Как очистить компьютер от вирусов и восстановить систему

Сегодня я расскажу о том, как локализовать вирус, если он все-таки проник на ваш компьютер, как победить трояны и как восстановить систему после заражения руткитами, если все зашло слишком далеко.

Итак, если у вас есть подозрение на то, что компьютер заражен, первым делом вы должны выполнить следующие действия:

• отключить компьютер от сети интернет (вытащить UTP-кабель, погасить Wi-Fi);
• отключить от компьютера все внешние устройства (внешние жесткие диски, флешки, телефоны и прочее).

Все это необходимо сделать для изоляции зараженного компьютер от внешнего мира. Отключать компьютер нужно обязательно от доступа во внешний мир через интернет и от локальной внутренней сети, поскольку вредоносная программа практически со стопроцентной вероятностью попытается распространить себя на весь доступный ей сегмент.

К тому же если зловред является частью сети ботнет или содержит компоненты RAT, то он будет бездействовать и активируется в тот момент когда поступит управляющая команда из внешней сети. Это застрахует нас и от утечки локальных данных в сеть, на пример, через DNS-туннелированные или подобные хакерские штуки.

Следуя этой же логике, также рекомендуют как можно быстрее вытащить все подключенные к зараженному компьютеру устройства: к примеру, если это шифровальщик, то он может просто не успеет добраться до данных на внешних накопителях.

Восстанавление реестра

Реестр Windows, начиная с самых первых версий ОС, остается критически важным компонентом системы, по сути представляя собой базу данных для хранения различных параметров и настроек рабочего окружения, установленного ПО и самой Windows. Логично, что нарушение работы реестра или его повреждение грозит неработоспособным состоянием ОС.

Сам реестр, который открывается штатной утилитой regedit, физически представлен несколькими файлами, хранящимися по пути %SystemRoot%\System32\config\. Это файлы с именами SYSTEM, SOFTWARE, SECURITY, SAM, DEFAULT без расширений и доступные только для системных процессов NT AUTHORITY\SYSTEM, LocalSystem. Но если реестр открывать через штатный редактор, то эти файлы предстанут в виде большого иерархического дерева.

Первое, что приходит на ум, — это, конечно же, сделать бэкапы этих файлов и при необходимости просто заменить битые на резервные копии. Но из-под загруженной ОС простым копированием выполнить это не удастся, а экспорт данных с использованием regedit может получиться неполноценным. Поэтому рассмотрим инструменты, которые помогут нам в этом деле.

Штатные инструменты Windows для восстановления реестра

«Из коробки» Windows, к сожалению, не имеет отдельного инструмента, позволяющего делать резервные копии реестра. Все, что может дать система, — это функциональность морально устаревшей NTBackUp родом из эпохи Windows XP / 2003 Server или в новых ОС Windows 7, 8, 10 ее реинкарнацию в виде «программы архивирования и восстановления Windows», предлагающей создать целиком образ системы (всей системы — не реестра!). Поэтому рассмотрим лишь небольшой пример действий в консоли восстановления, позволяющих восстановить реестр вручную. По сути это операции замены битых файлов на инфицированной системе оригинальными файлами реестра из заранее сделанной резервной копии.

Загрузившись в Live CD режиме с установочного диска или с локально установленной консоли восстановления (для XP/2003), необходимо выполнить следующие команды, описанные самой Microsoft:

Все, перезагружаем машину и смотрим на результат!

Продвинутые методы восстановления реестра

Как мы выяснили, у Windows нет достойного инструмента управления реестром. Поэтому посмотрим, что же нам могут предложить сторонние производители.

Registry Backup представляет собой бесплатную утилиту резервного копирования, которая использует службу Windows Volume Shadow Copy Service для резервного копирования системного реестра. Позволяет создавать резервную копию и восстанавливать из нее реестр.

WinRescue — программа не бесплатна, но нам все же хотелось бы о ней рассказать. Основная ее функция — полное восстановление операционной системы Windows в случае ее крушения. Помимо этого, она позволяет делать резервные копии важных системных файлов и других пользовательских данных. Несмотря на устаревший интерфейс в стиле девяностых, софтина хорошо справляется со своими обязанностями.

