Вкладки
Область
Вкладка “Область” содержит список дисков (гибких, локальных и сетевых), которые могут быть просканированы, если отмечены флажком. Поставить/убрать флажок можно щелчком правой кнопкой “мыши”, двумя быстрыми щелчками левой кнопкой мыши по имени диска, а также с помощью клавиатуры, используя клавиши управления курсором и клавишу “Пробел” для отметки дисков.
Для того чтобы быстрее отметить нужные диски, во вкладке “Область” можно поставить следующие флажки:
· Локальные диски - отметить все локальные диски вашего компьютера.
· Сетевые диски - отметить все доступные сетевые диски.
· Флоппи дисководы - отметить все гибкие диски вашего компьютера.
Кнопка “Добавить папку” - добавить папку для тестирования.
Клавиша <F5> обновляет список дисков.
Выделив объекты в окне вкладки “Область” и нажав правую кнопку мыши, Вы получите контекстное меню со списком действий над выделенными объектами.
В окне “Объект - Результат” вкладки “Область” Вы можете воспользоваться функцией поиска необходимого сообщения. Для этого необходимо вызвать окно поиска, нажав комбинацию клавиш <Ctrl> + <F> и в строку ввода ввести сообщение, которое необходимо найти. Для продолжения поиска необходимо нажать клавишу <F3> или воспользоваться кнопкой “Найти”. Если Вы хотите при поиске различать прописные и строчные буквы - поставьте флажок “Учитывать регистр”. Для выхода из окна поиска нажмите клавишу <Esc> или кнопку “Отмена”. Окно поиска можно вызвать только во время, или по окончании сканирования (т.е. когда в окне имеются какие-либо сообщения).
Объекты
Вкладка “Объекты” задает список объектов, подлежащих сканированию и типы файлов, которые будут тестироваться.
Во вкладке “Объекты” можно установить следующие флажки:
· Память - включить процедуру сканирования системной памяти (в том числе и High Memory Area);
· Сектора - включить процедуру сканирования системных секторов;
· Файлы - включить процедуру сканирования файлов (в том числе файлов и с такими атрибутами как System, Hidden и ReadOnly);.
· Упакованные объекты - включить Unpack Engine, распаковывающий для тестирования файлы, упакованные утилитами PKLITE, DIET, LZEXE и т. д.;
· Архивы - включить Extract Engine, позволяющий производить поиск вирусов в архивных файлах, созданных архиваторами ARJ, ZIP, RAR, LHA.
Для сканирования файлов электронной почты нужно во вкладке “Объекты” поставить следующие 2 флажка:· Почтовые базы данных - проверять базы данных электронной почты форматов:
· Microsoft Outlook, Microsoft Exchange (файлы.PST и.PAB, тип архива MS Mail);
· Microsoft Internet Mail (файлы.MBX, тип архива MS Internet Mail).
“Тип файлов” содержит четыре переключателя:
· Программы по формату - сканировать программы, т. е. файлы, имеющие внутренний формат запускаемых файлов DOS: COM, EXE и SYS, Windows: EXE, VxD, DLL и файлы, имеющие формат документов и таблиц Microsoft Office (OLE2). Таким образом, при проверке по формату проверяются все файлы, способные содержать код вируса.
· Программы по расширению - сканировать все файлы, имеющие расширения *.BAT, *.COM, *.EXE, *.OV*, *.SYS, *.BIN, *.PRG;
· Все файлы - сканировать все файлы, что соответствует маске *.*;
· По маске - сканировать по маскам, задаваемым пользователем в строке ввода, которая становится активной, если Вы выберете этот переключатель.
Действия
Вкладка “Действия” позволяет задавать действия на случай обнаружения зараженных (“Зараженные объекты”) и/или подозрительных (“Подозрительные объекты”) объектов во время сканирования.
Вкладка содержит четыре радиокнопки и два флажка:
· Только отчет - при обнаружении зараженных объектов программа будет только информировать Вас о найденных вирусах.
Отчет о них Вы увидите в окне “Объект - Результат” и в файле отчета, если Вы его ведете. Лечение и удаление зараженных объектов производиться не будет.
· Запрос на лечение - в случае обнаружения зараженного объекта, открыть диалоговое окно “Зараженный объект”;
· Лечить без запроса - автоматически лечить все зараженные объекты.
Если лечение зараженных объектов невозможно, то на экране появится сообщение: “Лечение NAME_OBJECT зараженного вирусом NAME_VIRUS невозможно. Удалить этот объект?”.
