Краткое описание и особенности AVP
Эта программа - новый шаг в борьбе с компьютерными вирусами. Она представляет собой полностью 32-ух разрядное приложение, оптимизированное для работы в популярной во всем мире среде Microsoft Windows 95 (Windows NT) и использующее все ее возможности. AVP имеет удобный пользовательский интерфейс, характерный для Windows 95, большое количество настроек, выбираемых пользователем, а также одну из самых больших в мире антивирусных баз, что гарантирует Вам надежную защиту от огромного числа самых разнообразных вирусов.
В ходе работы AVP сканирует:
· Оперативную память (DOS, XMS, EMS).
· Файлы, включая архивные и упакованные.
· Системные сектора, содержащие Master Boot Record, загрузочный сектор (Boot-сектор) и таблицу разбиения диска (Partition Table).
Основные особенности AVP:
· Детектирование и удаление огромного числа самых разнообразных вирусов, в том числе:
* полиморфных или само шифрующихся вирусов;
* стелс-вирусов или вирусов-невидимок;
* новых вирусов для Windows 3.XX и Windows 95;
* макро вирусов, заражающих документы Word и таблицы Excel.
· Сканирование внутри упакованных файлов (модуль Unpacking Engine).
· Сканирование внутри архивных файлов (модуль Extracting Engine).
· Сканирование объектов на гибких, локальных, сетевых и CD-ROM дисках.
· Эвристический модуль Code Analyzer, необходимый для детектирования НЕИЗВЕСТНЫХ вирусов.
· Поиск в режиме избыточного сканирования.
· Проверка объектов на наличие в них изменений.
· “AVP Monitor” – резидентный модуль, находящийся постоянно в оперативной памяти компьютера и отслеживающий все файловые операции в системе. Позволяет обнаружить и удалить вирус до момента реального заражения системы в целом.
· Удобный пользовательский интерфейс.
· Создание, сохранение и загрузка большого количества различных настроек.
· Механизм проверки целостности антивирусной системы.
· Мощная система помощи.
Управление из командной строки и коды возврата
При запуске AVP из командной строки существует возможность задавать дополнительные ключи.
При этом командная строка может выглядеть так:
AVP32 [имя папки] [имя файла] [/P=имя_профайла] [/S] [/W] [/N] [/Q] [/@!=List_file] [/D]
где:
[имя папки] или [имя файла] - имя папки (папок) и/или файла (файлов), которые необходимо проверить;
ключ /P=имя_профайла - означает, что AVP запустится с теми настройками, которые были записаны в профайле с именем “имя_профайла”;
ключ /S - означает, что AVP запустится сразу на сканирование;
ключ /W - включает флажок "Файл отчета" во вкладке "Настройки", т.е. обязательно будет создан файл отчета, даже если в профайле указано, что не следует создавать его;
ключ /N - означает, что при запуске программы главное окно AVP будет свернуто в иконку.
ключ /Q - означает, что сразу после окончания сканирования главное окно AVP будет закрыто и программа будет выгружена из памяти;
ключ /@[!]=listfile.txt
где listfile.txt - текстовой файл (ASCII формат) в котором содержатся имена файлов или папок. Каждая строка этого файла должна содержать запись только об одной папке или файле. Использовать символы “*” и “?” для задания имен файлов не допускается.
В случае загрузки с этим ключом AVP сразу запустится на сканирование и будет проверять только те папки и/или файлы, которые перечислены в файле “listfile.txt”.
При добавлении символа “!”, файл “listfile.txt” со списком папок и/или файлов после окончания проверки будет удален.
Ключ /D - при использовании этого ключа, AVP32 не будет запускаться, если в этот день уже происходило сканирование и оно завершилось удачно (т. е. оно не было прервано и не было найдено вирусов).
Ключи можно использовать как вместе, так и отдельно друг от друга.
Запускать AVP на выполнение с указанными ключами можно следующим способом. Нажмите кнопку “Пуск” и выберите пункт “Выполнить...”, в появившемся окне “Запуск программы” в строке ввода укажите имя файла AVP32.EXE с необходимыми Вам ключами. Например:
AVP32 C:\MY_FILES /P=My_Settings /S /N /Q
Также в окне “Свойства” для ярлыка AVP32 в строке “Файл” можно указать необходимые Вам ключи и тогда при старте программы, с помощью ее ярлыка, AVP будет грузиться с указанными Вами ключами.
Поместив ярлык AVP в группу “Автозагрузка” Вы сможете запускать AVP автоматически сразу после загрузки Windows.
При использовании AVP в командном файле, после завершения его работы, можно получить следующие кода возврата (errorlevel):
0 - вирусов не обнаружено;
1 - сканирование не закончено;
2 - найдены объекты, содержащие измененный или поврежденный вирус;
3 - найдены объекты, подозрительные на вирус;
4 - обнаружен вирус;
5 - все обнаруженные вирусы удалены;
7 - файл AVP32.EXE поврежден;
10 - внутренняя ошибка программы AVP.