ERUNT — возможности данной программы весьма обширны. Тулза позволяет восстанавливать реестр независимо от работы ОС. После запуска программы следует указать разделы реестра, которые нужны для сохранения в backup-файле, и подождать, пока утилита выполнит все необходимые действия. Для восстановления, к примеру, незагружающейся Windows 7 понадобится внешний аварийный загрузочный диск — тот же BartPE или Alkid Live CD. Но также можно использовать и среду восстановления. В этих случаях программа должна быть заранее установлена на жестком диске, а резервная реестра копия реестра уже создана.

Вирусы и MBR

Что такое MBR?

Чересчур углубляться в теорию не будем. В двух словах, MBR (master boot record) — это набор кода и данных, необходимых для первоначальной загрузки операционной системы с жесткого диска.

Поэтому MBR в русскоязычном варианте часто называют просто загрузочными секторами. MBR указывает переход в тот раздел жесткого диска, с которого следует исполнять дальнейший код, в нашем случае — загружать ОС.

Почему MBR — это важно?

Да потому, что вирусы еще с эпохи MS-DOS девяностых годов умела инфицировать не только исполняемые файлы, но и загрузочные сектора, обеспечивая таким образом себе запуск при старте системы.

Для защиты от подобного вида атак в BIOS даже появилась специальная опция Boot Virus Detection, позволяющая защитить загрузочный сектор жесткого диска от изменений на уровне микрокода базовой системы ввода-вывода.

Если алгоритм зловреда содержал ошибки, то MBR повреждался, и загрузка системы становилась невозможной. Но существовали и зловреды, которые специально могли потереть загрузочные сектора.

Дело в том, что MBR находится в «невидимой области» жесткого диска и не всеми стандартными средами резервирования можно сделать его бэкап.

Восстановление MBR в консоли

В эпоху Windows XP для восстановления системы без переустановки часто использовалась консоль восстановления. Ее можно было проинсталлировать на хард и выбирать как вариант запуска при загрузке машины или запускать с установочного диска данной ОС. Консоль выручала, когда при загрузке появлялось сообщение NTLDR is missing или были побиты системные файлы bootfont.bin, ntbootdd.sys, ntdetect.com и boot.ini. Независимо от причины в консоли подряд прописывались команды

Команда fixmbr позволяла найти и автоматически исправить ошибки в MBR. Команда fixboot помечала раздел как bootable, прописывала загрузчик ntloader в boot-сектор, копировала на раздел необходимые системные файлы и генерировала файл boot.ini. При следующем старте система, как правило, возвращалась в работоспособное состояние.

Продвинутые средства для восстановления MBR

Универсальным вариантом защиты MBR станет создание его резервной копии и при необходимости восстановление ее на боевую систему. Поскольку, как мы уже говорили, загрузочные сектора недоступны для редактирования из-под работающей ОС, необходимо воспользоваться специальными инструментами.

Comodo Backup — бесплатная утилита, предназначенная для того, чтобы создавать образы хардов, их разделов и, конечно же, MBR. Нас в данном случае будет интересовать именно MBR.

Итак, запускаем тулзу в режиме Live CD, выбираем опцию бэкапа mbr, далее место сохранения, и наша резервная копия готова! Если на инфицированной машине будет поврежден загрузчик, мы можем просто его восстановить, операция занимает всего несколько минут.

Путь от MBR до UEFI и GPT

В 2010 году на смену много лет существовавшей классической BIOS пришла новая технология, получившая название UEFI, а вместе с ней и изменения процесса загрузки, подталкивающие нас отказываться от MBR и использовать GPT. UEFI — это, по сути, обертка или интерфейс между ОC и микрокодом, вшитым в чипы материнской платы. Поэтому UEFI при инициализации загрузки использует не классический MBR, а GPT. В теорию вопроса мы опять же не полезем, для тех, кто хочет побольше узнать, поиск в помощь.

Поскольку структура GPT отличается от структуры классического MBR, сохранить его описанным выше способом не удастся. Выходом станет создание цельного образа системы, например штатной утилитой «Резервное копирование и восстановление данных Windows», бесплатным набором из Paragon Backup & Recovery Free Edition или коммерческой программой Acronis True Image. Но более подробно о том, как сделать бэкапы системы, мы поговорим в отдельной статье.

Спасение системных файлов

Нередко малварь из-за содержащихся в ней ошибок или сопротивляясь лечению повреждает некоторые системные файлы, что приводит ОС в неработоспособное состояние. Переустановка ОС в данном случае не наш выбор, так как это займет гораздо больше времени и, что немаловажно, затрет настройки ПО и прочую ценную информацию. Поэтому восстанавливать систему нужно точечными действиями, то есть именно в тех местах, где она была повреждена.

