Антивирус Doctor Web для Windows 95/98/Me/NT/2000/XP Dr.Web(R) для Windows 95-XP Версия 4.29 Copyright (c) 1992-2002, Игорь Данилов Антивирусная лаборатория И.Данилова, ЗАО "ДиалогНаука" Данная программа принадлежит к 32-битному семейству антивирусной программы Doctor Web (или Dr.Web). Это семейство включает в себя набор программ для Windows 95/98/Me/NT/2000/XP, DOS/386, OS/2, Novell NetWare, Linux, FreeBSD и Solaris. Программа предназначена для использования в 32-битных операционных системах семейства Windows (т.е. Windows 95/98/Me, а также Windows NT 4.0, Windows 2000 и Windows XP). УСТАНОВКА DR.WEB Полный комплект поставки (дистрибутив) программы Dr.Web для Windows 95/98/Me/NT/2000/XP включает в себя совокупность программ: DrWeb32W - оконная версия сканера Dr.Web для Windows 95-XP; SpIDer - резидентный сторож для Windows 95-XP; DrWebWCL - консольная версия сканера Dr.Web для Windows 95-XP (без оконного интерфейса); DrWeb386 - консольная версия сканера Dr.Web для DOS/386; DrWebScd - планировщик заданий. Все перечисленные компоненты кратко описаны далее, и при установке могут быть выбраны независимо друг от друга. ВНИМАНИЕ! Комплект поставки Dr.Web для домашнего использования (Home Edition) не включает в себя консольные версии сканера и планировщик заданий. Установка выполняется программой Setup, входящей в состав дистрибутива. Запустите программу Setup и следуйте ее указаниям. Если же дистрибутив поставляется в виде единого exe-файла, то для установки следует просто запустить этот файл на исполнение. Заметим, что все программы семейства Dr.Web устанавливаются в один и тот же каталог. В комплект поставки всех программ семейства входят два файла, одинаковые для всех программ - DRWEB32.DLL (основной программный модуль, ядро Dr.Web) и DRWEBASE.VDB (основная вирусная база Dr.Web). Одинаковыми для всех программ семейства являются также и дополнения вирусной базы, которые следует помещать в тот же каталог. Конфигурационный файл DRWEB32.INI также создается общим для всех программ семейства в том же каталоге. Однако настройки режимов задаются в этом файле в отдельных разделах для разных программ. Только пара программ для Windows - DrWeb32W и DrWebWCL используют один и тот же раздел конфигурационного файла, т.е. полностью одинаковые настройки. Файлы отчета создаются в том же каталоге отдельно для разных программ и имеют, по умолчанию, имена вида <программа>.LOG. Кроме того, в комплект поставки могут входить файлы языковых ресурсов, имеющие имена вида <язык>.DWL (например, RUSSIAN.DWL, GERMAN.DWL и т.п.). Такие файлы содержат тексты всех сообщений, выдаваемых этими программами на определенном языке, и являются одинаковыми для всех программ семейства Dr.Web. По умолчанию интерфейс всех программ англоязычный. Для программы с графическим интерфейсом (DrWeb32W) переключение языков делается с помощью отдельного меню в основном окне программы и, кроме того, для всех программ семейства - с помощью ключа командной строки /LNG. Для работы программы в режиме обновления через Интернет требуется наличие библиотеки WININET.DLL. В современных версиях Windows эта библиотека присутствует стандартно, а в некоторых ранних комплектациях Windows 95 и NT ее может не быть. Если при попытке обновления DrWeb32W возникает сообщение об отсутствии этой библиотеки, то в каталог c Dr.Web следует скопировать файл WININET.DLL, который как правило, можно получить из того же источника, где был получен дистрибутив Dr.Web. Однако обращаем ваше внимание, что из-за возможных несоответствий в версиях этой библиотеки не рекомендуется делать ее обновление, если на вашем компьютере она уже используется. ОСОБЕННОСТИ ПРОГРАММЫ DR.WEB ДЛЯ WINDOWS 95-XP Данная версия сканера Dr.Web для Windows 95-XP выпущена в двух вариантах: с графическим интерфейсом (DrWeb32W) и без него, консольный вариант (DrWebWCL). Оба варианта поддерживают одинаковый набор параметров (ключей) командной строки, перечень которых приведен ниже. В варианте с графическим интерфейсом все настройки могут производиться и из диалоговых панелей, что обычно бывает значительно более удобно. В то же время, консольный вариант требует несколько меньших ресурсов. ВНИМАНИЕ! Комплект поставки Dr.Web для домашнего использования (Home Edition) не включает в себя консольный вариант сканера. Оба варианта программы используют один и тот же конфигурационный файл и одну и ту же группу настроек в этом файле. Поэтому возможно попеременное использование обоих вариантов с настройкой требуемых режимов наиболее удобным способом. В Dr.Web для Windows 95-XP поддерживается совместная работа с ADinf32. Возможна также совместная работа c DOS-версией ADinf, но не с 16-битной версией ADinf для Windows. ЗАПУСК ПРОГРАММЫ DR.WEB Для всех консольных версий Dr.Web, т.