Как работать с AVP
Для удобства работы AVP поддерживает множество операций с мышью и клавиатурой. Чтобы активизировать нужный пункт меню (или вкладку), щелкните по нему левой кнопкой “мыши” или нажмите одновременно клавиши <Alt> и клавишу с буквой, подчеркнутой в выбранном пункте (вкладке).
Для перемещения по пунктам меню (или вкладкам) пользуйтесь стрелками перемещения курсора, мышью или комбинациями клавиш.
Чтобы выбрать команду в развернутом меню (вкладке), щелкните по ней левой кнопкой “мыши”, воспользуйтесь стрелками перемещения курсора или нажмите клавишу, соответствующую подчеркнутой букве.
Если какой-либо пункт меню развернут, а Вы хотите его свернуть, нажмите клавишу <Alt> или <Esc>, также можно щелкнуть левой кнопкой мыши в любо месте экрана.
Основные клавиши для управления программой:
· <Home> - перемещает курсор в начало редактируемого поля ввода.
· <End> - перемещает курсор в конец редактируемого поля.
· <Spacebar> - включает или отключает параметры, или нажимает кнопки.
· <Tab> - перемещает фокус к следующему элементу.
· <Shift+Tab> - перемещает фокус к предыдущему элементу.
· <Alt+Tab> - переход к другой открытой задаче.
· <Alt+Spacebar> - открывает системное меню.
· <Alt+F4> - закрывает активное приложение.
Запуск AVP и начало работы
При запуске AVP загружает антивирусные базы данных, тестирует оперативную память на наличие резидентных вирусов и проверяет себя (файл AVP32.EXE) на предмет заражения вирусом (при первом запуске AVP, также сообщает краткие сведения о программе, регистрации и технической поддержке). После успешной загрузки, в нижней строке окна программы выводится сообщение: “Антивирусные базы загружены. Известных вирусов: XXXX”, где XXXX - число вирусов.
Главное окно программы содержит три пункта меню (“Файл”, “Поиск вирусов”, “?”), пять вкладок (“Область”, “Объекты”, “Действия”, “Настройки”, “Статистика”), кнопку “Пуск” (во время сканирования кнопка “Стоп”), и окно просмотра “Объект - Результат”. При загрузке AVP всегда открывается вкладка “Область”.
Для того чтобы начать сканирование, необходимо выбрать во вкладке “Область” диски и/или папки, которые вы хотите проверить, а затем нажать кнопку “Пуск” или выбрать в меню “Поиск вирусов” команду “Пуск”. При этом AVP начнет немедленное сканирование всех отмеченных объектов. Выбрать диски и/или папки можно следующим образом: щелкнув два раза на нужном объекте левой кнопкой мыши или подведя курсор к нужному объекту и нажав клавишу <Пробел>. Чтобы быстрее отметить диски, во вкладке “Область” нужно поставить соответствующие флажки “Локальные диски”, и/или “Сетевые диски”, и/или “Флоппи дисководы”. Например, если поставить флажок “Локальные диски”, то будут выбраны все локальные диски Вашего компьютера, на котором установлен AVP. Если Вы хотите добавить в список новую папку, щелкните по кнопке “Добавить папку”. Перед Вами появится стандартное окно Windows 95, в котором нужно выбрать имя папки, которую Вы хотите добавить в область тестирования.
Если нажать кнопку “Пуск”, не указав диски и/или папки для сканирования, то AVP выведет на экран окно с сообщением “Не задана область сканирования. Пожалуйста, отметьте диски на закладке “Область”. В этом случае нажмите кнопку “OK” и выберите на вкладке “Область” диски и/или папки для проверки.
Если Вы хотите срочно остановить тестирование, нажмите кнопку “Стоп” или выберите команду “Стоп” из пункта меню “Поиск вирусов”. При этом на экране появится окно с сообщением “Остановить процесс сканирования?”. Нажмите кнопку “Да”, если Вы действительно хотите прервать сканирование, или кнопку “Нет”, если хотите продолжить сканирование.
По завершении процесса сканирования выбранных Вами объектов, или, если сканирование было прервано пользователем, AVP всегда открывает вкладку “Статистика”, в которой Вы можете видеть результаты работы программы.
Для выхода из программы необходимо выбрать в меню “Файл” команду “Выход” или воспользоваться комбинацией “горячих клавиш” <Alt> + <Ф> + <Ы> (при этом в Windows 95 должен быть включен русский регистр). Можно также использовать стандартный для Windows 95 способ (с помощью мыши, щелкнув по кнопке закрытия задач; с помощью системного меню, выбрав пункт “Закрыть”; или с помощью “горячих” клавиш <Alt> + <F4>).