Проверка и восстановление системных файлов Windows

Штатная утилита SFC.EXE (System Files Checker) существует во всех версиях Windows, начиная еще с Windows 2000, и предназначена она для проверки состояния и восстановления системных файлов. Механизмы защиты важных системных файлов (обычно исполняемых *.exe, файлов библиотек *.dll и *.sys-файлов драйверов) проверяют целостность указанных файлов и, если те повреждены или отсутствуют, восстанавливают их до состояния по умолчанию.

На практике проверить целостность системных файлов Windows можно с помощью команды консоли

Но у sfc /scannow может не получиться исправить ошибки в системных файлах. В этом случае, как вариант, ты можешь ввести в командной строке

Эта команда создаст текстовый файл sfc.txt на твоем рабочем столе со списком файлов, исправить которые не удалось. Ты можешь его просмотреть и при необходимости вручную скопировать нужные файлы с другого компьютера с той же версией Windows или с оригинального дистрибутива ОС.

Наиболее критичные системные файлы:

• Ntoskrnl.exe — файл ядра операционных систем семейства Windows NT;
• Hal.dll, или слой аппаратных абстракций, реализованный в системном ПО, находится между физическим уровнем аппаратного обеспечения и программным обеспечением, запускаемым на этом компьютере;
• kernel32.dll — динамически подключаемая библиотека, ядро всех версий ОС Microsoft Windows. Содержит базовые APIWin32, такие как управление памятью, операции ввода-вывода, создание процессов и потоков и функции синхронизации;
• NTLDR, а чуть позднее IA64ldr и Winload — загрузчик операционных систем Windows NT;
• ntdetect.com — компонент операционных систем Microsoft семейства Windows NT, который используется в процессе запуска Windows NT до версии 6.0.

Накатим драйверы по-быстрому

Вирус может инсталлировать в систему свои драйверы, к примеру для перехвата данных, введенных с клавиатуры, или для скрытия следов своего присутствия в инфицированной системе. Таким образом, она может удалить оригинальный драйвер или некорректно попытается его пропатчить. Поэтому сейчас речь пойдет о том, как по-быстрому восстановить оригинальное состояние работающих в системе драйверов. Лучшим вариантом будет создать эталонный набор драйверов, инсталлированных в работающей системе, и при необходимости не ковырять каждый по отдельности, а восстановить их все разом. Для этого воспользуемся несколькими тулзами.

SlimDrivers — это одна из лучших программ для работы с драйверами. Софтинка позволяет искать и обновлять любые драйверы, восстанавливать их из резервных копий.

Double Driver — довольно маленькая бесплатная утилита для создания резервных копий драйверов. Все, что нам нужно сделать, — это архив с драйверами с оригинальной системы, сохранить архив в надежном месте и, открыв в той же программе, восстановить их обратно в систему. Все!

Фиксим проводник и другие ошибки системы

Даже после восстановления работоспособности системы и удаления малвари из ОС могут остаться неприятные следы — последствия инфицирования. К примеру, может пропасть ассоциация файлов с нужной программой, будет заблокирован штатный диспетчер задач Windows, недоступен редактор реестра (regedit), невозможно будет открыть панель управления. Что же с этим делать? Практически все изменения обратимы. Конечно, можно самостоятельно вручную копаться в реестре, искать нужные ключи конфигурирования и восстанавливать их, прописывая значения по умолчанию, но мы обратимся за помощью к специальным тулзам, заточенным под это дело. Итак, встречай!

• Fix for Windows — сборник универсальных фиксов и патчей для операционных систем Microsoft Windows. Утилита под одним капотом объединяет несколько блоков проблем, которые могут возникнуть, например фиксы разложены по категориям Boot, Speed, Desktop, LAN, Other и так далее. Переходя от одной категории к другой, можно ставить чеки напротив тех параметров, которые ты хочешь привести в порядок, например исправление проблемы с кодировкой и шрифтами, восстановление языковой панели, включение/отключение UAC, включение отображения скрытых файлов.
• Microsoft Easy Fix — бесплатная нативная утилита для устранения неполадок Windows, препятствующих нормальной работе операционной системы. Данный инструмент поможет выявить и решить самые распространенные проблемы с программным обеспечением Microsoft и сторонних разработчиков, влияющие на штатную работу системы.

