этой операцией сохранить их на внешний диск или DVD - с помощью, например, программы используемой в п.4.
    ОЧЕНЬ ВАЖНО! Проводите операцию смены раздела и перемещения данных ТОЛЬКО на компьютерах оснащённых источником резервного питания(UPS). Если его нет - то Вы рискуете при пропадании питания потерять все свои данные. Исключение можно сделать только для ноутбуков, которые имеют собственную батарею для автономного питания.
    Полезнее всего это сделать на "чистой системе", когда кроме неё ничего не установлено - либо вообще предусмотреть разбиение на нужное число дисков(разделов) на этапе, предваряющем установку системы. Тогда Вы потратите минимум времени на эту операцию.
    1. Перенести "Мои Документы" и другие возможные данные с диска С на другой, предназначенный специально для данных. Перенос папки "Мои Документы" помогает сделать и сама система, достаточно нажать правой кнопкой мыши на папку с таким названием на рабочем столе, выбрать пункт "Свойства", а затем в закладке "Папка назначения" изменить размещение конечной папки(пункт "Папка" - выбрать другую папку на диске, предназначенном для хранения данных) и нажать "Переместить". Также полезно переместить и данные других программ из каталога Document and Setting(Users в Windows 7), если Вы знаете, как это делать.

    Обязательно! Убрать всё, что запомнено на рабочем столе. Запоминание в этот каталог не только перегружает системный диск ненужными данными - но и облегчает "работу" всяческим вирусам и троянам. Посмотреть если что у вас на "Рабочем столе" можно быстро с помощью программы FAR или Total Commander, зайдя в каталог "C:\Documents and Settings\%ваше имя в системе%\Рабочий стол\"("C:\Users\%ваше имя в системе%\Рабочий стол\"), где %ваше имя в системе% - имя, под которым Вы работаете в системе. В этом каталоге не должно быть ничего, кроме ссылок на программы и папки. Всё остальное необходимо переместить на тот же диск, предназначенный для рабочих данных, куда была перемещена папка "Мои Документы".
    2. Переустановите по возможности программы с системного диска на другой, предназначенных специально для программ. Обычно на другой диск не ставятся только системные программы от самого Microsoft и небольшое количество других программ. Остальные нормально ставятся на другой диск. При установке новых программ обязательно ставьте их на этот диск, а не на системный!
    3. Перенесите временный каталог (TMP) с сиcтемного диска на другой, предназначенный для временных дисков. Для этого войдите в Панель управления->Система->закладка Дополнительно->кнопка Переменные среды. Сначала меняем переменные среды TMP и TEMP для конкретного пользователя(верхнее окошко) - выбрав по очереди переменные и нажав Изменить. Переменные меняем на заранее заведённый каталог на диске для временных данных. Затем находим переменные TMP и TEMP в разделе системных переменных(надо проскроллить вниз в этом окошечке, эти переменные обычно в самом конце) и также меняем на тот же каталог на диске для временных данных. Название этого каталога лучше сделать коротким и узнаваемым - например просто TMP(это, кстати, исправит некоторые проблемы при установке некоторых программ, которые не любят длинных путей к "временному" каталогу). Перезагружаемся.
Перенос папки каталога TMP, шаг 1

3.1 Для освобождения системного диска от ненужной нагрузки(и данных) полезно переместить туда и файл виртуальной памяти. Для этого опять входим в Панель управления->Система->закладка Дополнительно->раздел Быстродействие, кнопка Параметры, затем закладка Дополнительно, раздел Виртуальная память, кнопка Изменить. После этого сначала у выбранного диска меняем размер с "Без файла подкачки" до "Особый размер". Исходный я обычно ставлю 200М(при меньшем размере система не может выполнять некоторые действия). Максимальный размер ставится, в зависимости от программ и объёма ОЗУ от 1.5 до 2.5 размера ОЗУ. Я обычно при большом объёме ОЗУ ставлю размер в 1.5 ОЗУ. Затем, когда мы указали параметры виртуальной памяти на диске временных данных, выбираем системный диск и ставим ему тип "Без файла подкачки" Перезагружаемся.
Перенос файла виртуальной памяти, шаг 1

    4. После всех этих, проводимых один раз, подготовительных действий, делаем образ системного диска. Я делаю его с помощью программы Acronis True Image, но можно делать и с помощью Norton Ghost или других программ. Образ сохраняем на раздел архивных данных, копию, после того как создан файл образа, полезно сохранить и на внешний диск.
    Обязательно! Ставьте "Проверку записанного архива" - иначе, при возможном сбое Вы потом не сможете воспользоваться всеми данными из этого образа.

    Действия 0(очень желательно) и 4 надо проводить периодически - раз в месяц, 2 недели, неделю. Настолько часто, насколько можете - но не реже раза в месяц. После установки новых системных программ(или большого количества обычных) желательно сделать внеплановую копию. Храним копии за последние несколько месяцев, желательно не менее 3-х.