Поиск и удаление вирусов
Перед тем, как начать проверку и/или лечение, Вы можете установить во вкладке “Действия” флажки “Копировать в отдельную папку” (для зараженных объектов и/или для подозрительных объектов). При этом Вам станет доступно поле для ввода имени папки. По умолчанию имя папки для зараженных объектов - “Infected”, для подозрительных объектов - “Suspicious”. Если Вы хотите изменить имена этих папок, то введите новое имя в строке ввода, предварительно удалив старое. Находиться эти папки будут в папке, где лежит AVP. Указав в строке ввода кроме имени папок еще и путь, Вы можете изменить расположение этих папок. Тем самым AVP сохранит зараженные и/или подозрительные объекты в указанных Вами папках.
Во вкладке “Область” отметьте нужные диски и/или папки. Для этого два раза щелкните на нужном объекте левой кнопкой мыши или подведите курсор к нужному объекту и нажмите клавишу <Пробел>. Чтобы быстрее отметить диски, во вкладке “Область” нужно поставить соответствующие флажки “Локальные диски”, и/или “Сетевые диски”, и/или “Флоппи дисководы”. Например, если поставить флажок “Локальные диски”, то будут отмечены все локальные диски Вашего компьютера, на котором установлен AVP.
Если Вы хотите добавить в список папку, щелкните по кнопке “Добавить папку”. Перед Вами появится стандартное окно Windows 95, в котором с помощью мыши или клавиатуры, нужно выбрать папку, которую Вы хотите добавить в область для сканирования.
Во вкладке “Объекты” отметьте флажками типы объектов, которые Вы хотите просканировать: “Память”, и/или “Сектора”, и/или “Файлы”, и/или “Упакованные объекты”, и/или “Архивы”.
Если не один из объектов не будет отмечен флажком, а Вы нажмете кнопку “Пуск” для запуска сканирования, AVP выведет на экран окно с сообщением “Не заданы объекты для сканирования. Пожалуйста, отметьте “Файлы” и/или “Сектора” на закладке “Объекты”. В этом случае нажмите кнопку “OK” и выберите на вкладке “Область” объекты для сканирования.
Во вкладке “Объекты” установите тип файлов, который будет тестироваться. Для надежности лучше проверить все файлы, для этого выберите “мышью” или клавишами управления курсором радиокнопку с надписью “Все файлы”.
При выборе режима во вкладке “Действия” лучше всего выбрать радиокнопку “Запрос на лечение”. В этом случае, при обнаружении очередного инфицированного объекта, на экране будет появляться диалоговое окно “Зараженный объект”, в котором можно задать действия с этим объектом.
Если Вы установите переключатели “Копировать в отдельную папку” (для зараженных объектов и/или для подозрительных объектов), то эти объекты будут копироваться в отдельные папки. Это может быть полезным, если Вы предварительно не создали резервные копии.
Во вкладке “Настройки” Вы можете установить дополнительные режимы для поиска вирусов: “Предупреждения” (рекомендуется включить), и/или “Анализатор кода” (рекомендуется включить), и/или “Избыточное сканирование”, а также указать дополнительные опции: “Отчет о чистых объектах”, и/или “Отчет об упакованных объектах”, и/или “Звуковые эффекты”, и/или “Слежение за отчетом”. Отчет о работе AVP можно записать в файл отчета. Имя файла задайте рядом в поле ввода (по умолчанию - имя файла “Report.txt”).
Диалоговое окно “Зараженный объект”
Если во вкладке “Действия“ установлен переключатель “Запрос на лечение”, то в случае обнаружения зараженного объекта на экране появится диалоговое окно “Зараженный объект”. В окне Вы увидите название зараженного объекта; название вируса, которым он заражен; и ряд действий, которые Вы можете предпринять с зараженным объектом. Список действий следующий:
· Только отчет - просто записать в файл отчета информацию об объекте и вирусе, который в нем найден.
· Лечить - лечить зараженный объект; при этом вирус будет удален из объекта, а сам объект будет восстановлен в работоспособном виде, близком к оригинальному.
· Удалить - удалить зараженный файл с диска.
К сожалению, лечение не всегда возможно, так как некоторые вирусы необратимо портят информацию. В случае, когда лечение не возможно появится сообщение: Лечение NAME_OBJECT зараженного вирусом NAME_VIRUS невозможно. Удалить этот объект?
Где: “NAME_OBJECT” - название зараженного объекта, “NAME_VIRUS” - название вируса.
Если Вы нажмете кнопку “Да”, то данный объект будет удален и появится новое сообщение: Удалять все объекты, лечение которых невозможно? Если Вы нажмете кнопку “Да”, то все последующие зараженные объекты, которые не могут быть вылечены и для которых Вы выберете “Лечить”, будут удалены. Если нажмете кнопку “Нет”, то: если в окне “Зараженный объект” включен флажок “Применить ко всем зараженным объектам”, то для следующего зараженного объекта снова появится сообщение: “Лечение NAME_OBJECT зараженного вирусом NAME_VIRUS невозможно. Удалить этот объект?”. Если же флажок выключен, то для следующего зараженного объекта вновь появится диалоговое окно “Зараженный объект”.