  

• FixWin 10 — бесплатная программа, которая позволяет автоматически исправить многие надоедливые ошибки, а также решить другие проблемы с Windows, типичные не только для «десятки». Тулза позволяет решать следующие проблемы с помощью подпрограмм с говорящими названиями:

  

• File Explorer — борется с ошибками проводника (не запускается рабочий стол при входе в Windows, ошибки WerMgr и WerFault, не работает CD- и DVD-привод и другие);
  Internet and Connectivity — сетевые проблемы (сброс DNS и протокола TCP/IP, сброс файрвола, сброс Winsock и подобное);
• System Tools — ошибки при запуске системных инструментов Windows, например диспетчер задач, командная строка или редактор реестра были отключены администратором системы, отключены точки восстановления, настройки безопасности сброшены на настройки по умолчанию.
• Windows Repair Portable Free — бесплатный и легко переносимый инструмент для устранения различных неисправностей системы. Тулза позволяет восстанавливать параметры Windows к их значениям по умолчанию, что во многих случаях помогает исправить большинство неполадок, к примеру такие ошибки, как неверные права доступа к файлам, проблемы с Windows Update, штатным файрволом, и многое другое.

Запускаем сеть по-новому

Исходя из заложенных в нее алгоритмов, малварь может манипулировать сетевыми настройками системы, изменяя маршрутизацию трафика, подделывать разрешение DNS-имен и тому подобное. Соответственно, в этих условиях нескорые хосты, веб-сайты и облачные сервисы могут стать недоступны или работать некорректно. Также код малвари может содержать ошибки, некорректно отрабатывать, что в конечном счете способно полностью положить нашу сеть.

Восстанавливаем hosts

Больше всего на свете малварь любит манипулировать с файлом hosts, который находится в системной директории по пути %SystemRoot%\system32\drivers\etc\hosts. По сути, это обычный текстовый файл, содержащий локальную базу данных доменных имен и используемый при их трансляции в сетевые адреса. При разрешении имени удаленного хоста или веб-сайта запрос к этому файлу имеет приоритет перед обращением к DNS-серверам, прописанным в настройках сетевой карты. Малварь редактирует этот файл таким образом, чтобы все сайты разработчиков антивирусного ПО оказались недоступными вместе с репозиториями, содержащими обновленные антивирусные сигнатуры.

Другой кейс — это использование данного файла с целью фишинга, то есть перенаправления с IP-адресов легальных ресурсов, таких как социальные сети, онлайн-банк, на их поддельные аналоги. Но и решение данной проблемы тоже довольно простое. Достаточно будет заменить измененный hosts на оригинальный файл, к примеру взятый из резервной копии, или даже вовсе заменить его пустым файлом, не содержащим записей, но имеющим указанное имя и располагающимся по указанному пути. Кстати, нелишне было бы проверить, где hosts должен лежать в данном экземпляре системы, поскольку любое значение по умолчанию можно изменить. Точный путь расположения файла можно узнать в ключе реестра по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath.

Восстанавливаем работу сетевых служб

Второе, на что стоит обратить внимание при восстановлении работоспособности сети, — это состояние запущенных сетевых служб Windows. Есть случаи, когда зловред намеренно останавливает сетевую службу или ставит ее на паузу для собственных манипуляций, а после не успевает перезапустить или делает это с ошибкой. В результате у нас блокируется обмен сетевым трафиком. Вариантов тут несколько. Можно зайти через «Панель управления → Администрирование → Службы» или по-быстрому запустить ту же самую консоль через Win + R, написав services.msc. Мы видим список всех служб Windows, нас в данном случае интересуют только несколько сетевых:

• DHCP-клиент;
• DNS-клиент;
• веб-клиент;
• автонастройка WWAN;
• агент политики IPsec (если у тебя прокинуты VPN-сессии);
• брандмауэр Windows (если используется штатный файрвол);
• локатор удаленного вызова процедур (RPC);
• маршрутизация и удаленный доступ (ты знаешь об этом, если тебе это реально нужно).

Эти службы должны находиться в состоянии «Запущены/Работают». Если это не так, то можно щелкнуть по каждому указанному элементу, провалиться в отдельное окно, где, нажав на соответствующую кнопку, запустить или перезапустить сервис.

