Вернуться   Компьютерный форум > Блоги > Базаров
Оценить эту запись

Проверка на наличие вирусов

Запись от Базаров размещена 16.04.2015 в 21:29

Расскажем о том, как происходит процесс проверки на наличие вирусов при использовании программ Aidstest и Dr.Web.
Ответы на запросы программ
В некоторых ситуациях программы Aidstest и Dr.Web выводят запросы, требующие того или иного ответа от пользователя.
Если все в порядке
После запуска программы Aidstest и Dr.Web сначала выводят заставку, содержащую сведения о версии программы, телефонах фирмы "Диалог-Наука" и т.д. Затем программы проверяют оперативную память компьютера на наличие резидентных вирусов, после чего выполняют проверку каждого объекта, указанного в командной строке программы. Если все в порядке, для каждого объекта проверки программа выводит таблицу с итогами проверки. Например, программа Aidstest выводит такую таблицу:

А программа Dr.Web - такую:

После этого программы завершают работу.
Замечание. Программа Aidstest перед окончанием работы выводит на несколько секунд рекламную заставку. Вывод этой рекламной заставки можно отменить, задав параметр nn, где nn - это две цифры, значение nn меняется в зависимости от версии программы и приводится в файле AIDSLIST.TXT.
Проверка дискет
Если программа обрабатывала только файлы на дискете, то после проверки она спросит, надо ли обработать еще одну дискету:

Замечание. Если проверяемая дискета или съемный диск в дисководе отсутствует, программа издает звуковой сигнал и пропускает проверку данной дискеты или съемного диска. Поэтому при проверке дискет или съемных дисков надо их вставлять в дисковод до запуска программы Aidstest.
Сообщения о вирусах
При обнаружении вирусов программы выводят соответствующие сообщения. Мы расскажем о них ниже.
Знакомый вирус в памяти
При обнаружении программами Aidstest и Dr.Web известного им резидентного вируса в оперативной памяти компьютера на экран выводится сообщение, содержащее имя вируса, например:

Обе программы умеют обнаруживать в оперативной памяти компьютера и обезвреживать все известные им типы резидентных вирусов. В этом случае проверка продолжается, но по ее окончании выдается предложение перезагрузить компьютер:

Чтобы перезагрузить компьютер, надо в ответ на запрос программы Aidstest нажать любую алфавитно-цифровую клавишу, кроме N, в ответ на запрос программы Dr.Web - выбрать ответ Да. Обычно при этом необходимо загрузиться с "чистой" дискеты и начать лечение компьютера.
Если вы не хотите перезагружать компьютер,надо в ответ на запрос программы Aidstest нажать клавишу N, а в ответ на запрос программы Dr.Web - выбрать вариант ответа Нет. Запрещать перезагрузку рекомендуется только подготовленным пользователям, хорошо понимающим, зачем они это делают.
Замечание. При обезвреживании вирусов в памяти некоторые функции операционной системы могу быть восстановлены не полностью. Кроме того, эффекты вирусов, не связанные с размножением (например, аудио и видеоэффекты), не устраняются. Поэтому рекомендуется выполнять лечение компьютера только при загрузке с "чистой" дискеты.
Незнакомый вирус в памяти
Программа Dr.Web умеет обнаруживать в оперативной памяти и неизвестные ей вирусы. Если путем эвристического анализа содержимого оперативной памяти программа заподозрит наличие вируса, она выведет сообщение
В памяти компьютера (ssss:nnnn) возможно нахождение РЕЗИДЕНТНОГО ВИРУСА!
Здесь ssss:nnnn - подозрительный адрес в памяти. Следует с помощью программы МЕМ (будет рассмотрено далее) выяснить, какой программе принадлежит этот адрес и проверить, не заражена ли программа вирусом.
Кроме того, программа Dr.Web проверяет, не изменился ли размер проверяемого файла при его открытии для проверки. Некоторые резидентные вирусы заражают файлы в момент закрытия, а некоторые другие - наоборот, излечивают, чтобы не оказаться обнаруженными. При выявлении изменения размера файла (обычно это указывает на наличие вируса) программа Dr.Web выводит сообщение:
При открытии файла его размер изменился на nnnnnn байт!
В памяти компьютера может находиться АКТИВНЫЙ РЕЗИДЕНТНЫЙ ВИРУС!
Продолжить работу?
Следует выбрать один из вариантов ответа - Да или Нет.
Вирус в файлах и системных областях дисков
При обнаружении вирусов в проверяемых файлах и системных областях дисков программы Aidstest и Dr.Web выводят сообщение, содержащее имя вируса и зараженный им объект, например:

