Проверка на наличие вирусов
Запись от Базаров размещена 16.04.2015 в 21:29
Расскажем о том, как происходит процесс проверки на наличие вирусов при использовании программ Aidstest и Dr.Web.
Ответы на запросы программ
В некоторых ситуациях программы Aidstest и Dr.Web выводят запросы, требующие того или иного ответа от пользователя.
Если все в порядке
После запуска программы Aidstest и Dr.Web сначала выводят заставку, содержащую сведения о версии программы, телефонах фирмы "Диалог-Наука" и т.д. Затем программы проверяют оперативную память компьютера на наличие резидентных вирусов, после чего выполняют проверку каждого объекта, указанного в командной строке программы. Если все в порядке, для каждого объекта проверки программа выводит таблицу с итогами проверки. Например, программа Aidstest выводит такую таблицу:
Замечание. Программа Aidstest перед окончанием работы выводит на несколько секунд рекламную заставку. Вывод этой рекламной заставки можно отменить, задав параметр /Аnn, где nn - это две цифры, значение nn меняется в зависимости от версии программы и приводится в файле AIDSLIST.TXT.
Проверка дискет
Если программа обрабатывала только файлы на дискете, то после проверки она спросит, надо ли обработать еще одну дискету:
Сообщения о вирусах
При обнаружении вирусов программы выводят соответствующие сообщения. Мы расскажем о них ниже.
Знакомый вирус в памяти
При обнаружении программами Aidstest и Dr.Web известного им резидентного вируса в оперативной памяти компьютера на экран выводится сообщение, содержащее имя вируса, например:
Если вы не хотите перезагружать компьютер,надо в ответ на запрос программы Aidstest нажать клавишу N, а в ответ на запрос программы Dr.Web - выбрать вариант ответа Нет. Запрещать перезагрузку рекомендуется только подготовленным пользователям, хорошо понимающим, зачем они это делают.
Замечание. При обезвреживании вирусов в памяти некоторые функции операционной системы могу быть восстановлены не полностью. Кроме того, эффекты вирусов, не связанные с размножением (например, аудио и видеоэффекты), не устраняются. Поэтому рекомендуется выполнять лечение компьютера только при загрузке с "чистой" дискеты.
Незнакомый вирус в памяти
Программа Dr.Web умеет обнаруживать в оперативной памяти и неизвестные ей вирусы. Если путем эвристического анализа содержимого оперативной памяти программа заподозрит наличие вируса, она выведет сообщение
Кроме того, программа Dr.Web проверяет, не изменился ли размер проверяемого файла при его открытии для проверки. Некоторые резидентные вирусы заражают файлы в момент закрытия, а некоторые другие - наоборот, излечивают, чтобы не оказаться обнаруженными. При выявлении изменения размера файла (обычно это указывает на наличие вируса) программа Dr.Web выводит сообщение:
Вирус в файлах и системных областях дисков
При обнаружении вирусов в проверяемых файлах и системных областях дисков программы Aidstest и Dr.Web выводят сообщение, содержащее имя вируса и зараженный им объект, например:
Предупреждения программы Dr.Web
Программа Dr.Web может сообщать о своих подозрениях по поводу некоторых объектов. Обычно следует записать такие сообщения (или вывести файл протокола программы) и решить, что делать с этими объектами.
Подозрение на неизвестный вирус
Если программа Dr.Web обнаружит подозрительные файлы или загрузочные сектора, то она выводит сообщения следующего вида:
Замечание. Часто программа Dr.Web подозревает на наличие вируса файлы резидентных программ, осуществляющих запись в другие файлы.
