HashFlare

Восстановление данных, восстановление файлов.

Вирусная активность, недостаточная надёжность и безопасность, небольшой опыт пользователя, а так же системные сбои и другие форс-мажорные обстоятельства – всё это может привести к потере данных, которые Вы, возможно, никогда больше не увидите на своих компьютерах. Поэтому, мы не будем рассматривать банальный процесс лечения компьютера и серого вещества у пользователя в черепной коробке, а перейдём к последствиям и будем принимать меры, имея в руках конкретный инструмент восстановления.

1. Вирусы

1.1. Самый странный вирус, что мне пришлось встретить, это… который прячет данные. Больше похож на шутку, но злую какую-то, т.к. прячет он только каталоги (папки). Делает он примерно так: в свойствах папки указывает параметры, что-то в роде «Скрытый системный», «Системный», «Скрытый» и т.п. От этой папки создаёт ярлыки, причём в тех же местах, где лежат сами папки, а папки – делает невидимыми, прячет. Т.е. теперь при удалении ЯКОБЫ папки – папка удаляется, а информация – остаётся нетронутой. Всё это можно вернуть старой доброй программой «Total Commander». Устанавливаем программу, заходим, правой кнопкой «тыкаем» на нужные нам папки, тем самым выделяя их. После выделения нужных каталогов жмём «Файлы» — «Изменить атрибуты» — снимаем галочки (квадратики) с параметров «Архивный», «Только для чтения», «Скрытый» и «Системный». Жмём ОК. Заходим на повреждённый диск и видим, что все наши папки вернулись. Созданные ярлыки от папок теперь можно просто удалить.

1.2. Проникают в систему, приводя её в неработоспособный набор программ. В данном случае вирусы «упоминают» о себе в диспетчере задач, реестре, системных папках и прочем. Одна из их основных задач – мешать пользователю всеми возможными способами: не пускать на сайты антивирусов, соцсетей, а то и перенаправлять пользователя на другие ресурсы. К примеру – для загрузки какого-либо другого вредоносного кода. Так же может быть более безобидным и просто «грузить» процессор, виртуальную или оперативную память. Как, к примеру, вирус, маскировавшийся в «Диспетчере задач» под файл для работы системы csrss.exe, но имел другое имя и выполнял совсем неприятные функции — csrcs.exe . Похож по имени, правда?

1.2.1. Из этой «толпы злоумышленников» можно выделить наиболее встречаемых в последнее время, которые забивают свободное место на локальном диске. Причём, локальный диск, как правило – системный. Да-да, это – там, где у Вас установлена операционная система, установлены программы, драйверы и где находятся Ваши личные данные: сохранения игр, временные файлы истории браузеров, различных программ-редакторов и т.д. Забитый системный диск, в большинстве случаев (80-90%), приводит к «смерти» операционной системы. О том, как бороться с такими вирусами, а бороться с ними можно и никогда не поздно – тема несколько иная.

Причина – стандартная, т.к. свободное место на диске может занять как сам пользователь, так и, скажем грубо – вирус. Поэтому, не спешите ругать кого-либо за такую, какую-то, халатность. А данные – вытащим, главное – больше не «накосячить» и не звать к себе в гости «знакомого СуперМегоАдмина», который «…всё сделает!» простой переустановкой Windows. В таком случае – идите в магазин и купите бутылку водки, потому что всё то, что было привычным для Вас, что вы видели и чем пользовались на Вашем компьютере – ничего не будет и Вам придётся ВСЁ настраивать/устанавливать заново. О том, что делать, если ОС «умерла» таким способом и как спасти данные – чуть позже.

1.2.2. Клонирование вирусов – вещь не маловажная. Отличаются они от «обычных забивателей» тем, что они не просто занимают свободное пространство, а могут представлять собой целые либо части вирусов. Такие вирусы, как правило отключают либо вообще удаляют антивирусный продукт, установленный на Вашем ПК. Давно не встречалось такого рода вирусов, но они – существуют, к сожалению. Есть неопровержимые доказательства, что один и тот же вирус может создавать себе клонов, кол-во которых измеряется тысячами таких копий, располагаясь в различных папках и иметь разные, но очень похожие имена.