е. версий без оконного интерфейса (DrWebWCL, DrWeb386, DrWeb2CL), запуск программы производится из командной строки и описан ниже в разделе "Формат командной строки программ семейства DrWeb32". Оконная версия Dr.Web для Windows 95-XP (DrWeb32W) тоже допускает вызов из командной строки, но типичным является вызов ее с помощью пиктограммы (иконки) антивируса на рабочем столе Windows. Однако, кроме такого традиционного способа вызова, оконная версия поддерживает более высокую степень интеграции с графическим пользовательским интерфейсом операционной системы. А именно, теперь из контекстного меню, которое открывается по клику правой кнопки мыши на пиктограммах, представляющих отдельные объекты файловой системы (файлы, папки, диски), а также на выделенных группах этих объектов, доступен пункт "Проверить Dr.Web". В частности, это средство доступно при работе в Проводнике (Explorer). ВНИМАНИЕ! Эта возможность включается в контекстное меню только при установке Dr.Web из дистрибутива. При обновлении Dr.Web через Интернет необходимые настройки в системе не производятся. Вызов антивирусной проверки реализован таким образом, что если в данный момент в системе запущена активная копия Dr.Web, то запрос на проверку указанных объектов передается ей. Это позволяет избежать затрат времени на повторный запуск антивируса. Если запрос передан активной копии Dr.Web, то при проверке объектов используются режимы, действующие для этой копии. Если же активной копии не было и для обработки запроса запускается новая копия Dr.Web, то ей передаются параметры, включающие следующие режимы: - проверяются все файлы, независимо от расширения имени; - проверяются архивы и упакованные файлы; - проверяются подкаталоги; - включен эвристический анализатор и после окончания обработки запроса копия Dr.Web остается активной. Это позволяет легко проанализировать результаты проверки. Следует отметить, что если Dr.Web уже занят обработкой некоторого запроса на проверку, то нет необходимости дожидаться ее окончания, чтобы затребовать (описанным выше образом) проверку чего-то еще - все запросы будут автоматически ставиться в очередь и обрабатываться последовательно. Кроме того, Dr.Web для Windows 95-XP обрабатывает запросы, задаваемые с использованием техники "drag-and-drop". Если требуется проверка какого-то файла или папки (или выделенной группы подобных объектов), то для проверки антивирусом достаточно "перетащить" соответствующий объект (или группу) и "бросить" его на главное окно Dr.Web или, если активной копии Dr.Web в данный момент в системе нет, - на пиктограмму антивируса на рабочем столе Windows. ПРОГРАММА SPIDER GUARD В комплект поставки Dr.Web для Windows 95-XP также входит программа SpIDer Guard для Windows 95-XP. Она является резидентной, т.е. постоянно находящейся в памяти компьютера, антивирусной программой. Программы этого типа принято называть сторожами. SpIDer перехватывает обращения к файлам и системным областям дисков и осуществляет их проверку на наличие вирусов "на лету". При обнаружении вируса SpIDer в автоматическом или полуавтоматическом (т.е. запрашивая пользователя о том, какие действия предпринять) режиме предпринимает действия по обезвреживанию или блокированию вируса. В результате доступ к объекту разрешается только в том случае, если последний не содержит вирусов - т.е. либо вирусов в нем не обнаружено, либо удалось их обезвредить. Кроме того, SpIDer поддерживает специальный режим работы, в котором обнаруживается и блокируется вирусная активность, т.е. попытки вирусов, в том числе неизвестных и даже неопределяемых эвристическим анализатором, заражать объекты на дисках компьютера. Для анализа объектов на вирусы SpIDer использует ту же вирусную базу и то же ядро, что и традиционный сканер Dr.Web. Программа SpIDer поставляется в одном комплекте со сканером Dr.Web для Windows 95-XP и устанавливается той же программой установки. При установке будет включена автоматическая загрузка сторожа в последующих сеансах работы Windows. В процессе загрузки SpIDer проводит тестирование оперативной памяти компьютера. После загрузки SpIDer его иконка помещается в правую часть панели задач Windows (System Tray). Нажатием правой кнопки мыши на этой иконке можно вызвать на экран меню SpIDer, а двойным нажатием левой кнопки - его панель настройки. НАСТРОЙКА ПРОГРАММЫ SPIDER ВНИМАНИЕ! Любое изменение настроек SpIDer вступает в силу только после перезагрузки MS Windows. Загруженный резидентный сторож SpIDer не может быть отключен или выгружен в течение всего текущего сеанса работы в MS Windows. Чтобы отключить автоматическую загрузку SpIDer в следующем сеансе работы в Windows, необходимо убрать флажок "Load at startup" (Автозагрузка программы), расположенный во вкладке "Scan" (Проверка), и завершить работу с панелью настроек нажатием кнопки . Группа переключателей "Scan on access mode" (Режим проверки "на лету") определяет, какие именно типы файловых операций подлежат перехвату "на лету", т.е. в каких случаях сторож должен проверять объекты, к которым происходит обращение. Можно установить следующие режимы: "Run and Open" (Запуск и открытие) - проверка программных файлов при запуске и всех открываемых файлов; "Create and Write" (Создание и запись) - проверка всех создаваемых новых файлов и всех существующих файлов при их изменении, записи в них; "Smart" (Оптимальный) - (1) на локальных жестких дисках антивирусная проверка выполняется как в режиме "Create and Write", т.е. только для файлов, в которые производится запись, в то время как файлы, открываемые только на чтение, в частности, при запуске программ, не проверяются. Другими словами, предполагается, что все файлы на локальных жестких дисках уже были проверены ранее, при их создании или изменении (впрочем, их все равно стоит периодически проверять, особенно при обновлении версии Dr.Web или дополнении вирусной базы); (2) на сетевых дисках и сменных носителях файлы проверяются всегда - при обращении к ним как на запись, так и на чтение (т.