Заражение модификацией вируса
Если программа Dr.Web сочтет, что программа может быть заражена вирусом, ей неизвестным,но напоминающим один из ей известных, она выводит сообщение вида:
Программа Dr.Web в режиме с максимальным уровнем эвристического анализа (параметр /НА1) проверяет файлы на подозрительное время их создания или последней модификации. Например, некоторые вирусы при заражении файлов увеличивают дату создания или модификации файла на 100 лет или устанавливают в поле секунд времени несуществующее значение - 62 секунды. При обнаружении таких файлов Dr.Web выводит предупреждение:
Если исполнимый файл программы Aidstest или Dr.Web (обычно - AIDSTEST.EXE или DRWEB.EXE) изменен, и это изменение похоже на действие вируса, то программа издает звуковой сигнал и выводит сообщение. Например, Aidstest сообщает:
Если программа Aidstest считает, что искажение файла AIDSTEST.EXE похоже не на вирус, а на действия хакеров, пытавшихся как-то изменить этот файл, она издает звуковой сигнал (сирену) и выводит сообщение:
Ответы на запросы программ
В некоторых ситуациях программы Aidstest и Dr.Web выводят запросы, требующие того или иного ответа от пользователя.
Если все в порядке
После запуска программы Aidstest и Dr.Web сначала выводят заставку, содержащую сведения о версии программы, телефонах фирмы "Диалог-Наука" и т.д. Затем программы проверяют оперативную память компьютера на наличие резидентных вирусов, после чего выполняют проверку каждого объекта, указанного в командной строке программы. Если все в порядке, для каждого объекта проверки программа выводит таблицу с итогами проверки. Например, программа Aidstest выводит такую таблицу:
А программа Dr.Web - такую:
После этого программы завершают работу.
Замечание. Программа Aidstest перед окончанием работы выводит на несколько секунд рекламную заставку. Вывод этой рекламной заставки можно отменить, задав параметр /Аnn, где nn - это две цифры, значение nn меняется в зависимости от версии программы и приводится в файле AIDSLIST.TXT.
Проверка дискет
Если программа обрабатывала только файлы на дискете, то после проверки она спросит, надо ли обработать еще одну дискету:
Замечание. Если проверяемая дискета или съемный диск в дисководе отсутствует, программа издает звуковой сигнал и пропускает проверку данной дискеты или съемного диска. Поэтому при проверке дискет или съемных дисков надо их вставлять в дисковод до запуска программы Aidstest.
Сообщения о вирусах
При обнаружении вирусов программы выводят соответствующие сообщения. Мы расскажем о них ниже.
Знакомый вирус в памяти
При обнаружении программами Aidstest и Dr.Web известного им резидентного вируса в оперативной памяти компьютера на экран выводится сообщение, содержащее имя вируса, например:
Обе программы умеют обнаруживать в оперативной памяти компьютера и обезвреживать все известные им типы резидентных вирусов. В этом случае проверка продолжается, но по ее окончании выдается предложение перезагрузить компьютер:
Чтобы перезагрузить компьютер, надо в ответ на запрос программы Aidstest нажать любую алфавитно-цифровую клавишу, кроме N, в ответ на запрос программы Dr.Web - выбрать ответ Да. Обычно при этом необходимо загрузиться с "чистой" дискеты и начать лечение компьютера.
Если вы не хотите перезагружать компьютер,надо в ответ на запрос программы Aidstest нажать клавишу N, а в ответ на запрос программы Dr.Web - выбрать вариант ответа Нет. Запрещать перезагрузку рекомендуется только подготовленным пользователям, хорошо понимающим, зачем они это делают.
Замечание. При обезвреживании вирусов в памяти некоторые функции операционной системы могу быть восстановлены не полностью. Кроме того, эффекты вирусов, не связанные с размножением (например, аудио и видеоэффекты), не устраняются. Поэтому рекомендуется выполнять лечение компьютера только при загрузке с "чистой" дискеты.
Незнакомый вирус в памяти
Программа Dr.Web умеет обнаруживать в оперативной памяти и неизвестные ей вирусы. Если путем эвристического анализа содержимого оперативной памяти программа заподозрит наличие вируса, она выведет сообщение
В памяти компьютера (ssss:nnnn) возможно нахождение РЕЗИДЕНТНОГО ВИРУСА!Здесь ssss:nnnn - подозрительный адрес в памяти. Следует с помощью программы МЕМ (будет рассмотрено далее) выяснить, какой программе принадлежит этот адрес и проверить, не заражена ли программа вирусом.