Если Вы нажмете кнопку “Нет”, то данный объект будет пропущен, и появится новое сообщение: Не удалять объекты, лечение которых невозможно? Если Вы нажмете кнопку “Да”, то все последующие зараженные объекты, которые не могут быть вылечены и для которых Вы выберете “Лечить”, будут пропущены. Если Вы нажмете кнопку “Нет”, то: если в окне “Зараженный объект” включен флажок “Применить ко всем зараженным объектам”, то для следующего зараженного объекта снова появится сообщение: “Лечение NAME_OBJECT зараженного вирусом NAME_VIRUS невозможно. Удалить этот объект?”. Если же флажок выключен, то для следующего зараженного объекта появится диалоговое окно “Зараженный объект”.
Если зараженным объектом являются системные сектора (Boot, MBR, Partition Table), то при выборе Вами действия “Лечить” AVP выведет на экран предупреждающее сообщение: Лечение секторов - рискованная операция! Мы рекомендуем Вам сделать полную копию Вашего диска. Приступить к лечению прямо сейчас? Если Вы нажмете кнопку “Да”, то AVP приступит к лечению секторов немедленно. Если нажмете “Нет”, процесс сканирования остановится. Вы сможете выйти из AVP и сделать полную копию Вашего диска перед лечением.
Также, Вам еще раз предоставляется возможность скопировать инфицированный объект в специальную папку, если Вы ранее во вкладке “Действия” не установили соответствующую опцию и не задали имя папки. Для этого поставьте флажок “Копировать в отдельную папку”, при этом инфицированный объект будет помещен в папку с именем “Infected”, которая будет находиться в папке, где находится AVP.
Выбранные действия Вы можете применить ко всем зараженным объектам. Для этого поставьте флажок “Применить ко всем зараженным объектам”. После этого, при обнаружении очередного зараженного объекта, диалоговое окно “Зараженный объект” уже появляться не будет. AVP выполнит указанные действия со всеми зараженными объектами. Результат этой работы будет виден в окне просмотра, файле отчета, если Вы его ведете, и отразится во вкладке “Статистика” по завершении работы.
Сохранение настройки по умолчанию
Если Вы хотите, чтобы данная настройка загружалась всякий раз при запуске программы, выполните команду (щелкните левой кнопкой “мыши” или используйте клавиатуру) “Сохранить настройки по умолчанию” из пункта меню “Файл”. При этом все текущие настройки AVP будут сохранены в файле “Default.prf”, который будет находиться в папке AVP и загружаться всякий раз при запуске программы (если в командной строке с ключом “P” не будет указано имя другого профайла).
Сохранение настроек
Программа AVP позволяет вам сохранить любое количество настроек. Для этого выберите в пункте меню “Файл” пункт “Сохранить настройки…”, далее в появившемся окне “Сохранить настройки”, которое имеет стандартный для Windows 95 вид, укажите путь и имя файла, в котором вы хотите сохранить настройки. Задав имя файла, нажмите кнопку “Сохранить”. Если вы хотите сохранить несколько настроек, повторите все действия, задав другое имя файла или другой путь.
Загрузка настроек
Если вы хотите работать с AVP, используя сохраненные ранее настройки, выберите в меню “Файл” пункт “Загрузить настройки...”, далее в появившемся окне “Загрузить настройки”, которое имеет стандартный для Windows 95 вид, укажите путь и имя файла, который вы хотите загрузить, или выберите нужный файл с настройками из списка. Далее нажмите кнопку “Открыть”.
Вкладки
Область
Вкладка “Область” содержит список дисков (гибких, локальных и сетевых), которые могут быть просканированы, если отмечены флажком. Поставить/убрать флажок можно щелчком правой кнопкой “мыши”, двумя быстрыми щелчками левой кнопкой мыши по имени диска, а также с помощью клавиатуры, используя клавиши управления курсором и клавишу “Пробел” для отметки дисков.
Для того чтобы быстрее отметить нужные диски, во вкладке “Область” можно поставить следующие флажки:
· Локальные диски - отметить все локальные диски вашего компьютера.
· Сетевые диски - отметить все доступные сетевые диски.
· Флоппи дисководы - отметить все гибкие диски вашего компьютера.
Кнопка “Добавить папку” - добавить папку для тестирования.
Клавиша <F5> обновляет список дисков.
Выделив объекты в окне вкладки “Область” и нажав правую кнопку мыши, Вы получите контекстное меню со списком действий над выделенными объектами.