е. этот режим объединяет "Run and Open" и "Create and Write"). Замечание. В данной версии SpIDer перехват обращений к файлам на сетевых дисках обеспечивается только для стандартных сетевых клиентов Microsoft. Если используется другой сетевой клиент, например, Novell, то перехват обращений к файлам на сетевых дисках может не поддерживаться. Флажок "Virus activity control" (Контроль вирусной активности) включает (выключает) специальный режим работы SpIDer, который позволяет обнаруживать и блокировать попытки вирусов, в том числе неизвестных и даже не определяемых эвристическим анализатором, заражать файлы. При обнаружении вирусной активности имеется возможность запретить выполнение вызвавшей подозрения операции записи в файл. При этом, однако, следует иметь в виду, что в случае некоторых типов резидентных вирусов файл может быть в результате разрушен. ПРОЧИЕ ОСОБЕННОСТИ ПРОГРАММЫ SPIDER В процессе завершения сеанса работы в MS Windows 95/98/Me (ShutDown) SpIDer выполняет проверку загрузочного дисковода (A:), так как в случае, если в дисководе окажется зараженная загрузочным вирусом дискета, то это может представлять опасность при следующей перезагрузке системы. Если сторож SpIDer настроен на проверку открываемых файлов, то следует иметь в виду, что попытка проверки диска сканером Dr.Web может привести к заметным потерям времени из-за двукратного сканирования одних и тех же объектов. Поэтому для одновременного использования обеих программ рекомендуется тщательно продумать систему настроек на проверяемые объекты для каждой из них. ОСОБЕННОСТИ SPIDER ДЛЯ WINDOWS NT/2000/XP Резидентный сторож SpIDer Guard для Windows NT/2000/XP реализован в виде двух взаимодействующих модулей: драйвера-монитора файловой системы (SPIDER.SYS) и системной службы (SPIDERNT.EXE). Управление сторожем, в частности, возможность по желанию останавливать и запускать антивирусную службу, осуществляется через специальный элемент SpIDer Guard, расположенный в Панели Управления. Более подробно данный элемент управления будет описан ниже. Требования к системе SpIDer Guard для Windows NT/2000/XP (или кратко SpIDerNT) - резидентный антивирусный сторож, предназначенный для работы в среде операционных систем Windows NT 4.0 WorkStation, Windows 2000 Professional и Windows XP. Данная редакция SpIDerNT не предназначена для работы под управлением Windows Server (NT/2000). Главным образом, это обусловлено тем, что для рабочей станции и сервера существенно различаются сами задачи, которые должна решать антивирусная программа-сторож. Для серверных платформ Windows NT/2000 мы предполагаем выпустить специальную версию SpIDer Guard. Рекомендуемая для использования SpIDerNT аппаратная конфигурация: - процессор - Intel Pentium 166 (желательно Intel Celeron 266 или выше); системы на платформе Alpha не поддерживаются; - оперативная память - 32Mb (желательно 64Mb или выше); - для установки антивирусного пакета, включающего SpIDerNT, требуется около 5 Mb свободного пространства на жестком диске. Управление и настройка Функции по управлению и настройке SpIDer Guard для Windows NT/2000/XP распределены между двумя компонентами, входящими в комплект поставки сторожа: элементом Панели Управления "SpIDer Guard" и программой-агентом SpIDer. Элемент Панели Управления (Control Panel) "SpIDer Guard" имеет три раздела - суть "Управление", "Параметры" и "Уведомления". "Управление" позволяет: - Запускать и останавливать антивирусную службу по требованию пользователя. Для этого предназначены кнопки "Загрузить" и "Выгрузить" соответственно. - Задавать режим первоначальной загрузки сторожа - автоматический или ручной. В первом случае сторож будет автоматически запускаться при старте системы, во втором - запуск осуществляется по явному запросу пользователя, способом, описанным в предыдущем пункте. - Установить/удалить SpIDer Guard для Windows NT/2000/XP в смысле регистрации/дерегистрации антивирусной службы и драйвера в системе. Для этого предназначены кнопки "Установить" и "Удалить" соответственно. В "Параметрах" можно задать следующие две специальные установки: - Быстродействие: Размер списка проверенных файлов. Этот параметр оказывает влияние на скорость работы сторожа в режимах "Проверять файлы при открытии и запуске" и "Оптимальный" (в последнем случае - только при работе с сетевыми и сменными дисками). С увеличением значения этого параметра сторож работает более эффективно (в перечисленных режимах), однако использует больше оперативной памяти. По умолчанию, значение данного параметра принимается равным 100 (что соответствует, в среднем, 25Kb используемой памяти на каждый логический диск). Если система располагает достаточным ресурсом свободной памяти, то имеет смысл увеличить "Размер списка проверенных файлов" до 500-1000. - Особые настройки: Запретить работу с сетью. Этот параметр позволяет отключить проверку файлов на сетевых дисках. Его можно использовать в случае возникновения каких-либо проблем в работе с сетью при активном SpIDer Guard. "Уведомления" позволяют настроить систему оповещения сообщениями по локальной сети и/или по e-mail в случае обнаружения вирусной атаки. Основные возможности - Сканирование файлов в режимах "Run and Open" (Запуск и открытие), "Create and Write" (Создание и запись) и "Smart" (Оптимальный, т.