При этом статистика для зараженных дисков будет уже не столь радужной, например:

При этом программа Aidstest сообщит, что для лечения зараженных файлов надо использовать параметр /F, а программа Dr.Web выводит отчет красным цветом.
Предупреждения программы Dr.Web
Программа Dr.Web может сообщать о своих подозрениях по поводу некоторых объектов. Обычно следует записать такие сообщения (или вывести файл протокола программы) и решить, что делать с этими объектами.
Подозрение на неизвестный вирус
Если программа Dr.Web обнаружит подозрительные файлы или загрузочные сектора, то она выводит сообщения следующего вида:
имя-объекта возможно инфицирован тип.Virus
Здесь тип указывает тип вируса, наличие которого подозревает программа Dr.Web. Для этого программа перечисляет через точку характеристики вируса:

Например, сообщение C:\EXE\TEST.EXE возможно инфицирован COM.EXE.CRYPT.Virus означает, что данный файл, возможно, заражен зашифрованным или полиморфным вирусом, заражающим .СОМ и .ЕХЕ-файлы.
Замечание. Часто программа Dr.Web подозревает на наличие вируса файлы резидентных программ, осуществляющих запись в другие файлы.
Заражение модификацией вируса
Если программа Dr.Web сочтет, что программа может быть заражена вирусом, ей неизвестным,но напоминающим один из ей известных, она выводит сообщение вида:
имя-объекта возможно инфицирован модификацией имя-вируса
Подозрительное время создания файла
Программа Dr.Web в режиме с максимальным уровнем эвристического анализа (параметр /НА1) проверяет файлы на подозрительное время их создания или последней модификации. Например, некоторые вирусы при заражении файлов увеличивают дату создания или модификации файла на 100 лет или устанавливают в поле секунд времени несуществующее значение - 62 секунды. При обнаружении таких файлов Dr.Web выводит предупреждение:
имя-файла странное время создания . . .
Заражение программ Aidstest и Dr.Web
Если исполнимый файл программы Aidstest или Dr.Web (обычно - AIDSTEST.EXE или DRWEB.EXE) изменен, и это изменение похоже на действие вируса, то программа издает звуковой сигнал и выводит сообщение. Например, Aidstest сообщает:
ВНИМАНИЕ! Ваш экземпляр aidstest.exe искажен!
Возможно, он заражен каким-то новым вирусом! Убедительная просьба немедленно скопировать его на дискету и передать для анализа автору через официальных распространителей. Для получения их координат запустите AIDSTEST /d
А Dr.Web:
Dr.Web разрушен или инфицирован НЕИЗВЕСТНЫМ ВИРУСОМ!
В памяти компьютера может находиться АКТИВНЫЙ РЕЗИДЕНТНЫЙ ВИРУС!
Продолжить работу?
После этого программа Aidstest прекращает работу, а Dr.Web - предоставляет возможность либо завершить работу, либо продолжить ее. Обычно в такой ситуации надо перезагрузиться с дискеты (см. ранее) и запустить антивирусные программы с дискеты.
Если программа Aidstest считает, что искажение файла AIDSTEST.EXE похоже не на вирус, а на действия хакеров, пытавшихся как-то изменить этот файл, она издает звуковой сигнал (сирену) и выводит сообщение:
Уважайте авторские права, даже если их не защищает закон!
После этого программа Aidstest прекращает работу. Программа Dr.Web жалостливых призывов уважать авторские права не выводит.
Размещено в Без категории
Просмотров 1301 Комментарии 0 Отправить другу ссылку на эту запись
Всего комментариев 0

Комментарии

 

Текущее время: 16:59. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.