В окне “Объект - Результат” вкладки “Область” Вы можете воспользоваться функцией поиска необходимого сообщения. Для этого необходимо вызвать окно поиска, нажав комбинацию клавиш <Ctrl> + <F> и в строку ввода ввести сообщение, которое необходимо найти. Для продолжения поиска необходимо нажать клавишу <F3> или воспользоваться кнопкой “Найти”. Если Вы хотите при поиске различать прописные и строчные буквы - поставьте флажок “Учитывать регистр”. Для выхода из окна поиска нажмите клавишу <Esc> или кнопку “Отмена”. Окно поиска можно вызвать только во время, или по окончании сканирования (т.е. когда в окне имеются какие-либо сообщения).
Объекты
Вкладка “Объекты” задает список объектов, подлежащих сканированию и типы файлов, которые будут тестироваться.
Во вкладке “Объекты” можно установить следующие флажки:
· Память - включить процедуру сканирования системной памяти (в том числе и High Memory Area);
· Сектора - включить процедуру сканирования системных секторов;
· Файлы - включить процедуру сканирования файлов (в том числе файлов и с такими атрибутами как System, Hidden и ReadOnly);.
· Упакованные объекты - включить Unpack Engine, распаковывающий для тестирования файлы, упакованные утилитами PKLITE, DIET, LZEXE и т. д.;
· Архивы - включить Extract Engine, позволяющий производить поиск вирусов в архивных файлах, созданных архиваторами ARJ, ZIP, RAR, LHA.
Для сканирования файлов электронной почты нужно во вкладке “Объекты” поставить следующие 2 флажка:· Почтовые базы данных - проверять базы данных электронной почты форматов:
· Microsoft Outlook, Microsoft Exchange (файлы .PST и .PAB, тип архива MS Mail);
· Microsoft Internet Mail (файлы .MBX, тип архива MS Internet Mail).
“Тип файлов” содержит четыре переключателя:
· Программы по формату - сканировать программы, т. е. файлы, имеющие внутренний формат запускаемых файлов DOS: COM, EXE и SYS, Windows: EXE, VxD, DLL и файлы, имеющие формат документов и таблиц Microsoft Office (OLE2). Таким образом, при проверке по формату проверяются все файлы, способные содержать код вируса.
· Программы по расширению - сканировать все файлы, имеющие расширения *.BAT, *.COM, *.EXE, *.OV*, *.SYS, *.BIN, *.PRG;
· Все файлы - сканировать все файлы, что соответствует маске *.*;
· По маске - сканировать по маскам, задаваемым пользователем в строке ввода, которая становится активной, если Вы выберете этот переключатель.
Действия
Вкладка “Действия” позволяет задавать действия на случай обнаружения зараженных (“Зараженные объекты”) и/или подозрительных (“Подозрительные объекты”) объектов во время сканирования.
Вкладка содержит четыре радиокнопки и два флажка:
· Только отчет - при обнаружении зараженных объектов программа будет только информировать Вас о найденных вирусах.
Отчет о них Вы увидите в окне “Объект - Результат” и в файле отчета, если Вы его ведете. Лечение и удаление зараженных объектов производиться не будет.
· Запрос на лечение - в случае обнаружения зараженного объекта, открыть диалоговое окно “Зараженный объект”;
· Лечить без запроса - автоматически лечить все зараженные объекты.
Если лечение зараженных объектов невозможно, то на экране появится сообщение: “Лечение NAME_OBJECT зараженного вирусом NAME_VIRUS невозможно. Удалить этот объект?”.
Где: “NAME_OBJECT” - название зараженного объекта, “NAME_VIRUS” - название вируса.
Если Вы нажмете кнопку “Да”, то данный объект будет удален и появится новое сообщение: Удалять все объекты, лечение которых невозможно? Если Вы нажмете кнопку “Да”, то все последующие зараженные объекты, которые не могут быть вылечены, будут удалены. Если нажмете кнопку “Нет”, то: для следующего зараженного объекта, который не может быть вылечен, снова появится сообщение: “Лечение NAME_OBJECT зараженного вирусом NAME_VIRUS невозможно. Удалить этот объект?”.
Если Вы нажмете кнопку “Нет”, то данный объект будет пропущен, и появится новое сообщение: Не удалять объекты, лечение которых невозможно? Если Вы нажмете кнопку “Да”, то все последующие зараженные объекты, которые не могут быть вылечены, будут пропущены. Если Вы нажмете кнопку “Нет”, то для следующего зараженного объекта, который не может быть вылечен, снова появится сообщение: “Лечение NAME_OBJECT зараженного вирусом NAME_VIRUS невозможно. Удалить этот объект?”.
Если зараженным объектом являются системные сектора (Boot, MBR, Partition Table), то при выборе Вами действия “Лечить” AVP выведет на экран предупреждающее сообщение: Лечение секторов - рискованная операция! Мы рекомендуем Вам сделать полную копию Вашего диска. Приступить к лечению прямо сейчас? Если Вы нажмете кнопку “Да”, то AVP приступит к лечению секторов немедленно. Если нажмете “Нет”, процесс сканирования остановится. Вы сможете выйти из AVP и сделать полную копию Вашего диска перед лечением.