Где: “NAME_OBJECT” - название зараженного объекта, “NAME_VIRUS” - название вируса.
Если Вы нажмете кнопку “Да”, то данный объект будет удален и появится новое сообщение: Удалять все объекты, лечение которых невозможно? Если Вы нажмете кнопку “Да”, то все последующие зараженные объекты, которые не могут быть вылечены, будут удалены. Если нажмете кнопку “Нет”, то: для следующего зараженного объекта, который не может быть вылечен, снова появится сообщение: “Лечение NAME_OBJECT зараженного вирусом NAME_VIRUS невозможно. Удалить этот объект?”.
Если Вы нажмете кнопку “Нет”, то данный объект будет пропущен, и появится новое сообщение: Не удалять объекты, лечение которых невозможно? Если Вы нажмете кнопку “Да”, то все последующие зараженные объекты, которые не могут быть вылечены, будут пропущены. Если Вы нажмете кнопку “Нет”, то для следующего зараженного объекта, который не может быть вылечен, снова появится сообщение: “Лечение NAME_OBJECT зараженного вирусом NAME_VIRUS невозможно. Удалить этот объект?”.
Если зараженным объектом являются системные сектора (Boot, MBR, Partition Table), то при выборе Вами действия “Лечить” AVP выведет на экран предупреждающее сообщение: Лечение секторов - рискованная операция! Мы рекомендуем Вам сделать полную копию Вашего диска. Приступить к лечению прямо сейчас? Если Вы нажмете кнопку “Да”, то AVP приступит к лечению секторов немедленно. Если нажмете “Нет”, процесс сканирования остановится. Вы сможете выйти из AVP и сделать полную копию Вашего диска перед лечением.
· Удалять без запроса - автоматически удалять все зараженные объекты;
Если Вы установите флажок “Удалять без запроса”, то при запуске на сканирование AVP выдаст сообщение: Вы уверены в том, что Вы хотите УДАЛИТЬ ВСЕ зараженные объекты? Нажмите кнопку “Да”, если Вы подтверждаете свою установку для зараженных объектов или нажмите “Нет”, если Вы хотите изменить действия над зараженными объектами. При этом AVP откроет вкладку “Действия”, где можно выбрать новое действие и продолжить работу.
· Копировать в отдельную папку (“Зараженные объекты”) - в случае обнаружения зараженного объекта, копировать его в папку, имя которой можно указать в строке ввода рядом с флажком, по умолчанию имя папки “Infected” и расположена она в папке, где находится AVP.
· Копировать в отдельную папку (“Подозрительные объекты”) - в случае обнаружения подозрительного объекта, копировать его в папку, имя которой можно указать в строке ввода рядом с флажком. По умолчанию имя папки “Suspicious” и расположена она в папке, где находится AVP.
Настройки
Вкладка “Настройки” позволяет настраивать программу на различные режимы сканирования. Вы можете выбрать следующие флажки:
· Предупреждения - включить добавочный механизм проверки. При этом будет выводиться предупреждающее сообщение, если сканируемый файл или сектор содержит измененный или поврежденный вирус, а также, если в памяти компьютера обнаружена подозрительная последовательность машинных инструкций.
· Анализатор кода - включить механизм Code Analyzer, который способен обнаружить еще неизвестные программе вирусы в исследуемых объектах;
· Избыточное сканирование - включить механизм полного сканирования содержимого исследуемых файлов вместо стандартной обработки только “точек входа” (т.е. тех мест, где начинается обработка программ системой).
ВНИМАНИЕ! Режим избыточного сканирования рекомендуется использовать, когда вирус не обнаружен, но в работе системы продолжаются “странные” проявления (частые “самостоятельные” перезагрузки, замедление работы некоторых программ и др.). В остальных случаях использование этого режима не рекомендуется, так как процесс сканирования замедляется в несколько раз и увеличивается вероятность ложных срабатываний при сканировании незараженных файлов.
· Отчет о чистых объектах - показывать во время сканирования имя проверяемого объекта в столбце “Объект”, окна просмотра “Объект - Результат”. В столбце “Результат”, в свою очередь, напротив имени объекта будет появляться сообщение “в порядке”, если объект чистый.
· Отчет об упакованных объектах - показывать во время сканирования в окне просмотра “Объект - Результат”, в столбце “Объект” имя проверяемого упакованного объекта, а в столбце “Результат” название программы упаковщика, которым он упакован. В следующей строке, в столбце “Объект” - еще раз имя объекта. В столбце “Результат” будет появляться “в порядке”, если объект чистый или название вируса, которым заражен упакованный объект.