Ну и настоящий профессиональный вариант — это работа в консоли. Открываем CMD, пишем в нем net start или net start | more и видим, какие службы сейчас запущены.

Чтобы запустить службу, тут же из консоли достаточно набрать net start <имя службы>. Помнить названия всех служб необязательно, достаточно будет посмотреть подробное инфо с помощью команды sc query type= service state= all или глянуть готовый список тут.

Из консоли любую службу можно запустить по команде net start <имя службы>, например стартануть DNS можно так:

Итак, службы мы наладили, но сеть по-прежнему недоступна или работает с перебоями? Идем дальше!

Правим маршрутизацию и проверяем порты

Малварь может прописывать динамические маршруты в локальную таблицу маршрутизации Windows и менять таким образом обмен сетевым трафиком с другими хостами.
Например, если наша машина получает все сетевые настройки по DHCP-протоколу, в случае его некорректной работы мы останемся без интернета. Придется снова лезть в консоль!

Чтобы удалить новые маршруты и вернуть таблицу маршрутизации к исходному виду, набираем соответственно

Иногда этого может оказаться мало и приходится сбрасывать настройки к значениям по умолчанию. Вводим команды

Эти команды перезаписывают ключи в реестре на значения по умолчанию (как после переустановки винды):

В случае если сетевые настройки машина получает по DHCP, пригодятся следующие команды. Если, например, DNS-сервер не отвечает или не удается найти DNS-адрес сервера, то можно выполнить только сброс DNS такой командой:

Если не помогает, можно пойти на более радикальные меры, выполнив

Эти команды полностью обновят конфиг сети, выданный твоей машине локальным DHCP-сервером.

Теперь нужно сказать о портах, то есть тех интерфейсах, через которые, по сути, и идет обмен пакетами. Может статься, что малварь залочила какой-то важный системный порт или прослушивает один из свободных на предмет команд, приходящих из внешней сети. Список наиболее важных системных портов довольно короткий, его можно просто запомнить:

• SSH 21;
• DNS и DHCP 53,67, 68;
• email 25;
• web 80, 81;
• RPC 135, 443, 445.

Полный же список сетевых портов можно глянуть в любом справочнике. В большинстве операционных систем состояние сетевых служб можно посмотреть при помощи команды

Ключи команды netstat:

• -a — отображать все соединения и используемые порты;
• -o — отображать числовой идентификатор процесса, отвечающего за конкретное соединение (Process ID, или попросту PID);
• -n — указывает утилите netstat отображать реальные IP-адреса и цифровые значения портов вместо из DNS-имен.

В выводе можно увидеть состояние, в котором находится соединение:

• Established — соединение установлено (то есть кто-то к тебе подключился или ты к кому-то подключился);
• Listening — компьютер ожидает подключения по этому порту, то есть какая-то программа (процесс в памяти) слушает обращение на этот порт;
• Time_wait — программа, которая прослушивает порт, ожидает прихода пакета, чтобы перевести порт в одно из состояний, либо на порт долго не было обращений и по тайм-ауту программа готовится его закрыть.

В выводе мы видим большой листинг, содержащий IP-адреса и состояние порта. К сожалению, ассоциации с процессом в памяти здесь нет, поэтому приходится прояснять это вручную. Через знак : мы видим, какой процесс привязан к этому IP-адресу (то есть открыт порт, установлено соединение). Теперь нужно найти этот PID в листинге процессов командой tasklist | find «3104» и в выводе определить, какое приложение использует этот сетевой поток. Либо можно чуть упростить задачу — если тебе претит tasklist, можно воспользоваться системным диспетчером задач. Запусти его, нажав Ctrl + Shift + Esc, перейди на вкладку «Процессы». В меню «Вид» выбери пункт «Выбрать столбцы» и отметь столбец PID. Нужный процесс можно найти по значению этого столбца.

Если не хочешь работать в консоли, для графического вывода можно воспользоваться утилитами Process Explorer, TCPView, CurrPorts.

Список сетевых служб и соотносящихся с ними резервированных портов для NT-шных систем можно посмотреть в файле %SystemRoot%\system32\drivers\etc\services — это тоже по сути текстовый файл без расширения, который доступен к просмотру любым блокнотом.