· Удалять без запроса - автоматически удалять все зараженные объекты;
Если Вы установите флажок “Удалять без запроса”, то при запуске на сканирование AVP выдаст сообщение: Вы уверены в том, что Вы хотите УДАЛИТЬ ВСЕ зараженные объекты? Нажмите кнопку “Да”, если Вы подтверждаете свою установку для зараженных объектов или нажмите “Нет”, если Вы хотите изменить действия над зараженными объектами. При этом AVP откроет вкладку “Действия”, где можно выбрать новое действие и продолжить работу.
· Копировать в отдельную папку (“Зараженные объекты”) - в случае обнаружения зараженного объекта, копировать его в папку, имя которой можно указать в строке ввода рядом с флажком, по умолчанию имя папки “Infected” и расположена она в папке, где находится AVP.
· Копировать в отдельную папку (“Подозрительные объекты”) - в случае обнаружения подозрительного объекта, копировать его в папку, имя которой можно указать в строке ввода рядом с флажком. По умолчанию имя папки “Suspicious” и расположена она в папке, где находится AVP.
Настройки
Вкладка “Настройки” позволяет настраивать программу на различные режимы сканирования. Вы можете выбрать следующие флажки:
· Предупреждения - включить добавочный механизм проверки. При этом будет выводиться предупреждающее сообщение, если сканируемый файл или сектор содержит измененный или поврежденный вирус, а также, если в памяти компьютера обнаружена подозрительная последовательность машинных инструкций.
· Анализатор кода - включить механизм Code Analyzer, который способен обнаружить еще неизвестные программе вирусы в исследуемых объектах;
· Избыточное сканирование - включить механизм полного сканирования содержимого исследуемых файлов вместо стандартной обработки только “точек входа” (т.е. тех мест, где начинается обработка программ системой).
ВНИМАНИЕ! Режим избыточного сканирования рекомендуется использовать, когда вирус не обнаружен, но в работе системы продолжаются “странные” проявления (частые “самостоятельные” перезагрузки, замедление работы некоторых программ и др.). В остальных случаях использование этого режима не рекомендуется, так как процесс сканирования замедляется в несколько раз и увеличивается вероятность ложных срабатываний при сканировании незараженных файлов.
· Отчет о чистых объектах - показывать во время сканирования имя проверяемого объекта в столбце “Объект”, окна просмотра “Объект - Результат”. В столбце “Результат”, в свою очередь, напротив имени объекта будет появляться сообщение “в порядке”, если объект чистый.
· Отчет об упакованных объектах - показывать во время сканирования в окне просмотра “Объект - Результат”, в столбце “Объект” имя проверяемого упакованного объекта, а в столбце “Результат” название программы упаковщика, которым он упакован. В следующей строке, в столбце “Объект” - еще раз имя объекта. В столбце “Результат” будет появляться “в порядке”, если объект чистый или название вируса, которым заражен упакованный объект.
· Звуковые эффекты - подавать звуковой сигнал при обнаружении вируса;
· Слежение за отчетом - в окне просмотра “Объект- Результат” автоматически следить за последовательностью сканируемых объектов, прокручивая окно просмотра. Если выключить флажок во время сканирования, окно перестанет прокручиваться и остановится в нужном вам месте.
· Файл отчета - записывать файл отчета, в котором будет отражаться та же информация о тестировании, что и в окне “Объект - Результат”. Имя файла можно задать рядом в строке ввода (по умолчанию имя файла отчета - “Report.txt”).
Поставив флажок “Файл отчета” Вы получите доступ к двум вспомогательным флажкам:
· Добавить - новый отчет будет добавляться в конец старого файла отчета.
· Ограничение размера, Kb: - размер файла отчета можно ограничить, указав новый размер в строке ввода (по умолчанию размер файла отчета - 500 Kb).
Статистика
После окончания сканирования указанных объектов автоматически активизируется вкладка “Статистика”. Данная вкладка содержит результаты работы AVP.
Вкладка разделена на две части:
· Проверено - содержит число проверенных секторов, файлов, папок, архивных файлов и упакованных файлов, а также время проверки всех, указанных Вами, объектов.
· Найдено - содержит информацию о количестве известных вирусов, найденных тел вирусов, вылеченных объектов, предупреждений, подозрений на вирус, испорченных объектов, и ошибок ввода/вывода.
Управление из меню
Пункт «файл»
Пункт меню “Файл” содержит следующие команды:
· Сохранить настройки по умолчанию - записать текущие настройки в профайл (файл настроек программы), который имеет имя “Default.prf” и будет загружаться при запуске программы; (см. также Сохранение настройки по умолчанию).
· Загрузить настройки... - загрузить настройки из профайла; (см. подробно в "Загрузка настроек");
· Сохранить настройки… - записать текущие настройки программы в профайл; (см. подробно в Сохранение настроек);
· Выход - выход из программы.