· Звуковые эффекты - подавать звуковой сигнал при обнаружении вируса;
· Слежение за отчетом - в окне просмотра “Объект- Результат” автоматически следить за последовательностью сканируемых объектов, прокручивая окно просмотра. Если выключить флажок во время сканирования, окно перестанет прокручиваться и остановится в нужном вам месте.
· Файл отчета - записывать файл отчета, в котором будет отражаться та же информация о тестировании, что и в окне “Объект - Результат”. Имя файла можно задать рядом в строке ввода (по умолчанию имя файла отчета - “Report.txt”).
Поставив флажок “Файл отчета” Вы получите доступ к двум вспомогательным флажкам:
· Добавить - новый отчет будет добавляться в конец старого файла отчета.
· Ограничение размера, Kb: - размер файла отчета можно ограничить, указав новый размер в строке ввода (по умолчанию размер файла отчета - 500 Kb).
Статистика
После окончания сканирования указанных объектов автоматически активизируется вкладка “Статистика”. Данная вкладка содержит результаты работы AVP.
Вкладка разделена на две части:
· Проверено - содержит число проверенных секторов, файлов, папок, архивных файлов и упакованных файлов, а также время проверки всех, указанных Вами, объектов.
· Найдено - содержит информацию о количестве известных вирусов, найденных тел вирусов, вылеченных объектов, предупреждений, подозрений на вирус, испорченных объектов, и ошибок ввода/вывода.
Управление из меню
Пункт «файл»
Пункт меню “Файл” содержит следующие команды:
· Сохранить настройки по умолчанию - записать текущие настройки в профайл (файл настроек программы), который имеет имя “Default.prf” и будет загружаться при запуске программы; (см. также Сохранение настройки по умолчанию).
· Загрузить настройки... - загрузить настройки из профайла; (см. подробно в "Загрузка настроек");
· Сохранить настройки… - записать текущие настройки программы в профайл; (см. подробно в Сохранение настроек);
· Выход - выход из программы.
Пункт “Поиск вирусов”
Пункт меню “Поиск вирусов” содержит следующие команды:
· Пуск - запуск AVP на сканирование по требованию.
· Стоп - остановка сканирования по требованию.
Пункт “Сервис”
Пункт меню “Сервис” содержит команду:
Обновить базы - открыть диалоговое окно “AVP Updates” автоматического обновления антивирусных баз. Вам будет предложено либо обновить антивирусные базы через Internet, в этом случае программа установит соединение с HTTP или FTP сервером, на котором находятся файлы обновления антивирусных баз AVP, и скачает последние антивирусные базы. Либо, если у Вас на компьютере уже имеются файлы с последними антивирусными базами, Вы сможете обновить их из локальной папки Вашего компьютера.
При этом в папку, в которой хранится AVP, будут скопированы (или перезаписаны поверх старых) все необходимые файлы, а устаревшие файлы будут удалены.
И в том, и в другом случае исходные файлы антивирусных баз должны быть в виде, пригодном для использования функцией AVP Updates. (см. Формат хранения файлов обновления)
Смотрите также:
Диалог “AVP Updates”
Диалог “настройка AVP Updates”
Пункт “?”
Пункт меню “?” содержит следующие команды:
· Содержание - содержание помощи, представляющее собой стандартное окно помощи Windows 95 с древовидной структурой.
· О программе AVP - информация о версии AVP, разработчиках, регистрации и технической поддержке продукта.
Просмотр файла отчета
Файл отчета представляет собой текстовой файл и может быть просмотрен и распечатан в любом текстовом редакторе, работающем под Windows 95 (например, “Блокнот”, “Word Pad” и т.д.). Для удобства просмотра файла в программе “Блокнот” (“Notepad”) необходимо включить опцию “Перенос по словам” (“Word Wrap”).
Список сообщений окна просмотра “Объект - Результат”
: в порядке.
В файле или секторе не обнаружено вирусов и подозрительных последовательностей команд.
: обнаружен вирус VIRUS_NAME.
В файле или секторе обнаружен вирус “VIRUS_NAME”, где VIRUS_NAME - имя вируса (например, OneHalf.3544).
: вирус VIRUS_NAME успешно удален.