е. файлы на локальных жестких дисках проверяются только при операциях записи; на сменных и сетевых дисках - как при записи, так и при открытии/запуске). - Лечение инфицированных файлов. - Дополнительные действия: блокирование доступа, переименование, перемещение зараженных файлов в специальный каталог. - Выполнение заданных действий как в автоматическом режиме, так и в режиме диалога с пользователем. - Перехват файловых операций на всех возможных файловых системах. При добавлении новой файловой системы SpIDer автоматически настроится на ее использование. - Перехват файловых операций на всех смонтированных томах, независимо от назначения букв дисков - в Windows NT/2000/XP допускается использование тома, даже если ему не назначена буква диска. - Поддержка локальной сети. SpIDer перехватывает обращение к файлам в локальной сети, как с использованием буквы диска, так и по имени ресурса (UNC). - Поддержка сменных носителей. SpIDer автоматически отслеживает операции монтирования/размонтирования томов при смене дисков. Ограничения текущей версии - Не поддерживается проверка загрузочного дисковода при завершении работы системы (Shutdown). - Не поддерживается запуск процедуры немедленного завершения работы системы (Shutdown) в качестве возможного действия при обнаружении вируса. - Не включена подсистема контроля вирусной активности - отслеживание поведения программ для определения возможной активности неизвестных вирусов (технология SpIDer-Netting). ПРОГРАММА DR.WEB ДЛЯ DOS/386 Сканер DrWeb386 функционально очень похож на традиционный Dr.Web для DOS и существенно отличается от него тем, что может работать под DOS только на процессорах 386 и выше, а управляется только ключами из командной строки. В то же время новая программа обладает следующими преимуществами: - практически отсутствуют ограничения на требуемый объем свободной основной (conventional) памяти - программа работает при менее чем 200Кб; - нет ограничений на поддержку архивов, созданных с использованием современных (ресурсоемких по памяти) методов архивации - RAR 2.00 и др.; - более высокая скорость работы - от 15-20% при оптимальной настройке 16-битной версии до 300% (и выше) при определенных неудачных для 16-битной версии условиях. Использование сканера DrWeb386 рекомендуется для антивирусной проверки компьютера под DOS, до загрузки Windows. В полном комплекте поставки Dr.Web для Windows 95-XP сканер DrWeb386 устанавливается той же программой установки, что и весь комплект. ВНИМАНИЕ! Комплект поставки Dr.Web для домашнего использования (Home Edition) не включает в себя сканер DrWeb386. ВСТРОЕННЫЙ МЕХАНИЗМ ОБНОВЛЕНИЯ ВЕРСИЙ DR.WEB Подсистема обновления версий обеспечивает автоматическую доставку и установку обновлений Dr.Web для Windows 95-XP через Internet или по локальной сети. Обновление работает для всех компонентов пакета, включая программные модули, вирусные базы, файлы системы помощи и документации. ВНИМАНИЕ! В варианте поставки Dr.Web для домашнего использования (Home Edition) обновление осуществляется только из некоммерческого раздела обновления (см. ниже). Со стороны клиента, т.е. рабочей станции, на которой установлен Dr.Web для Windows 95-XP, обновление обеспечивается специальным программным модулем DRWEBUPW.EXE. Обычно модуль обновления DrWebUpW вызывается из меню антивирусной программы-сканера DrWeb32W. При этом настройки подсистемы обновления могут быть в удобной форме заданы в соответствующем разделе диалоговой панели настроек сканера DrWeb32W. В некоторых случаях, например, при неполном комплекте файлов Dr.Web для Windows 95-XP, может быть использован и непосредственный вызов модуля обновления DrWebUpW. При этом допустимы ключи командной строки /GO, /QU, /INI и /LNG (см. ниже аналогичные ключи сканера Dr.Web). Отчет о процессе работы подсистемы обновления накапливается в файле DRWEBUPW.LOG. Основной настройкой подсистемы обновления является: UpdateURL = "сетевой или локальный ресурс" В качестве такого ресурса может быть задан: 1) Каталог на локальном или сетевом диске, например, "F:\DRWEB\UPDATE"; 2) Сетевой каталог, например, "\\UPDATE_SERVER\DRWEB\UPDATE"; 3) HTTP URL. Обновление через Internet поддерживается только по протоколу HTTP, и по умолчанию подсистема обновления настроена на обращение к некоммерческому разделу www-сервера ДиалогНауки "HTTP://WWW.DIALS.RU/DRWEB/FREE". С таким URL обновление доступно любому пользователю. В этом режиме обновление происходит в рамках текущей (актуальной) версии Dr.Web, а именно могут быть получены только дополнения вирусной базы и исправления имеющихся модулей данной версии. Для обновления из коммерческого раздела www-сервера ДиалогНауки следует задать имя ресурса "HTTP://WWW.DIALS.RU/DRWEB/UPDATE", а также имя пользователя и пароль: UserName = "имя пользователя" Password = "пароль" Требуемое имя пользователя и пароль определяются каждому подписчику службой регистрации ДиалогНауки (reg@DialogNauka.ru). Для обновления с других серверов эти данные определяются соответствующей службой. ЗАМЕЧАНИЕ для системных администраторов. Чтобы обеспечить для своих пользователей обновление версий DrWeb32 (свободное или коммерческое) с собственного www-сервера или по локальной сети, необходимо организовать специальный каталог и поместить в него набор тех же файлов, что подсистема обновления получает с соответствующего раздела сервера ДиалогНауки. Кроме того, в тот же каталог необходимо добавить файл DRWEB32.LST с описанием комплекта файлов. Если такой файл отсутствует в полученном комплекте, то он может быть дополнительно получен администратором с www-сервера ДиалогНауки по адресу: HTTP://WWW.DIALS.RU/DRWEB/<раздел>/DRWEB32.LST Для обращения к коммерческому разделу администратор сам должен быть в качестве пользователя зарегистрирован в ДиалогНауке для получения обновлений