Пункт “Поиск вирусов”
Пункт меню “Поиск вирусов” содержит следующие команды:
· Пуск - запуск AVP на сканирование по требованию.
· Стоп - остановка сканирования по требованию.
Пункт “Сервис”
Пункт меню “Сервис” содержит команду:
Обновить базы - открыть диалоговое окно “AVP Updates” автоматического обновления антивирусных баз. Вам будет предложено либо обновить антивирусные базы через Internet, в этом случае программа установит соединение с HTTP или FTP сервером, на котором находятся файлы обновления антивирусных баз AVP, и скачает последние антивирусные базы. Либо, если у Вас на компьютере уже имеются файлы с последними антивирусными базами, Вы сможете обновить их из локальной папки Вашего компьютера.
При этом в папку, в которой хранится AVP, будут скопированы (или перезаписаны поверх старых) все необходимые файлы, а устаревшие файлы будут удалены.
И в том, и в другом случае исходные файлы антивирусных баз должны быть в виде, пригодном для использования функцией AVP Updates. (см. Формат хранения файлов обновления)
Смотрите также:
Диалог “AVP Updates”
Диалог “настройка AVP Updates”
Пункт “?”
Пункт меню “?” содержит следующие команды:
· Содержание - содержание помощи, представляющее собой стандартное окно помощи Windows 95 с древовидной структурой.
· О программе AVP - информация о версии AVP, разработчиках, регистрации и технической поддержке продукта.
Просмотр файла отчета
Файл отчета представляет собой текстовой файл и может быть просмотрен и распечатан в любом текстовом редакторе, работающем под Windows 95 (например, “Блокнот”, “Word Pad” и т.д.). Для удобства просмотра файла в программе “Блокнот” (“Notepad”) необходимо включить опцию “Перенос по словам” (“Word Wrap”).
Список сообщений окна просмотра “Объект - Результат”
: в порядке.
В файле или секторе не обнаружено вирусов и подозрительных последовательностей команд.
: обнаружен вирус VIRUS_NAME.
В файле или секторе обнаружен вирус “VIRUS_NAME”, где VIRUS_NAME - имя вируса (например, OneHalf.3544).
: вирус VIRUS_NAME успешно удален.
Вирус удален из файла/сектора или произведена дезактивация памяти в случае поражения резидентным вирусом. Если выдано сообщение о наличии вируса в памяти, то по окончании работы AVP желательно произвести перезагрузку компьютера для большей безопасности.
: объект с вирусом VIRUS_NAME уничтожен.
Инфицированный файл удален с диска.
: удаление вируса VIRUS_NAME невозможно.
Файл некорректно заражен вирусом, лечение может испортить файл; либо файл/сектор находится на защищенном от записи диске.
: похож на вариант вируса VIRUS_NAME .
Обнаружено сочетание команд, которое принадлежит вирусу “VIRUS_NAME”, но дальнейшая проверка показывает, что полный набор команд отличается от набора команд вируса “VIRUS_NAME” . Если таких сообщений много, то очень вероятно, что это новая модификация вируса “VIRUS_NAME”.
: подозрение на вирус типа TYPE .
Это сообщение выдает модуль Code Analyzer, если в файле и/или секторе обнаружена последовательность команд, похожая на вирус (подробно см. раздел Сообщения Code Analyzer).
: ошибка ввода/вывода.
Файл или сектор диска находится на защищенном от записи диске или имеет атрибут ReadOnly, а переключатель “Лечить ReadOnly” (“Cure ReadOnly”) в настройке не установлен.
: упакован PACK_NAME.
Это сообщение выдается при обработке упакованного или иммунизированного файла. Где “PACK_NAME” название программы упаковщика, которой был упакован объект.
: архив ARHIV_NAME.
Это сообщение выдается при обработке архивного файла. Где “ARHIV_NAME” -название программы архиватора, с помощью которой был создан архив.
: UNKNOWN_NAME неизвестный формат.
Это сообщение выдается в тех случаях, если Extracting или Unpacking Engine не в состоянии распаковать файл. Такая ситуация встречается при сканировании файлов, упакованных новыми версиями паковщиков, запаролированных или испорченных архивов.
В окне “Объект - Результат” Вы можете воспользоваться функцией поиска необходимого сообщения. Для этого необходимо вызвать окно поиска, нажав комбинацию клавиш <Ctrl> + <F> и в строку ввода ввести сообщение, которое необходимо найти. Для продолжения поиска необходимо нажать клавишу <F3> или воспользоваться кнопкой “Найти”. Если Вы хотите при поиске различать прописные и строчные буквы - поставьте флажок “Учитывать регистр”. Для выхода из окна поиска нажмите клавишу <Esc> или кнопку “Отмена”.