И напоследок для всего из описанного выше, что мы делали руками, можно использовать тулзы, к примеру WinSock XP Fix. Данная утилита восстанавливает ключи реестра сетевых настроек системы со значениями по умолчанию. Помимо этого, она также:

• проверяет файл hosts на правильность указателя localhost (обязан ссылаться на адрес 127.0.0.1);
• создает бэкап текущих системных установок (по желанию пользователя);
• отключает все сетевые адаптеры и переустанавливает их параметры.

Нативная тулза с графическим интерфейсом Microsoft Fix it, о которой мы говорили, выполняет то же самое, что и команды netsh int ip reset и netsh winsock reset. Аналогична ей тулза Reset-TCPIP, которая выполняет все описанные комбинации консольных команд под одним GUI.

NetAdapter Repair — еще одна хорошая бесплатная тулза предназначена для исправления самых разных ошибок, связанных с работой сети и интернета в Windows. Краткий список ее возможностей:

• очистить и исправить файл hosts;
• включить Ethernet и беспроводные адаптеры сети;
• сбросить Winsock и протокол TCP/IP;
• очистить кеш DNS, таблицы маршрутизации, очистить статические IP подключений;
• перезагрузить NetBIOS.

Live CD как спасательный круг

И, продолжая нашу тему, мы просто не могли пройти мимо рассказа о Live CD сборках, предназначенных для восстановления системы. Изначально Livе CD позиционировался как инструмент для выполнения административных задач: подготовки жесткого диска, оперативного получения доступа к данным, хранящимся на дисках, и так далее. Сейчас же Live CD напоминают скорее универсальный спасательный круг для реанимации системы в случае различных падений, в том числе и после вирусной атаки. Главное их достоинство заключается в том, что все инструменты собраны под одним капотом и могут работать параллельно. Но есть и недостаток: чтобы загрузиться в Live CD режиме, нужно перезагружать машину, что в некоторых случаях для нас недопустимо.

Все известные антивирусные разработчики имеют бесплатные загрузочные диски для восстановления системы. Мы кратенько по ним пробежимся, но углубляться в детали не станем — мы же договорились в начале нашего материала, что будем использовать только те инструменты, которые не являются антивирусным ПО в чистом виде.

Live CD от вендоров антивирусного ПО

• Kaspersky Rescue Disk — как ты уже понял, это аварийный Live Disk на базе Gentoo Linux от российского вендора «Лаборатория Касперского». Среда восстановления содержит браузер, файловый менеджер, редактор системного реестра Windows. Помимо этого, есть возможность обновления антивирусных баз антивируса Kaspersky.

  

• Dr.Web Live CD — Live CD от компании Dr.Web, построенный на базе Gentoo Linux. В числе инструментария Dr.Web Live CD — средство диагностики оперативной памяти, утилита для правки системного реестра, обновление антивирусных баз, доступ к интернету через браузер Mozilla Firefox, два файловых менеджера и антивирусное средство (утилита Dr.Web CureIt!).

  

• Avira Antivir Rescue System —Live CD от немецкого производителя. Дас гут! Позволяет получить доступ к данным в файловом менеджере, содержит редактор реестра Avira Registry Editor, и пускает тебя в интернет через Mozilla Firefox. С помощью встроенной TeamViewer позволяет устанавливать удаленное подключение, а посредством GParted — перераспределять дисковое пространство.

Универсальные Live CD сборки

• Hiren’s BootCD — это диск, в котором собрано множество различных программ, в том числе и работающих в режиме DOS. Комплект поставки Hiren’s BootCD предусматривает не только непосредственно ISO-образ загрузочного диска, но и утилиту для его записи на оптический диск, а также утилиту HBCDCustomizer для создания образов загрузочных дисков с пользовательским содержимым.

  

• SystemRescueCd — известная универсальная среда восстановления, созданная на базе дистрибутива Gentoo Linux. Содержит инструменты для работы с жестким диском — разбивки на разделы, диагностики, сохранения и восстановления разделов. Умеет монтировать разделы Windows NTFS для чтения и записи. Содержит также средства для настройки сети, сетевых сервисов, средства поиска руткитов и антивирус.
• Alkid Live CD and USB — навороченный и потому универсальный загрузочный диск для восстановления системы, построенный на базе Windows XP. Работает с любых носителей — CD, флешек, USB-HDD и других. Содержит набор свежих антивирусов, утилит для работы с дисками и образами, бэкапа и поднятия системы, восстановления потерянной информации и паролей, создания новых администраторских учетных записей, возврата на точки отката и многого другого.