Чтение онлайн

Иногда после сообщения об исцелении может следовать приписка "(есть вопросы)". Пока она означает неудачную попытку освободить кластеры, занятые ВООТ-вирусом.

Для использования Aidstest в командных файлах предусмотрена выработка кода завершения (ERRORLEVEL):

0 — вирусы не обнаружены;

1 — нормальное завершение, вирусы обнаружены;

2 — ненормальное завершение программы;

3 — ошибка в программе Aidstest.

* * *

Официальным распространителем антивирусных программ ADinf, ADinf Cure Module u Aidstest является Акционерное общество "ДиалогНаука" (Москва), имеющее в различных регионах страны и за рубежом сеть дилеров

Адрес: 117967 Москва ГСП-1, ул. Вавилова 40, ВЦ РАН, к.103а.

Тел.(095): 35-6253, 137-0150 —

антивирусный отдел АО ДналогНаука

Тел/факс: 938-2970

BBS: 938-2856 (14400/ V.32bis, 19200/ZyXEL) — общий

930-1278 (14400/V.32bis, 19200/ZyXEL) — подписчики

930-0739 (14400. V.32bis, 19200/ZyXEL) — подписчики

938-2969 (28800 V.34) — подписчики

FidoNet: 2:5020 69

E-mail: lyu@dinls.msk.su— поставки и обслуживание

bob@)dials.msk.su— связь через модем

loz@diats.msk.su— передача новых вирусов

Антивирусная программа Dr. Web (автор Данилов И.А.) производит поиск и удаление известных ей вирусов в памяти и на дисках компьютера, а также производит эвристический анализ файлов и системных областей компьютера для обнаружения новых и неизвестных ей вирусов и детектирует их.

РЕКОМЕНДУЕТСЯ запускать программу Dr. Web для тестирования файлов, памяти и системных областей магнитных носителей с защищенного от записи диска поставки (или архивного диска), предварительно загрузив операционную систему с защищенной от записи системной дискеты.

Командная строка для запуска Dr. Web выглядит следующим образом:

Web [диск: [путь]] [ключи]

Диск:

X:— логическое устройство жесткого диска или физическое устройство гибкого диска, например, F: или А:;

*— все логические устройства на жестком диске;

?:— текущее устройство.

Путь:

путь или маска тестируемых файлов.

Ключи:

/А— диагностика всех файлов на заданном устройстве;

/В— вывод сообщений в режиме монохромного монитора;

/D— удаление файлов, восстановление которых невозможно;

/F— лечение дисков и файлов, удаление найденных вирусов;

/Н— поиск вирусов в адресном пространстве oт 0 Кбат до 1088 Кбайт;

/L— вывод сообщений на другом языке;

/М— работа без поиска вирусов в памяти компьютера;

/N— тестирование только одного флоппи-диска без вопроса замены диска;

/О— вывод сообщения "ОК" для неинфицированных файлов;

/Р[N]— запись протокола работы в файл (по умолчанию в файл REPORT.WEB);

/R— загрузка знакогенератора русского алфавита;

/S[уровень] — эвристический анализ файлов и поиск в них неизвестных вирусов:

0 — минимальный уровень,

1 — оптимальный (устанавливается по умолчанию),

2 — "параноический";

/Т— отключение проверки целостности собственного программного кода;

/U|M|[WI[диск: ]— проверка файлов, упакованных LZEXE, DIET, PKLITE, а также вакцинированных антивирусом CPAV:

N— отключение вывода на экран информации о названии утилит, с помощью которых произведена упаковка файлов.

W— восстановление файла и удаление из него кода распаковщика.

Диск:— устройство, на котором будет производиться распаковка файлов.

/V— контроль за заражением тестируемых файлов активным резидентным вирусом;

/Z— пять первых цифр серийного номера платы Sheriff;

/? — вывод на экран краткой справки.

* * *

Если в командной строке Dr. Web не указано ни одного ключа, то вся информация для текущего запуска будет

считываться из файла конфигурации WEB.INI, расположенного в том же каталоге, что и файл WEB.EXE. Формат файла конфигурации WEB.INI представлен в текстовом виде и полностью соответствует формату командной строки программы Dr. Web. В файле WEB.INI можно задавать как ключи, необходимые для текущего запуска, так и тестируемые диски или устройства. В комплект поставки входит стандартный файл WEB.INI, который необходимо откорректировать под пользовательские задачи.

Если вы переименовываете программу WEB.EXE (для маскировки запуска Dr. Web от резидентных вирусов, контролирующих работу WEB.EXE), то необходимо переименовать также файл WEB.INI (если он используется для работы) в имя, соответствующее программе Dr. Web, но расширение файла конфигурации должно остаться прежнее INI. Например: файл WEB.EXE переименован в файл ANTIVIR.EXE, тогда файл WEB.INI необходимо переименовать в ANTIVIR.INI.

Если файл конфигурации отсутствует и ключи в командной строке не указаны, то Dr. Web будет сканировать память компьютера в адресном пространстве or 0 до 640 Кбайт, а также файлы с расширениями *.COM, *.ЕХЕ, *.ВАТ, *.SYS, *.BIN, *.DRV. *.ВОО и *.OV? и выводить сообщения об их заражении известными вирусами.

Следует отметить, что последние версии антивирусной программы Dr.Web работают также и в диалоговом режиме. Настройки, задаваемые с помощью приведенных выше ключей, можно установить в диалоговом окне, представленном на рис. П4.1.

Рис. П4.1. Диалоговое окно настройки Dr.Web

Комментарии

Режим /V

В процессе тестирования файла, в режиме /V(контроль за заражением тестируемых файлов резидентным вирусом active resident Virus), Dr. Web может выдать на экран сообщение типа:

Данное сообщение говорит о том, что перед открытием указанного файла на чтение его длина имела одно значение, а после открытия другое. Возможно, что в момент открытия этого файла средствами Dr.Web в памяти находился неизвестный резидентный вирус, который произвел заражение данного файла. В данном случае приращение длины будет положительным. Или возможен другой вариант, когда в памяти находится резидентный Stealth-вирус (вирус-невидимка), который пытается скрыть наличие своей копии в тестируемом файле. В этом случае приращение длины — отрицательное.

В обоих случаях рекомендуется прекратить работу, перегрузить компьютер с дискеты с "чистой" операционной системой и произвести детальный анализ подозрительных файлов (запуск Web /S с защищенного от записи дистрибутивного диска поставки).

Режим /F

Если в режиме / F(Files cure) при попытке лечения загрузочного вируса на диске Dr. Web выдаст сообщение:

то это означает, что оригинальный Master Boot Record или Boot Sector не обнаружены в секторе, в котором удаляемый вирус должен их "прятать". Это может произойти в том случае, если вирус является слегка модифицированной версией известного вируса и исходный Boot-сектор он хранит где-то в другом месте диска, либо при заражении компьютера несколькими Boot-вирусами, которые в результате "накладываются" друг на друга. В этом варианте Dr. Web вместо исходного MBR в "тайнике" первого вируса находит "голову" следующего и т. д.