    Теперь, если мы хотим восстановить работоспособности системы после случайного попадания на "вредоносный сайт", вирусов, троянов и пр. мы делаем следующие шаги:
    1. С помощью программы делаем текущий образ системы. Он может пригодиться в некоторых случаях.
    2. Делаем копию каталога Documents and Settings(Users) с помошью программы FAR(или Total Commander)на другой диск. При этом в FAR(или Total Commander) должна быть включена видимость скрытых и системных фалов - часть файлов в Documents and Settings(Users) именно такие. Некоторые файлы не будут копироваться, но это не страшно.
    3. (если необходимо) делаем из каталога Program Files копии каталогов тех программ, которые были установлены после того, как был сделан последний образ системного диска.
    4. Восстанавливаем систему из последнего образа. Для этого потребуется перезагрузиться, выбрать последний рабочий образ системы и восстановить из него. Обязательно! Ставьте "Проверку записанного архива" - восстановление из повреждённого образа как минимум не позволит восстановить часть файлов, как максимум - придётся восстанавливать из более старого архива. Перегружаемся.
    5. (если необходимо) Копируем сохранённые каталоги программ в Program Files.
    6. Копируем обратно, поверх существующих файлов каталог Documents and Settings(Users) с помощью программы FAR(или Total Commander). Некоторые файлы не будут переписываться - но это не страшно.
    7. (если необходимо) Для "восстановленных" программ иногда необходимо добавить файлы из системных каталогов, которые они сами при установке туда поместили. Для этого подключаем образ, созданный в шаге 1 как диск(вот для чего мы основном это делали!), ищем "потерянные файлы, которые просят программы, и поместим в тот же самый каталог, в котором они были в диске-образе.
    8. Устраняем мелки несообразности в ссылках на рабочем столе и меню программ - поскольку данные были скопированы "поверх".
    9. Перезагружаемся.
    10 (желательно) Делаем образ "скорректированной" системы.

    Вот такие действия позволяют быстро(быстрее полной переустановки системы) и без потерь данных восстановить работоспособность своей системы и продолжить комфортно работать дальше. Я уже неоднократно этим пользовался - и по прежнему до сих пор работаю с "предустановленной" системой.
    Естественно работоспособность полностью восстанавливается если нет аппаратных ошибок. Проверить, при необходимости, работоспособность ОЗУ и HDD можно с помощью программ MemTest и Victoria for Windows соответственно. Но даже при проблемах с HDD можно впоследствии восстановить систему на новый диск из нашего образа. Также полезно делать образы и других, не только системных разделов - чтобы не потерять никаких данных. Копию остальных разделов можно как с помощью программы создания образа диска, с помощью которой мы делали образ системного диска, так и с помощью программы FAR(или Total Commander) с включенным отображением системных и невидимых файлов.

    UPD: Можно сэкономить десяток(или пару десятков) минут, если пропустить п.п.2 и 3.. Копия этих каталогов имеется в образе диска, который создан на шаге 1. После восстановления системы из предыдущего образа монтируем образ, созданный в шаге 1(достаточно нажать на образ диска - и мастер монтирования поможет Вам) и выполняем шаги 5 и 6, копируя файлы с "диска" образа. Экономия заключается в том, что при копировании, особенно в шаге 2, системе приходится открывать множество мелких файлов - что сильно тормозит процесс. При копировании из образа системы эти файлы открывать не надо, в образе системы они хранятся в виде единого архива. Экономия времени при такой последовательности действий может быть до нескольких десятков минут.
    Если у Вас избыточная паранойя(или в образе системы, который заменил неисправный, просто не установлен Acronis True Image можно распаковать эти каталоги на временное место до восстановления системы. Но при этом, поскольку копии будут делаться из образа диска, мы всё равно получим экономию времени - хотя и меньшую.

    UPD2:     Иногда в каталоге Documents and Settings(Users) бывает необходимо восстановить файлы, которые система не даёт заменить если она загружена(например "кусты" реестра, относящиеся к пользовательским настройкам). Тогда п.6 выполняем так:

    6.1 Распаковываем каталог Documents and Settings(Users) из сохранённого образа на временное место. Если в WinPE, который Вы будете использовать, есть Acronis True Image нужной версии(равной по версии, которой создан образ или более старшей) - этот шаг пропускаем.
    6.2 Загружаемся с любого WinPE, который поддерживает файловую систему на системном диске. В принципе можно использовать даже диски на основе Linux-систем, например LiveDisk от DrWeb-а. Я использую обычно Alkid LiveCD. Грузиться можно как с CD/DVD - так и с флеш-носителя.
    6.3 Копируем обратно, поверх существующих файлов каталог Documents and Settings(Users) из временного каталога(или прямо из образа - если в системе, с которой загрузились, есть Acronis True Image нужной версии). Желательно это делать с помощью программы FAR(или Total Commander).
    6.4 После копирования перезагружаеся в основную, установленную систему.

    Таким же путём восстанавливаем файлы, которые система не даёт изменить, и в других местах.

    Статья обсуждается на Всеобщем форуме в этом топе.
    Копия статьи помещена в мой дневник.