через Интернет. ПЛАНИРОВЩИК ЗАДАНИЙ DR.WEB В комплекте Dr.Web для Windows 95-XP поставляется специальный компонент - программа DrWebScd, являющаяся простым планировщиком заданий. Планировщик DrWebScd позволяет создавать и исполнять несложные расписания для запуска различных приложений, среди которых могут быть, в частности, сканер и подсистема обновления. ВНИМАНИЕ! Комплект поставки Dr.Web для домашнего использования (Home Edition) не включает в себя Планировщик. Единицей управления для Планировщика является Задание (Task), представляющее собой по сути описание - что, как и когда запускать. Планировщик запускает задания в соответствии с их описаниями, а также позволяет выполнять ряд сервисных функций (просмотр списка заданий, создание и удаление задания, изменение описания задания, включение и отключение задания). После запуска Планировщика он становится активным, и признаком этого служит иконка с часами в правой части панели задач Windows (System Tray). Двойным нажатием левой кнопки мыши (или одинарным - правой) на этой иконке вызывается панель Планировщика, содержащая список заданий и меню Планировщика. Среди настроек Планировщика при его запуске всегда включается режим автозагрузки, означающий автоматическую активизацию Планировщика при каждой перезагрузке Windows. Если по каким-то причинам автозагрузку в следующем сеансе работы Windows требуется отключить, то нужно снять отметку в меню "Options | Load at startup" (Настройки | Автозагрузка программы). Для нового задания Планировщику указывается: - Title (Заголовок) - произвольное название задания; - Path (Путь) - имя программы, подлежащей запуску, с полным путем; - Parameters (Параметры) - набор параметров, которые должны быть переданы запускаемой программе в командной строке, если таковые требуются; - Расписание запусков - поддерживаются следующие типы расписаний: - Once (Однократно) - указывается точная дата и время запуска задания; - Hourly (Ежечасно) - указывается, на какой минуте каждого часа запускать задание; - Weekly (Еженедельно) - указывается день недели и время запуска в этот день; - Monthly (Ежемесячно) - указывается число месяца и время запуска в этот день; - Yearly (Ежегодно) - указывается число, месяц и время запуска в этот день; - Daily (Ежедневно) - указываются дни недели (в отличие от еженедельного запуска здесь их разрешается указать несколько, например, понедельник, среда, пятница) и время запуска в этот день. Задание может быть временно выключено из обработки Планировщиком без удаления самого задания. Для этого нужно в настройках задания снять отметку в поле "Enable" (Разрешить). Замечание. Если время запуска задания по некоторому расписанию уже прошло, а задание не было реально выполнено (например, так может получиться, если компьютер был в то время выключен), то существующая реализация Планировщика всегда назначает для данного задания следующее по расписанию время запуска. Таким образом, отложенные запуски пропущенных заданий не поддерживаются. Вот некоторые примеры типовых заданий. 1) Update - автоматическое обновление Dr.Web, а именно еженедельный запуск (по понедельникам в 10:15) программы обновления DrWebUpW из каталога, куда установлен Dr.Web, с параметром /GO. Разумеется, программа обновления должна быть предварительно настроена на соединение с нужной файловой областью обновления через Интернет или по локальной сети. 2) Daily_Scan - автоматический ежедневный запуск (в 10:30) сканера, а именно проверка конкретного каталога G:\INCOMING, куда поступают новые файлы по различным каналам, с помощью программы DrWebWCL с параметрами G:\INCOMING /GO /WA /HA /FM /TM- /TB- 3) Full_Scan - автоматический периодический запуск (по средам и пятницам в 13:00) сканера, а именно полная проверка памяти и всех разделов жесткого диска с помощью программы DrWebWCL с параметрами * /GO /WA /HA /AL Если при установке Dr.Web пользователь заказывает использование Планировщика, то программа установки активизирует Планировщик и предусматривает ряд типовых заданий в расписании Планировщика, но для всех заданий снимает отметку "Enable" (Разрешить). Таким образом, после установки Dr.Web пользователю следует по своим потребностям настроить типовые задания и восстановить эту отметку, или описать собственные задания. РЕГИСТРАЦИОННЫЕ КЛЮЧИ ДЛЯ ПРОГРАММ СЕМЕЙСТВА DR.WEB Для программ семейства Dr.Web важную роль играет файл - регистрационный ключ. Программы семейства Dr.Web при отсутствии ключа регистрации работают в жестко ограниченном режиме. А именно, в этом случае программы имеют следующие ограничения: - при старте программы выдается сообщение о том, что данная версия является ознакомительной; - не проверяются архивы; - не проверяются почтовые файлы; - не проверяются упакованные исполняемые файлы; - не проводится эвристический анализ файлов; - невозможно лечение, удаление, перемещение и переименование зараженных и подозрительных файлов. Программы семейства Dr.Web без ключа регистрации распространяются свободно без каких-либо ограничений. Для более глубокого ознакомления с возможностями программ ЗАО "ДиалогНаука" распространяет (также свободно) специальный ознакомительный ключ регистрации - файл DRWEVAL.KEY. Этот ключ работает только с одной версией Dr.Web (с которой и распространяется) и включает некоторые функции (по сравнению с жестким режимом). А именно, с этим ознакомительным ключом программы семейства Dr.Web имеют следующие ограничения: - при старте программы выдается