Данный вирус в любом случае приводит к торможению системы и безуспешной установке антивирусного продукта. Здесь необходимо либо разовые утилиты для сканирования и лечения, к примеру, «Dr.Web CureIt!». Или «ESET Online Scanner», но для его полноценной работы необходимо подключение к Интернету. Если и это не поможет – Вас должен спасти другой компьютер, подключённый через сеть. Ваши действия, примерно, таковы… Заходите в «Мой компьютер» и открываете полный доступ к дискам для пользователей из сети. Полный доступ – значит, что пользователь, находящийся по другой конец провода, имеет право на удаление/добавление/редактирование информации, имея полноценные права пользователя на заражённой системе. В нашем случае – нам необходимо удалить вирусы.
Определяемся сразу: есть первый компьютер – заражённый, второй – вполне рабочий и имеет у себя «на борту» установленный антивирус, и сетевой кабель.

Заранее – отключите Брандмауэр в Windows. Включается полный доступ к локальным и прочим дискам в Windows XP таким образом: «Мой компьютер» — правой кнопкой на нужном диске – «Свойства» — вкладка «Доступ» — жмёте на запись «Если, несмотря на это, вы всё равно…. щёлкните здесь.» — смотрите ниже поле «Сетевой общий доступ и безопасность» — ставите галочку на «Открыть общий доступ к этой папке» — а потом ставите галочку на «Разрешить изменение файлов по сети». Появляется бегущая строка, характеризующая применение параметров ко всей информации, находящаяся на данном диске. Если применение параметров длиться более 5-10 минут – жмите кнопку «Отмена». Не переживайте – у Вас всё получилось. Главное, проверьте – нет ли на втором компьютере таких же открытых на доступ дисков/папок, ибо это чревато заражением и второго компьютера.

В Windows 7 общий доступ открывается чуток иначе: «Мой компьютер» — правой кнопкой на нужном диске – «Общий доступ» – во втором меню жмём «Конкретные пользователи» — в первое поле вводим «Все» — кнопка «Добавить» — в поле ниже, в столбце «Уровень разрешений» указываем «Чтение и запись».
Так же может помешать запароленный доступ. Чтобы его отключить, необходимо: зайти в «Центр управления сетями и общим доступом» — слева «Изменить параметры общего доступа» — сделать выбор на «Отключить общий доступ с парольной защитой» — нажимаем «Сохранить изменения», где это требуется, и закрываем окна.

Теперь Вам необходимо создать локальную сеть из двух компьютеров. Так же Вам понадобиться сетевой кабель, для прямого соединения между двумя компьютерами. Где найти такой кабель – Ваша проблема. Можете попробовать найти его в специализированном магазине, или же заказать на изготовление у знакомых, занимающиеся созданием подобных вещей.
На заражённой системе заходите в «Сетевые подключения» — «Подключение по локальной сети» — правой кнопкой — «Свойства» — проматываете список «Компоненты, используемые этим подключением:» вниз до конца – выбираете «Протокол Интернета (TCP/IP)» — кнопка «Свойства» — «Использовать следующий IP-адрес:» — в поле «IP-адрес» вводите «192.168.0.1» без кавычек. На втором же компьютере указываем IP-адрес «192.168.0.2». Важно так же, чтоб рабочая группа на компьютерах была так же одинакова. Как правило – это WORKGROUP.
Заходим в «Сетевое окружение» на обоих компьютерах и проверяем – видны ли они друг другу. На каждом компьютере должно отображаться по 2 компьютера: первый – это компьютер, с которого проходит проверка сети, второй – тот, который подключён к сети.

Теперь на втором компьютере, которым мы будем лечить заражённую систему, в папке «Сетевое окружение», заходим на заражённый компьютер и выполняем сканирование открытых на доступ дисков антивирусной программой. Можно попробовать сделать это через антивирусную программу. Так же можете попробовать
Важно! Не делайте на втором компьютере «Подключить как диск», ибо вся эта гадость может попасть на второй компьютер.
1.3. Вирусы шифруют данные, что приводит к невозможности их использования. В таких случаях переустановка ОС не даёт необходимых результатов. Вообще. К сожалению. Вы вряд ли будете нуждаться в помощи админа, который всё решает путём переустановки ОС, поэтому можете смело отправлять его домой.

Вирус поражает ВСЕ данные, к которым есть необходимый ему доступ, а это, как правило, и есть весь Ваш контент. Вследствие этого – пользователь не может полноценно, как ранее, выполнять необходимые действия с информацией: слушать музыку, читать/редактировать текстовые документы, просматривать фото и т.д.
В данном случае компьютер находиться в работоспособном состоянии. Пользователю может быть закрыт либо открыт доступ в сеть. Файлы, находящиеся на данном ПК нельзя даже просто открыть. Работа со съёмными носителями поддерживается, что, можно сказать, и является единственным способом передачи информации. Единственный нюанс – не перезагружать и не включать компьютер с подключённым съёмным носителем, т.к. есть вероятность заражения данных на самом носителе во время загрузки ОС.

