Если вам удалось восстановить flash-BIOS, то это еще не означает, что вы сможете немедленно начать работу на вашем компьютере. Скорее всего, системные области вашего винчестера сильно повреждены, и машина сможет загрузиться в лучшем случае с дискеты. Частично восстановить информацию помогут программы Fdisk и Unformat из стандартного набора MsDos и программы DiskEdit и NDD из нортоновских утилит. Крайне желательно, чтобы программа NDD умела поддерживать длинные имена, то есть входила в состав Norton Utilities for Windows 95/98. Так как на одну загрузочную дискетку весь этот набор явно не поместится, лучше всего заниматься "лечением", поставив винчестер вторым в пару к "здоровому".
Первым делом восстанавливаем код Master Boot Record при помощи команды Fdisk /mbr. Затем при помощи DiskEdit переносим в сектор 0/1/1 содержимое аналогичного сектора с какого-нибудь "здорового" винчестера. Перезагрузившись после этого, мы видим, что "погибший" диск уже виден в списке доступных, хотя и не читается. Запускаем NDD c ключом /rebuild. Это позволит перестроить таблицу размещения (Partition Table) главной загрузочной записи и исправить неправильные поля в вoot-секторе. Все, диск уже "живой", но в данных наблюдается месиво, поскольку таблицы размещения файлов (FAT) все еще испорчены. Теперь можно поступить двояко.
Во-первых, можно при помощи DiskEdit вручную синхронизировать содержимое обеих таблиц, либо имея перед глазами список повреждаемых вирусом секторов (который можно найти в Интернете), либо сравнивая обе копии FAT визуально. Работа это сложная, долгая, но приводит в итоге к неплохим результатам. Удается восстановить до 90% информации.
Во-вторых, можно заново отформатировать винчестер или просто переразметить его при помощи Fdisk со старыми параметрами. Данная операция очищает FAT-таблицы. После этого программой Unformat в автоматизированном режиме можно попытаться восстановить данные. Эта операция дает несколько худшие результаты, но не требует больших трудовых затрат.
Итак, оказалось, что поражение вирусом Win32.СIH не так уж фатально, как это пытаются представить народная молва и некоторые падкие на сенсацию средства массовой информации. Только не надо расслабляться: у вируса Win32.CIH существуют еще две модификации (правда, гораздо меньше распространенные), которые активизируются 26-го числа каждого месяца, а не только в апреле. Будьте бдительны!
Сам себе антивирус
Иногда возникает ситуация, когда антивирус предупреждает о возможном присутствии на вашем компьютере вируса, но не может его вылечить. Это обычно бывает, когда вы пользуетесь слишком старой антивирусной программой. Не беда! Имея голову на плечах, в отдельных случаях можно обойтись и без антивируса. Рассмотрим типичные ситуации.
Антивирус сообщает о наличии "заразы" в загрузочном секторе вашей дискеты. Просто сохраните информацию с дискеты на винчестере, отформатируйте дискету и скопируйте информацию назад.
Более сложный случай: антивирус "ругается" на загрузочный сектор вашего винчестера. Загрузитесь с чистой дискеты и выполните команду fdisk/mbr - загрузочный сектор будет исправлен. Одно важное исключение: эту операцию ни в коем случае нельзя производить при наличии на диске вируса OneHalf, поскольку он шифрует информацию на винчестере и, пока машина заражена, "на лету" расшифровывает, так что пользователь не замечает этого. Формально удалив вирус из загрузочного сектора без расшифровки данных, можно потерять информацию. Но вирус OneHalf легко опознать визуально, просмотрев нулевую дорожку винчестера при помощи программы DiskEdit. Если несколько секторов заполнены непонятным "мусором" и явственно выделяется надпись "Dis is one half", то лучше все-таки не рисковать.
Еще случай - вам прислали новый WinWord-документ, необходимо срочно работать с ним, а антивирусу он "не нравится". Выходим из Win-Word и удаляем файл NORMAL.DOT. При повторном запуске WinWord создаст новый, заведомо "здоровый". Для WinWord 6.0/7.0 в меню "Файл" выбираем "Шаблоны", потом "Организатор", потом "Закрыть файл" и "Открыть файл". Выбираем в качестве рабочего шаблона "подозрительный" документ и, если в окошечке появляется список макросов, просто поочередно удаляем их всех при помощи кнопки "Удалить". Документ "здоров", с ним можно спокойно работать. Для WinWord 97 кнопку "Организатор" можно найти, последовательно выбирая пункты меню либо "Сервис", "Макрос", "Макросы", либо "Сервис", "Шаблоны и надстройки". Дальше последовательность действий аналогична.
Выводы
В отличие от авторов некоторых антивирусных публикаций, я не пытался напугать читателя или, наоборот, развлечь его. Также в мои задачи не входило склонить читателя к использованию какой-либо конкретной антивирусной программы.
Я попытался трезво и объективно рассмотреть проблему, показать, что вирус - это серьезно, но не фатально, заставить читателя отнестись к компьютерным вирусам серьезно и бороться с ними "не числом, но уменьем".
В заключение несколько советов. Регулярно пользуйтесь свежими антивирусами. Не скапливайте на винчестере залежи старых версий антивирусных программ, они столь же опасны, как и просроченные таблетки. Если у вас есть доступ в Интернет, изредка наведывайтесь на http://www.avp.ru, http://www. dials.ru и http://virus.komi.ru, где можно не только прочитать достоверную информацию о новинках, но и скачать свежие обновления антивирусных баз.
Как это ни прискорбно, хакерство и компьютерные вирусы давно стали элементом мировой культуры и объективным фактором в жизни каждого пользователя. И относиться к ним надо примерно так же, как и к погодным условиям - внимательно следить за "прогнозом погоды": своевременно надевать плащ и брать зонтик, а если простудился, то пить правильную микстуру.
И не надо их бояться.