сообщение о том, что данная версия является ознакомительной; - не проверяются архивы; - не проверяются почтовые файлы; - невозможно лечение зараженных файлов. В отдельных случаях ЗАО "ДиалогНаука" или дилеры могут распространять и другие варианты ознакомительных ключей, с другим набором ограничений. Для того, чтобы пользоваться всеми возможностями программ семейства Dr.Web, нужно приобрести коммерческий ключ регистрации. Такой ключ регистрации, так же как и ознакомительный ключ, представляет собой специальный файл, который должен быть записан в каталог, где находится программа семейства Dr.Web, и тогда при запуске эта программа начинает работать как полная коммерческая версия. Ключ регистрации содержит имя пользователя, срок действия ключа и другую информацию. Этот файл защищен электронной подписью, что исключает возможность подделки ключей регистрации. Программы семейства Dr.Web могут поставляться в различном виде. Это может быть инсталляционный дистрибутив или просто архив. Инсталляционный дистрибутив может быть разбит на образы дискет 3.5" (1.44 Мб). На первой дискете находится программа SETUP.EXE, с запуска которой пользователь должен начинать установку программы. На этой же дискете может быть записан ключ регистрации, и тогда он автоматически копируется в каталог установки Dr.Web. Дистрибутив может также представлять собой единый exe-файл, запуск которого и начинает установку программы. В этом случае, а также при поставке ключа отдельно, ключ регистрации следует добавить после установки. Если на компьютере уже установлена ознакомительная версия Dr.Web, а ключ регистрации получен отдельно, то его нужно записать в каталог установки Dr.Web. ИНФОРМАЦИЯ О ЗАМЕЧЕННЫХ ПРОБЛЕМАХ 1) Hесовместимость с установленной версией системной библиотеки COMCTL32.DLL Проявление: при попытке открыть диалог настроек выдается сиcтемное сообщение об ошибке деления в модуле USER.EXE Причина: в системе установлена устаревшая версия библиотеки COMCTL32.DLL Рекомендации: обновить версию COMCTL32.DLL. Соответствующий пакет обновления (около 500 Кб) доступен на сервере фирмы Microsoft: FTP://FTP.MICROSOFT.COM/SOFTLIB/MSLFILES/40COMUPD.EXE а также на сервере фирмы ДиалогHаука: FTP://FTP.DIALS.RU/PUB/40COMUPD.EXE При поставке антивирусных программ ДиалогНауки на CD-ROM указанный пакет обновления (исполняемый файл 40COMUPD.EXE), как правило, записан на том же диске (подкаталог PUB). ФОРМАТ КОМАНДНОЙ СТРОКИ ПРОГРАММ СЕМЕЙСТВА DR.WEB Командная строка для запуска сканера Dr.Web имеет вид: <программа> [диск:][путь] [ключи] где программа - имя исполняемого модуля (DrWeb32W, DrWebWCL или DrWeb386), диск: - логический раздел жесткого диска, флоппи-дисковод, сетевой диск, CD-ROM, или * (все логические разделы локальных жестких дисков), путь - указание точного пути к файлам для проверки, включающего путь к каталогу на локальном или сетевом диске, или к сетевому каталогу, и, возможно, имя или маску имени файлов. В командной строке может содержаться несколько параметров [диск:][путь], разделяемых пробелами. Тогда соответствующие объекты сканируются последовательно друг за другом. По окончании сканирования всех объектов программы DrWebWCL и DrWeb386 завершают свою работу, а программа DrWeb32W (если запущена без параметра /QU) выходит на основное окно, в котором пользователь может указать новые объекты для сканирования, просмотреть результаты, настроить режимы работы, обновить версию программы или завершить ее работу. Если при запуске программы DrWeb32W параметр [диск:][путь] не указан, то программа сразу выходит на основное окно. Список дополнительных параметров (ключей) командной строки, которые должны разделяться пробелами, если их задается несколько: /@[+]<файл> - проверка объектов, которые перечислены в указанном файле. Каждый объект задается в отдельной строке файла-списка. Это может быть либо полный путь с указанием имени файла, либо строка ?boot, означающая проверку загрузочных секторов. Файл-список может быть подготовлен с помощью любого текстового редактора. После окончания проверки сканер удаляет файл-список (если не задан дополнительный параметр "+"). Аналогичный файл-список формируется ревизором ADinf для последующей проверки антивирусным сканером только тех объектов, в которых зафиксированы изменения. Такой режим выборочного сканирования значительно экономит время на проверку компьютера. При взаимодействии с ADinf32 вызов сканера Dr.Web и подстановка параметра /@ производится автоматически самим ADinf32 (см. настройки в руководстве по ADinf32). /AL - проверка всех файлов на заданном устройстве или в заданном каталоге /AR[D|M|R][P][N] - проверка файлов, находящихся внутри архивов (ARJ, CAB, GZIP, RAR, TAR, ZIP,..). Дополнительными параметрами можно указать, что делать с архивами (целиком), содержащими зараженные (или подозрительные) файлы: D - удалять, M - перемещать (по умолчанию, в подкаталог INFECTED.!!!), R - переименовывать (по умолчанию, первая буква расширения заменяется на символ "#"); P - перед действием выводить запрос подтверждения; параметр N блокирует печать типа архива после имени файла-архива /CN[D|M|R][P][N] - что делать с файлами-контейнерами (HTML, RTF, PowerPoint,..), содержащими зараженные (или подозрительные) объекты. Возможны действия над контейнерами целиком: D - удалять, M - перемещать (по умолчанию, в подкаталог INFECTED.!!!), R - переименовывать (по умолчанию, первая буква расширения заменяется на символ "#"); P - перед действием выводить