Переносить и спасать данные с компьютера в таком, «убитом» виде — не стоит. Это займёт достаточно много времени, да и просто – смысл, если все данные будут восстановлены на самой же заражённой системе. Через съёмный носитель на заражённую систему должен быть перенесён и запущен «программа-дешифровщик». Данную утилиту можно поискать в Интернете, а так же на сайтах антивирусных компаний.
Процесс расшифровки достаточно прост и не занимает много времени. При запуске дешифровщика он просит указать ему путь к одному из повреждённых файлов, дабы «понять и проверить» — получится ли восстановить данные из данного файла, тем самым показав – сможет ли дешифровщик «отремонтировать» и другие файлы. Будьте внимательны: иногда есть возможность удалить исходные файлы при удачном восстановлении информации, что не приводит к пустому использованию свободного места на жёстком диске. Смело включайте данную опцию, если Вам не нужны данные «убитые» файлы. К примеру – для отчётности.

Если уж Вы и проявили такую неосторожность и всё-таки перезагрузили/включили компьютер, то можете попробовать решить проблему путём форматирования съёмного носителя. Самый безопасный способ уйти от вируса – не просто отформатировать съёмный носитель, а полностью удалить раздел с последующим форматированием уже на целой, работоспособной ДРУГОЙ системе. Удалить раздел Вы можете с помощью специальной программы, к примеру, Acronis Disk Director Suite, установив и запустив её на заражённой системе. Можете попробовать найти какую-то портативную версию либо на загрузочном диске с различными сервисными утилитами и выполнить удаление раздела, как это говориться – из-под БИОСа.

Можете так же попробовать удалить раздел стандартными средствами: через «Панель управления» — «Администратирование» — «Управление компьютером» — «Управление дисками» — правая кнопка мыши на необходимом диске — «Удалить диск (или раздел)». Будьте внимательны! Не удалите один из локальных или любых других дисков. Процесс должен пройти ТОЛЬКО на нужном диске. В вашем случае – он съёмный и отображаться будет где-то внизу списка. Смотрите букву диска; она вряд ли будет диском D, E и тем более – не должна быть с буквой C.
Вероятность такого способа восстановления, при наличии всего инструментария и правильного подхода к проблеме – порядка 100%. Здесь большую роль играет активность антивирусных компаний – насколько быстро может быть выпущен необходимый инструмент для борьбы с проблемой, и, несомненно, навыки пользователя в Интернет среде.
1.4. Повреждают загрузочные сектора локальных дисков, что приводит к невозможности выполнять действия по спасению информации, установив ОС на другой локальный диск. В любом случае – загрузка начинается с вируса. Установить ОС можно, только «…воз и ныне там». Смысла в таком спасении – нет. Здесь необходимо либо лечение загрузочных секторов, либо реальная переустановка ОС с предварительным форматированием.

2. Надёжность и безопасность

2.1. Повседневные программы, которыми Вы пользуетесь, да и сама система, в принципе – «дырявые». Именно уязвимости в программной части и являются одной из причин проникновения вредоносного кода.
2.2. Положение у антивирусов на сегодняшний день так же не особо радует. Антивирусные компании, возможно, ведут свою войну, и каждый хочет отличиться. Эта «игра» заходит настолько далеко, что когда появляется на горизонте реальная проблема, то не всегда и не каждый может Вам помочь. А может это и является продолжением их войны. Бог его знает.
Тем не менее, обновляйте вовремя программную часть. Обновляйте как программы, так и антивирусные базы.

3. Пользователь

3.1. Продолжая абзац выше, хотелось бы сказать ещё следующее… Что касается обновления ОС – тут дело несколько другое и больше зависит от человеческого фактора. Обновлять ОС – дело, несомненно, нужное. Другое дело – что делать, если обновления стали причиной «смерти» операционной системы? Или некоторые программы/устройства перестали функционировать должным образом? А что делать, если компьютер начал тормозить после обновления? А что, если дело в обновлении, но только не системном? Просто так совпало, что Вы сделали каких-то пару-тройку разных крупных обновлений за промежуток времени, пока компьютер был включен. Не может такого быть? Да, без проблем — может. Знаете, подобных вопросов можно задавать кучу, если соглашаться на установку обновлений. Причём, Вы не задумывайтесь о том – каких вопросов здесь нет, а попробуйте хотя бы ответить на пару вот этих, которые указаны выше.
Обычный пользователь призадумается над ответом к вопросам. Другие ответят, что «…я всё решаю путём восстановления» и будут только от части правы, потому что «… что это за обновление системы», если сами обновления Вы не устанавливаете?
3.2. Пользователь, как говорилось выше, может стать причиной забитого системного диска, что приведёт к неработоспособности ОС.