Вирус удален из файла/сектора или произведена дезактивация памяти в случае поражения резидентным вирусом. Если выдано сообщение о наличии вируса в памяти, то по окончании работы AVP желательно произвести перезагрузку компьютера для большей безопасности.
: объект с вирусом VIRUS_NAME уничтожен.
Инфицированный файл удален с диска.
: удаление вируса VIRUS_NAME невозможно.
Файл некорректно заражен вирусом, лечение может испортить файл; либо файл/сектор находится на защищенном от записи диске.
: похож на вариант вируса VIRUS_NAME.
Обнаружено сочетание команд, которое принадлежит вирусу “VIRUS_NAME”, но дальнейшая проверка показывает, что полный набор команд отличается от набора команд вируса “VIRUS_NAME”. Если таких сообщений много, то очень вероятно, что это новая модификация вируса “VIRUS_NAME”.
: подозрение на вирус типа TYPE.
Это сообщение выдает модуль Code Analyzer, если в файле и/или секторе обнаружена последовательность команд, похожая на вирус (подробно см. раздел Сообщения Code Analyzer).
: ошибка ввода/вывода.
Файл или сектор диска находится на защищенном от записи диске или имеет атрибут ReadOnly, а переключатель “Лечить ReadOnly” (“Cure ReadOnly”) в настройке не установлен.
: упакован PACK_NAME.
Это сообщение выдается при обработке упакованного или иммунизированного файла. Где “PACK_NAME” название программы упаковщика, которой был упакован объект.
: архив ARHIV_NAME.
Это сообщение выдается при обработке архивного файла. Где “ARHIV_NAME” -название программы архиватора, с помощью которой был создан архив.
: UNKNOWN_NAME неизвестный формат.
Это сообщение выдается в тех случаях, если Extracting или Unpacking Engine не в состоянии распаковать файл. Такая ситуация встречается при сканировании файлов, упакованных новыми версиями паковщиков, запаролированных или испорченных архивов.
В окне “Объект - Результат” Вы можете воспользоваться функцией поиска необходимого сообщения. Для этого необходимо вызвать окно поиска, нажав комбинацию клавиш <Ctrl> + <F> и в строку ввода ввести сообщение, которое необходимо найти. Для продолжения поиска необходимо нажать клавишу <F3> или воспользоваться кнопкой “Найти”. Если Вы хотите при поиске различать прописные и строчные буквы - поставьте флажок “Учитывать регистр”. Для выхода из окна поиска нажмите клавишу <Esc> или кнопку “Отмена”.
Сообщения Code Analyzer
Сообщения выдаются в формате:
: подозрение на вирус типа TYPE - подозрение на вирус, где "TYPE" является одной из строк:
Com - файл выглядит как зараженный неизвестным вирусом, поражающим COM файлы;
Exe - файл выглядит как зараженный неизвестным вирусом, поражающим EXE файлы;
ComExe - файл выглядит как зараженный неизвестным вирусом, поражающим файлы формата COM и EXE;
ComTSR, ExeTSR, ComExeTSR - файл выглядит как зараженный неизвестным резидентным вирусом, поражающим файлы формата COM, EXE, или COM и EXE файлы;
Boot - файл/сектор выглядит как зараженный неизвестным boot-вирусом или как инсталлятор boot-вируса;
Trojan - файл выглядит как троянская программа;
Анализатор кода (Code Analyzer)
Анализатор кода (эвристический сканер) проверяет коды файлов и секторов по разным ветвям алгоритма сканируемой программы на наличие вирусоподобных инструкций и выдает сообщение, если обнаружена комбинация команд, таких как открытие или запись в файл, перехват векторов прерываний и т.д.
Конечно, этот алгоритм может давать ложные срабатывания, как и любой из подобных эвристических алгоритмов, но он был протестирован на очень большом количестве файлов, и при этом не было получено ни одного действительно ложного срабатывания. Если Вы обнаружите ложные срабатывания на неинфицированных файлах, вышлите в антивирусный отдел ЗАО “ЛАБОРАТОРИЯ КАСПЕРСКОГО” экземпляры этих файлов для анализа.
При сканировании кода Code Analyzer проверяет много ветвей алгоритма программы (включая несколько подуровней). Вследствие этого AVP работает примерно на 20% медленнее при включенном Code Analyzer, чем при выключенном. Но данный механизм определяет около 80% вирусов (включая многие шифрованные) из нашей коллекции, и мы рассчитываем, что новые неизвестные вирусы будут определяться с такой же вероятностью.