запрос подтверждения; параметр N блокирует печать типа контейнера после имени файла-контейнера /CU[D|M|R][P] - лечение зараженных объектов и удаление неизлечимых файлов. Дополнительными параметрами можно указать, что делать с зараженными файлами: D - удалять, M - перемещать (по умолчанию, в подкаталог INFECTED.!!!), R - переименовывать (по умолчанию, первая буква расширения заменяется на символ "#"); P - перед действием выводить запрос подтверждения /DA - тестировать компьютер один раз в сутки. Для данного режима необходимо наличие файла конфигурации (INI-файла), в который записывается дата следующей проверки. Этот режим рекомендуется использовать для запуска программы DrWeb386 из файла AUTOEXEC.BAT /EX - проверка файлов с расширениями, стандартными для исполняемых модулей, документов и таблиц MS Office, (т.е. только с расширениями COM, EXE, SYS, BAT, CMD, DRV, BIN, DLL, OV?, BOO, PRG, VXD, 386, SCR, FON, DO?, XL?, WIZ, RTF, CL*, HT*, VBS, JS*, INF, A??, ZIP, R??, PP?, HLP, OBJ, LIB, MD?, INI, MBR, IMG, CSC, CPL, MBP, SH, SHB, SHS, SHT*,MSG, CHM, XML, PRC, ASP, LSP, MSO, OBD, THE*,EML, NWS, TBB) /FM - проверка файлов по внутреннему формату исполняемых модулей. Независимо от расширения проверяются файлы, имеющие внутреннюю структуру исполняемых программных модулей, а также "макросодержащих" документов MS Word и электронных таблиц MS Excel /FN - загружать русские буквы в знакогенератор видеоадаптера (только для DrWeb386) /GO - программа не ожидает подтверждения пользователя для выполнения различных операций (нехватка места на диске при распаковке, неверные параметры в командной строке, заражение сканера неизвестным вирусом, удаление поврежденных файлов,...). Этот режим полезно использовать для проверки файлов в автоматическом режиме, например, при круглосуточной проверке электронной почты на сервере /HA - эвристический анализ файлов и поиск в них неизвестных вирусов /IC[R|D|M][P] - что делать с зараженными файлами, вылечить которые невозможно: D - удалять, M - перемещать (по умолчанию, в подкаталог INFECTED.!!!), R - переименовывать (по умолчанию, первая буква расширения заменяется на символ "#"); P - перед действием выводить запрос подтверждения /INI:<путь> - использовать альтернативный конфигурационный файл (INI-файл) с указанным именем и/или путем /LNG[:<путь>] - использовать альтернативный файл языковых ресурсов (DWL-файл) с указанным именем и/или путем, или встроенный (английский) язык /ML[D|M|R][P][N] - проверка файлов, имеющих формат почтовых сообщений (UUENCODE, XXENCODE, BINHEX, MIME,...). Дополнительными параметрами можно указать, что делать с почтовыми файлами (целиком), содержащими зараженные (или подозрительные) объекты: D - удалять, M - перемещать (по умолчанию, в подкаталог INFECTED.!!!), R - переименовывать (по умолчанию, первая буква расширения заменяется на символ "#"); P - перед действием выводить запрос подтверждения; параметр N блокирует печать типа почтового файла после его имени /NI - не использовать параметры, записанные в конфигурационном файле программы (DRWEB32.INI) /NR - не создавать файл отчета /NS - запретить возможность прерывания проверки компьютера. После указания параметра /NS пользователь не сможет прервать работу программы по нажатию клавиши Esc /OK - выводить полный список сканируемых объектов, сопровождая незараженные пометкой "Ok" /PF - запрашивать подтверждение на проверку следующей дискеты /PR - выводить запрос подтверждения перед действием с зараженными и подозрительными файлами /QU - выйти из диалоговой оболочки и завершить программу сразу после окончания проверки (только для DrWeb32W) /RP[+]<файл> - записать отчет о работе программы в файл, имя которого задается дополнительным параметром <файл>. По умолчанию используется файл с именем <программа>.LOG. Если указан дополнительный параметр "+", тогда отчет дописывается в конец существующего файла /SD - проверять подкаталоги /SO - включить звуковое сопровождение /SP[D|M|R][P] - что делать с подозрительными файлами: D - удалять, M - перемещать (по умолчанию, в подкаталог INFECTED.!!!), R - переименовывать (по умолчанию, первая буква расширения заменяется на символ "#"); P - перед действием выводить запрос подтверждения /SS - по окончании работы сохранить режимы, заданные при текущем запуске программы /TB - выполнять проверку загрузочных секторов и главного загрузочного сектора /TM - выполнять поиcк вирусов в оперативной памяти (включая системную область Windows, только для DrWeb32W и DrWebWCL) /UP[N] - проверка выполнимых файлов, упакованных программами ASPACK, COMPACK, DIET, EXEPACK, LZEXE, OPTLINK, PECOMPACT, PEPACK, PGMPAK, PKLITE, WWPACK, WWPACK32, UCEXE, UPX; файлов, преобразованных программами BJFNT, COM2EXE, CONVERT, CRYPTCOM, CRYPTEXE, PECRYPT, PESHIELD, PROTECT, TINYPROG; а также файлов, иммунизированных вакцинами CPAV, F-XLOCK, PGPROT, VACCINE. Чтобы сканер не отображал на экране название программы, использованной для упаковки, преобразования или вакцинирования проверяемого файла, укажите дополнительный параметр N /WA - ожидание после проверки, если обнаружены вирусы или подозрительные объекты (только для DrWebWCL и DrWeb386) /? - вывод на экран краткой справки о работе с программой Режимы, установленные по умолчанию (если отсутствует или не используется INI-файл): /AR /FM /HA /ML /PR /SD /TB /TM /UP Некоторые параметры допускают задание в конце символа "-". В такой, отрицательной, форме параметр означает отмену соответствующего