4. Сбои

А теперь чуть продолжим разговор, но уже не о вирусах и пользователях, а о сбоях и форс-мажорных обстоятельствах.
4.1. Самым, что ни на есть, таким опасным сбоем можно считать нестабильное питание, либо резкое его отключение, а именно – во время усиленной работы «железа». Т.е. отключать компьютер из розетки – в принципе можно, но только в тех случаях когда, к примеру, компьютер простоял 2-3х кратный промежуток времени, за который он уже должен был бы выключиться и индикатор жёсткого диска перешёл в стабильное состояние — потух. Визуально, значок похож на цилиндр. Рисунок может быть и другого характера. Главное его отличие от всех остальных – как правило, он мерцает во время работы и, иногда, сопровождается характерным шумом, звуком, слабым треском.

4.2. «Брак» в «железной» части компьютера. Такая вещь, как брак жёсткого диска – вещь реальная и с ней может столкнуться любой смертный. Восстановить данные с такого диска – уже вещь несколько загадочная. Да и, смысла особого нет, ибо пользователь, как правило, только купил компьютер, настроил его. Отработало неделю – и накрылось всё медным тазом. За этот промежуток пользователь не успевает, в принципе поместить туда особо ценную информацию. В этом есть правило, что не надо сразу в подобную технику помещать ценную информацию. Загрузите его чем-нибудь пустым. Играми, например. Заодно и посмотрите – что за аппарат Вы купили. Совместите, тем самым, приятное с полезным.

Подобные сбои в питании, а так же всё то, что может привести раздел в неработоспособное состояние происходит из-за сбоя в структуре файловой системы. Возможно, проблема в файловой системе NTFS: она сбрасывается и диск переходит в состояние RAW. Что характерно в данных сбоях – информация на диске остаётся целой, и в него можно попасть и собрать ценную информацию.
Более того – данный способ легко используется при краже информации, когда компьютер находится под паролем, а именно – пароль при входе в операционную систему. Пароль на БИОС сбрасывается несколько другим способом: отключаете из розетки, вытаскиваете батарейку и оставляете на время компьютер с какой-либо перемычкой на контактах, где должна была стоять батарейка. Продолжительность разрядки – до 12 часов. Она расположена на материнской плате, имеет диаметр порядка 2-3х сантиметров. Хромированный цвет. Типоразмер 2032. На ней должно быть указано, смотрите внимательно. Данная информация должна использоваться только в целях восстановления информации более жёстким методом. Не правильное руководство ею может привести к незаконным действиям, что влечёт за собой административную и уголовную ответственность.

Выходы из ситуации:
— заходим в мой компьютер – жмём правой кнопкой на системном диске – «Свойства» – «Сервис» – «Выполнить проверку» – делаем проверку на ошибки с «Исправлением системных ошибок» и «Восстановлением повреждённых секторов». Можно попробовать так же вручную удалить немного мусора с него. Перезагружаемся и проверяем, удалось ли нам вернуть операционку к жизни.
— пробуем через утилиту Acronis Disk Director Suite задать/преобразовать в файловую систему NTFS, предварительно зарезервировав необходимые данные из 3х папок, о которых мы поговорим ниже.
— диск НЕ отображает объёма и говорит о летальном исходе файловой системы. Способ с восстановлением с помощью исправления ошибок не приносит желаемого результата. Что ж, будем восстанавливать!

5. Восстановление

При подобных сбоях делается путём запуска на компьютере ОС, которую можно не устанавливать. Вам понадобиться для этого пару аварийных дисков – диск с ОС Windows (сборка от Zver’я) и дистрибутив ОС из семейства Linux. К примеру, Ubuntu Linux вполне подойдёт для данных целей.
5.1. Диск Zver’я характерен тем, что он имеет не только установочные файлы ОС Windows, но и уже, так сказать, предустановленную и работоспособную систему, даже с некоторым важным антивирусным инвентарём на борту. Сейчас Вы там можете встретить важную, маленькую утилиту на панели «Быстрого запуска» (возле «Пуска») для ремонта реестра, пострадавший в результате вирусной атаки. Очень хорошая штука при лечении компьютера от вируса семейства WinLocker. Я думаю, что это – некий ответ народа, так сказать, антивирусным компаниям. Потому что это – больше похоже на «прокол» в чьей-то схеме заработка. Не досчитались простоты, так сказать, во время создания вируса.
Кстати, утилита Acronis Disk Director Suite так же есть на данном диске, и позволит Вам загрузиться из-под БИОСа.

