Файл удален вирусом

Если компьютер пользователя должным образом не защищен при помощи антивирусной программы, то его может ждать такой неприятный аспект как повреждение или удаление файлов вирусами. В этом случае восстановление данных может быть осуществлено, если точно вычислен сам механизм повреждения. Достаточно часто встречается ситуация, связанная с тем, что вирус элементарно стирает файл. Это становится возможным при вызове соответствующей функции заложенной в ОС. Данный случай не является критичным и восстановление файлов Windows вполне можно осуществить. Однако зачастую вирус осуществляет полную перезапись содержимого файла. Это сводит шансы на восстановление данных практически к нулю. В этом случае файл, в том виде в котором с ним работал пользователь невозможно восстановить.

Однако вирусы могут не только удалять файл или повреждать его. Они очень часто в последнее время зашифровывают файлы пользователя. В этом плане «отличился» вирус OneHalf. Он постепенно производил «захват» диска постепенно его зашифровывая. При этом пользователь не замечал кардинальных изменений в системе. После шифрования большей части диска, вирус останавливал его расшифровку и пользователю становились недоступны все файлы, которые находились на диске.

Расшифровку файлов сможет «взять на себя» лишь антивирусная программа. На сайте компании-разработчика антивирусной программы любой пользователь сможет найти описание вируса, которым оказался заражен его компьютер. В случае если вирус пошел по пути шифрования файлов, а не их физического уничтожения, то можно попытаться восстановить данные используя антивирусную программу.

Нередко вирусы «вторгаются» в компьютер с целью повреждения служебных областей, которые находятся в файловой системе. Важно, чтобы при этом смогла сохраниться информация о том где на диске расположены фрагменты поврежденных файлов. Наличие этой информации позволит буквально по крупицам «собрать» файл.

Разработчики Windows уже давно позаботились о том, чтобы максимально упростить пользователям процедуру восстановления данных. К примеру, в Windows XP системные файлы защищены благодаря специальному механизму Windows File Protection. Его основная функция сводится к тому, чтобы автоматически восстановить важные системные файлы если их удалили либо заменили устаревшего типа копиями, а также не имеющими цифровой подписи. Так, системные файлы заложенные в Windows XP эту подпись имеют и их перечень можно найти в базе данных, которой руководствуется WFP. Копии файлов хранятся в папках \system32\dllcache и в Windows\driver cache. Замена либо удаление системного файла служит для WFP отправной точкой для автоматического копирования «оригинальной» копии из \dllcache. Отсутствие там файла влечет за собой запрос от системы о том, что нужно воспользоваться установочным компакт-диском для возвращения файла. Удалив vga.sys, который находится в \system32, пользователь позволяет системе восстановить файл воспользовавшись копией из dllcache. В случае когда при работе системы восстановления файлов обнаруживается, что файл драйвера находится в \dllcache, но он не виден в \system32, то для пользователя это верный знак того, что в системе есть рукит.

Удаление этого вируса можно произвести воспользовавшись загрузкой в другую ОС, которая не заражена и там осуществить запрет на старт всех драйверов руткита.