Кроме того, программа Dr.Web проверяет, не изменился ли размер проверяемого файла при его открытии для проверки. Некоторые резидентные вирусы заражают файлы в момент закрытия, а некоторые другие - наоборот, излечивают, чтобы не оказаться обнаруженными. При выявлении изменения размера файла (обычно это указывает на наличие вируса) программа Dr.Web выводит сообщение:
При открытии файла его размер изменился на nnnnnn байт!Следует выбрать один из вариантов ответа - Да или Нет.
В памяти компьютера может находиться АКТИВНЫЙ РЕЗИДЕНТНЫЙ ВИРУС!
Продолжить работу?
Вирус в файлах и системных областях дисков
При обнаружении вирусов в проверяемых файлах и системных областях дисков программы Aidstest и Dr.Web выводят сообщение, содержащее имя вируса и зараженный им объект, например:
При этом статистика для зараженных дисков будет уже не столь радужной, например:
При этом программа Aidstest сообщит, что для лечения зараженных файлов надо использовать параметр /F, а программа Dr.Web выводит отчет красным цветом.
Предупреждения программы Dr.Web
Программа Dr.Web может сообщать о своих подозрениях по поводу некоторых объектов. Обычно следует записать такие сообщения (или вывести файл протокола программы) и решить, что делать с этими объектами.
Подозрение на неизвестный вирус
Если программа Dr.Web обнаружит подозрительные файлы или загрузочные сектора, то она выводит сообщения следующего вида:
имя-объекта возможно инфицирован тип.VirusЗдесь тип указывает тип вируса, наличие которого подозревает программа Dr.Web. Для этого программа перечисляет через точку характеристики вируса:
Например, сообщение C:\EXE\TEST.EXE возможно инфицирован COM.EXE.CRYPT.Virus означает, что данный файл, возможно, заражен зашифрованным или полиморфным вирусом, заражающим .СОМ и .ЕХЕ-файлы.
Замечание. Часто программа Dr.Web подозревает на наличие вируса файлы резидентных программ, осуществляющих запись в другие файлы.
Заражение модификацией вируса
Если программа Dr.Web сочтет, что программа может быть заражена вирусом, ей неизвестным,но напоминающим один из ей известных, она выводит сообщение вида:
имя-объекта возможно инфицирован модификацией имя-вирусаПодозрительное время создания файла
Программа Dr.Web в режиме с максимальным уровнем эвристического анализа (параметр /НА1) проверяет файлы на подозрительное время их создания или последней модификации. Например, некоторые вирусы при заражении файлов увеличивают дату создания или модификации файла на 100 лет или устанавливают в поле секунд времени несуществующее значение - 62 секунды. При обнаружении таких файлов Dr.Web выводит предупреждение:
имя-файла странное время создания . . .Заражение программ Aidstest и Dr.Web
Если исполнимый файл программы Aidstest или Dr.Web (обычно - AIDSTEST.EXE или DRWEB.EXE) изменен, и это изменение похоже на действие вируса, то программа издает звуковой сигнал и выводит сообщение. Например, Aidstest сообщает:
ВНИМАНИЕ! Ваш экземпляр aidstest.exe искажен!А Dr.Web:
Возможно, он заражен каким-то новым вирусом! Убедительная просьба немедленно скопировать его на дискету и передать для анализа автору через официальных распространителей. Для получения их координат запустите AIDSTEST /d
Dr.Web разрушен или инфицирован НЕИЗВЕСТНЫМ ВИРУСОМ!После этого программа Aidstest прекращает работу, а Dr.Web - предоставляет возможность либо завершить работу, либо продолжить ее. Обычно в такой ситуации надо перезагрузиться с дискеты (см. ранее) и запустить антивирусные программы с дискеты.
В памяти компьютера может находиться АКТИВНЫЙ РЕЗИДЕНТНЫЙ ВИРУС!
Продолжить работу?
Если программа Aidstest считает, что искажение файла AIDSTEST.EXE похоже не на вирус, а на действия хакеров, пытавшихся как-то изменить этот файл, она издает звуковой сигнал (сирену) и выводит сообщение:
Уважайте авторские права, даже если их не защищает закон!После этого программа Aidstest прекращает работу. Программа Dr.Web жалостливых призывов уважать авторские права не выводит.
Всего комментариев 0