5.2. Ubuntu Linux – одна из самых популярных операционных систем из семейства Linux, так как имеет, по словам разработчиков, самый дружелюбный и максимально понятный интерфейс. Но не это важно.
Важно то, что можно сделать с одним из этих дисков. Вставить диск с дистрибутивом, предварительно указать точку загрузки с самого диска, и в появившемся меню выбрать «Запустить без установки». Вы войдёте в систему и сможете побывать на разбитом Вашем системном диске, забрать с него всю ценную и необходимую Вам информацию. Вас должна волновать, как правило, лишь одна папка — «Documents and Settings», а если более подробно, то вам необходимо забрать и сохранить 3 папки, что лежат дальше:
Documents and SettingsИмя_Вашей_учётной_записиApplication Data
Documents and SettingsИмя_Вашей_учётной_записи Local SettingsApplication Data

Рабочий стол, и всё его содержание, находиться здесь:
Documents and SettingsИмя_Вашей_учётной_записиРабочий стол.
Скопируйте или переместите их на любой логический диск. Или сбросьте на флешку. Любым способом сохраните информацию.
Соберите даже все свои ярлыки, чтоб знать – какие Вам программы придётся установить. Они весят по 1 Кб каждый и много места не займут. После установки ОС и необходимых программ можете вернуть содержание 3х папок на своё место в уже НОВОЙ системе, где они были до этого, предварительно сделав проверку антивирусом.

Не желательным считать данный перенос параметров, когда происходит изменение типа ОС, т.к. это так же может привести к плачевным, непредсказуемым последствиям. Для этого дела лучше создайте образ только установленной ОС со всеми драйверами и установленными программами через утилиту Acronis True Image Home. А лучше даже сделайте один образ и после каждого значимого события просто обновляйте его. Если место на диске позволяет, то храните 3 образа ОС:
1) «голую». Без ничего;
2) ОС с драйверами;
3) с установленным программным обеспечением (ПО).

Можете создать ещё 4ый образ и просто обновлять его в ходе жизни ОС или даже ещё
2 образа: создаёте 1 новый, оставляете ещё один (ранее созданный) и удаляете самый старый.
Так же, для восстановления данных неплохо применять специальные программы-восстановители. Такие программы, как правило, в своём названии содержат англ. слово «Recovery», что означает «восстановление». Поищите, попробуйте поэкспереметировать на флешке. Ищите те, которые способны восстанавливать информацию даже после полного форматирования.
Во время установки ОС не делайте «Быстрое форматирование». Делайте обычное. Либо делайте поэтапное форматирование раздела (локального диска) через программу Acronis Disk Director Suite, с предварительным удалением раздела, как говорилось ранее.

Если Вам не удастся загрузиться с какого-либо диска, содержащий в себе данную программу, то попробуйте переключить режим работы жёсткого диска с ACHI на IDE. Как это сделать – ищите в просторах Интернета. Не забудьте, если что – потом обратно переключить, ибо компьютер на запуститься.

Так же – включите восстановление данных на системном диске стандартными средствами. Посмотреть её состояние и включить её можно в свойствах системы. Нажмите сочетание кнопок «Win (копка на клавиатуре с окном) + Pause» — вкладка «Восстановление системы» — поле «Параметры диска» — список «Доступные диски» — напротив системного диска должно быть указано – «Наблюдение». Для остальных дисков восстановление можно отключить. Для этого выделяете необходимый диск – кнопка «Параметры» — поставить галочку на «Отключить восстановление…» — кнопка «ОК» — «Применить» — «ОК». Не хотите возиться с Acronis True Image Home, то сделайте хотя бы такой минимум. Раньше данная опция была нежелательной, т.к. считалось, что процент восстановления вирусов очень велик. Но потом решили, что это – мелочь. Я тоже так думаю.
Успехов!

Поделитесь ссылкой с друзьями


Один вопрос Восстановление данных, восстановление файлов.

  1. Михаил:

    Здравствуйте!у меня в тел.ICQ,а в ноутбуке QIP,половину входящих сообщений не видно,но при этом видно набор текста,а исходящих сообщений и истории не видно вообще.Может надо порыться в настройках?

Добавить комментарий

Ваш e-mail не будет опубликован.

Подтвердите, что Вы не бот — выберите человечка с поднятой рукой:

Top