режима. Такая возможность может быть полезна в случае, если этот режим включен по умолчанию или по выполненным ранее установкам в INI-файле. Список параметров командной строки, допускающих отрицательную форму: /AR /CU /FN /HA /IC /ML /OK /PF /PR /SD /SS /SO /SP /TB /TM /UP /WA Заметим, что для параметров /CU, /IC и /SP отрицательная форма отменяет выполнение любых действий, указанных в описании этих параметров. Это означает, что только в отчете будет фиксироваться информация о зараженных и подозрительных объектах. Для параметров /AL, /EX и /FM не предусмотрена отрицательная форма, однако задание любого из них отменяет действие двух других. КОДЫ ВОЗВРАТА, ФОРМИРУЕМЫЕ ПРОГРАММАМИ DRWEBWCL И DRWEB386 Возможные значения кода возврата и соответствующие им события следующие: 0 - OK, не обнаружено вирусов или подозрений на вирусы 1 - обнаружены известные вирусы 2 - обнаружены модификации известных вирусов 4 - обнаружены подозрительные на вирус объекты 8 - в архиве обнаружены известные вирусы 16 - в архиве обнаружены модификации известных вирусов 32 - в архиве обнаружены подозрительные на вирус объекты 64 - успешно выполнено лечение хотя бы одного вируса 128 - выполнено удаление/переименование/перемещение хотя бы одного зараженного файла Результирующий код возврата, формируемый по завершению проверки, равен сумме кодов тех событий, которые произошли во время проверки (и его слагаемые могут однозначно быть по нему восстановлены). Например, код возврата 9 = 1 + 8 означает, что во время проверки обнаружены известные вирусы (вирус), в том числе в архиве; обезвреживание не проводилось; больше никаких "вирусных" событий не было. ПАРАМЕТРЫ КОНФИГУРАЦИОННОГО ФАЙЛА Параметры настройки отражены в файле DRWEB32.INI, находящемся в том же каталоге, что и сами программы DrWeb32W и SpIDer. Если этот файл отсутствовал при запуске программ, то работа производится со значениями, принятыми в программах по умолчанию. Практически все параметры могут быть настроены через систему меню. Однако, для некоторых параметров настройка доступна только через INI-файл. Ниже описаны некоторые из таких параметров. INI-файл представляет собой текстовый файл, и для его корректировки можно использовать любой текстовый редактор. Этот файл является общим для всех программ семейства Dr.Web, и параметры сосредоточены в отдельных секциях. ВНИМАНИЕ! Все изменения в INI-файле должны производиться при неактивной программе, использующей данную секцию. Секция [SpiderGuard98] (это секция для SpIDer 95/98/Me) Секция [SpiderGuardNT] (это секция для SpIDer NT/2000/XP) - UpdateFlags - список файлов, изменение которых автоматически приводит к перезагрузке вирусных баз. - UpdatePeriod - интервал времени (в минутах), через который регулярно исследуются файлы из списка UpdateFlags. UpdatePeriod=0 запрещает автоматическую перезагрузку баз. В SpIDer реализован механизм автоматической перезагрузки вирусных баз без перезапуска самой программы SpIDer. Этот механизм реализован следующим образом: один или несколько файлов объявляются флагами (в строке UpdateFlags), т.е. при изменении любого из них (периодичность контроля указана в строке UpdatePeriod), все вирусные базы перезагружаются. В частности, в качестве флаг-файла удобно использовать файл drwtoday.vdb ("горячее" дополнение к вирусной базе Dr.Web). =============== Ниже приведен PGP-ключ И.Данилова. Рекомендуется вирусы, отправляемые для анализа по электронной почте, шифровать с помощью данного открытого PGP-ключа. Type Bits/KeyID Date User ID pub 1024/1B87196D 1994/05/12 Igor A. Daniloff Igor A. Daniloff -----BEGIN PGP PUBLIC KEY BLOCK----- Version: 2.6.3i mQCNAi3R1+AAAAEEAMeH97dViOlTOwWjd6iLsRnEvDuNMnfQor+7NtuxV0v7Dgig Kd4cE8dcSdfINr89mmIcPVCgI+uSDoDdgGK0WAl2pkJUigmJtidMpjFgyPoUTU6T cqmss4CyDFH9UoM74RUEqSG0cwsnt+rz46yELf+v6kS9QZC3r53C6gEbhxltAAUR tB5JZ29yIEEuIERhbmlsb2ZmIDxJREBEcldlYi5SdT6JAJUDBRA3P7dHncLqARuH GW0BAQDTBACeJaSAdFMINa6G4xChVPHKUWy/jqdze94UtBRymBZFdmrtup+3bL6D IB148AkFjH6zZyQLPCgXr4RqxURtA5H1SsFJR1Iqj2eTjQZOqfgL2IAR3M79qBqD nhGzeQMOr7gP3hXnb2hQZtZJFgw6IneSHM5gXRVGm7y29yR0y6+RT7QhSWdvciBB LiBEYW5pbG9mZiA8aWRAc2FsZC5zcGIuc3U+iQCVAwUQL7d6qTCAIMQGDNzxAQFN jQP7BS+D1P68oNZjqHSGbxqqzrvasK5WjFJBefJ14ALeJbn4X3BcTFqfckYNYG6w ZqTMWt9aZZKAWOA5rKfPp9LflJzJvZSSwYZz1Su5hJ3G0RM6z7JDVCQyV90yelDq X1ehBEHAqMV2gvkhE5YKxvoH+uOG+TPq1FzUz4hQB/W4srCJAJUDBRAugG2cOpoV rn3diFEBAeD3A/9jGJRp5TqD2FBrwkIaJd6SqJVvSbYQnE39th/u4csghFYEYcdS GqPnVjxl0Sri1N5OqYB2uTRn0d0kqsrD24fuWFbZwvKlcZQO2C6W1zZSmwqAfw2p jAD+tTvRZDSx2z0+zgRZ/EhDIaH/louf8zcL3UlrW2YPNRODzJW6VUiouIkAlQMF EC8n2IANOmycNvS2swEBvqYEAJgRxQjfQhJI+iTMMUhWS8whvgitjzDeD+5u2tKz KwqSa4TaOfgf2000rN2SbqyTg5gDirLsVF8x80PusKFRxedwBzBNLl9ar78HB/x4 lOEO+/obRUH4wT+bH6KfUkDuqVvYsTRZ3mDoLfyJw9pCtkDiFQdCrWcGh+UNr8nJ oNBx =VFhp -----END PGP PUBLIC KEY BLOCK----- =============== Свои отзывы, предложения и замечания Вы можете присылать в антивирусный отдел ЗАО "ДиалогНаука": Адрес: 119991 Москва, ул.Вавилова 40, ВЦ РАН, офис 103. Проезд: ст. метро "Ленинский проспект" (выход к ул. Орджоникидзе), далее любым трамваем до остановки "Улица Губкина" (4-я остановка в сторону ст. метро "Университет"). Тел.(095)135-6253, 137-0150 Тел/факс 938-2970, 938-2855 FidoNet: 2:5020/69 E-mail : Antivir@DialogNauka.ru WWW: http://www.DialogNauka.ru FTP: ftp.DialogNauka.ru, ftp2.DialogNauka.ru, ftp3.DialogNauka.ru Связь с автором: Данилов Игорь Анатольевич E-mail: Igor.Daniloff@DialogNauka.ru , id@drweb.ru FidoNet: 2:5020/69.14 , 2:5030/87.57