Сообщения Code Analyzer
Сообщения выдаются в формате:
: подозрение на вирус типа TYPE - подозрение на вирус, где "TYPE" является одной из строк:
Com - файл выглядит как зараженный неизвестным вирусом, поражающим COM файлы;
Exe - файл выглядит как зараженный неизвестным вирусом, поражающим EXE файлы;
ComExe - файл выглядит как зараженный неизвестным вирусом, поражающим файлы формата COM и EXE;
ComTSR, ExeTSR, ComExeTSR - файл выглядит как зараженный неизвестным резидентным вирусом, поражающим файлы формата COM, EXE, или COM и EXE файлы;
Boot - файл/сектор выглядит как зараженный неизвестным boot-вирусом или как инсталлятор boot-вируса;
Trojan - файл выглядит как троянская программа;
Анализатор кода (Code Analyzer)
Анализатор кода (эвристический сканер) проверяет коды файлов и секторов по разным ветвям алгоритма сканируемой программы на наличие вирусоподобных инструкций и выдает сообщение, если обнаружена комбинация команд, таких как открытие или запись в файл, перехват векторов прерываний и т.д.
Конечно, этот алгоритм может давать ложные срабатывания, как и любой из подобных эвристических алгоритмов, но он был протестирован на очень большом количестве файлов, и при этом не было получено ни одного действительно ложного срабатывания. Если Вы обнаружите ложные срабатывания на неинфицированных файлах, вышлите в антивирусный отдел ЗАО “ЛАБОРАТОРИЯ КАСПЕРСКОГО” экземпляры этих файлов для анализа.
При сканировании кода Code Analyzer проверяет много ветвей алгоритма программы (включая несколько подуровней). Вследствие этого AVP работает примерно на 20% медленнее при включенном Code Analyzer, чем при выключенном. Но данный механизм определяет около 80% вирусов (включая многие шифрованные) из нашей коллекции, и мы рассчитываем, что новые неизвестные вирусы будут определяться с такой же вероятностью.
Механизм распаковки исполняемых модулей (Unpacking Engine)
В настоящее время достаточно широко распространены утилиты упаковки исполняемых файлов. Они записывают упакованный файл на диск со специальным распаковщиком. При исполнении такого файла этот распаковщик распаковывает исполняемую программу в оперативную память и запускает ее.
Пораженные вирусом файлы могут быть компрессированы такими паковщиками так же, как и неинфицированные. При сканировании обычными антивирусными программами пораженные таким образом файлы будут определяться как неинфицированные, так как тело вируса упаковано вместе с кодом программы.
Unpacking Engine распаковывает файлы, созданные наиболее популярными утилитами упаковки: DIET, PKLITE, LZEXE и EXEPACK различных версий, во временный файл и передает его на повторную проверку. Если внутри упакованного файла обнаружен известный вирус, то, возможно, его удаление. При этом исходный файл замещается распакованным и вылеченным. Механизм распаковки корректно работает и с многократно упакованными файлами.
Модуль распаковки работает также с некоторыми версиями иммунизаторов (программы, защищающие выполняемые файлы от заражения путем присоединения к ним контролирующих блоков) файлов (CPAV и F-XLOCK) и шифрующих программ (CryptCOM).
Механизм распаковки из архивов (Extracting Engine)
Проблема поиска вирусов в архивированных файлах (ZIP, ARJ, LHA и RAR) становится в данный момент, пожалуй, одной из самых насущных. Инфицированный файл может затаиться на несколько месяцев и даже лет, и быстро распространиться при невнимательном обращении с такими архивами. Особую опасность представляют архивы, хранящиеся на BBS.
С такой ситуацией успешно справляется механизм распаковки из архивов Extracting Engine. При сканировании архивов Extracting Engine распаковывает файлы из архива по заданной маске во временный файл и передает его для проверки основному модулю. После проверки временный файл уничтожается.
ЗАМЕЧАНИЯ!
1. AVP не удаляет вирусы из архивов, а только детектирует их.
2. Extracting Engine не распаковывает архивы, защищенные паролем.
AVP детектирует зараженный файл, даже если он зашифрован утилитой CryptCOM, затем упакован PKLITE и записан в архив программой PKZIP.
Как уберечься от компьютерных вирусов
Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Компьютерная профилактика состоит из небольшого количества правил, соблюдение которых значительно снижает вероятность заражения вирусом и утери каких-либо данных.
· Обязательно делайте регулярное резервное копирование.
· Покупайте дистрибутивные копии программного обеспечения у официальных продавцов.
· Создайте системную дискету. Запишите на нее антивирусные программы. Защитите дискету от записи.
· Периодически сохраняйте файлы, с которыми ведется работа, на внешний носитель, например, на дискеты.
· Проверяйте перед использованием все дискеты. Не запускайте непроверенные файлы, в том числе полученные по компьютерным сетям.
· Ограничьте круг лиц, допущенных к работе на конкретном компьютере.
· Периодически проверяйте компьютер на наличие вирусов. При этом пользуйтесь свежими версиями антивирусных программ.
|