|
|
From: Alexey Podtoptalow <Alexey.Podtoptalow@f56.n5095.z2.fidonet.org>
Date: Thu, 10 Dec 2009 21:00:06 +0300
Subject: mini-FAQ
Наиболее часто задаваемые вопросы:
1. (1) При запуске программы "Бухгалтерия 1С" SpIDer сообщает о вирусной
активности. Что это и как с этим бороться?
(2) А другие антивирусы в аналогичной ситуации не мешают работе 1С...
2. Я пытаюсь обновиться через Интернет, но обновления не происходит,
выдается ошибка получения файла версий. Что делать?
3. Можно ли при обновлении через Интернет использовать прокси-сервер?
4. Версия, скачанная с сайта, не хочет работать. Как ее зарегистрировать?
5. У меня есть коммерческий ключ, но Doctor Web отказывается лечить
троянцев, только предлагает удалить. Нельзя ли это исправить?
6. У меня есть файл, который точно заражен вирусом, но Doctor Web молчит.
Почему?
7. При установленном и активном SpIDer наблюдаются очень большие задержки
при выводе документов на принтер. Кто виноват?
8. Скажите, что означают поля Expires= и SubscriptionExpires=
в файле ключа (например drwebd.key)
9. Базы от версии 4.33 подходят к версии 4.32 ?
10. Как скачать DrWeb по http?
11. FSAPIHook -что за зверь?
12. Почему я не могу проверить файл из системы - правой кнопкой ?
13. При получении зараженного письма The BAT!ом, SpIDer блокирует все письма
14. С какими ключами лучше использовать DrWeb для проверки файлов, скачанных
FlashGet-ом. Чтоб молча в фоне все проверял и спрашивал лишь при необхо-
димости каких-то действий: лечение, удаление и т.д.
15. Что такое DrWebCureIT ?
16. Как переключить "Режим загрузки" спайдера NT ?.
17. Проблемы с почтой, интернетом или с другим софтом при использовании
SpIDer Mail. Что можно сделать ?
...и ответы на них:
1. (1) При запуске программы "Бухгалтерия 1С" SpIDer сообщает о вирусной
активности. Что это и как с этим бороться?
Это вполне нормальная реакция SpIDer'9x-Me на проявление вирусоподобной
активности. Тот факт, что разработчики 1C (или, возможно, люди,
"взламывающие" 1C), используют те же методы, что и компьютерные вирусы, не
может не огорчать и не имеет к SpIDer'у никакого отношения. Если Вы хотите
работать с 1C, но пропускать новые вирусы, подобные Win95.CIH, внесите в
секцию [SpIDerGuard] файла drweb32.ini такую строчку:
DisableIDTHook=Yes
(2) А другие антивирусы в аналогичной ситуации не мешают работе 1С...
В Spider'9x-Me использована уникальная технология перехвата CIH-подобного
проявления вирусной активности. Такая активность свойственна многим
вирусам (не только памятному Win95.CIH), которые пытаются проникнуть в
системную память Win9x-ME для размножения и, возможно, для разрушения
flash-памяти компьютера. Более того, данная технология позволяет защитить
компьютер от инфицирования еще неизвестными вирусами, использующими такой
же механизм проникновения в систему. Ни в одном другом антивирусе не
реализована подобная технология обнаружения вирусов, как и многие другие
решения, которые уже сейчас реализованы в SpIDer.
Грамотные пользователи 1С подсказывают также, что достаточно обновить 1С.
В ней все уже вполне совместимо и правильно.
2. Я пытаюсь обновиться через Интернет, но обновления не происходит, выдается
ошибка получения файла версий. Что делать?
Для начала - проверить адрес, указанный в настройках (Запустить сканер, там
Настройки - Изменить - Обновление).
Если Вы используете прокси, необходимо также указать его адрес:порт, при
необходимости и логин/пароль к нему в соответствующих строках.
Для записи подробного лога обновления запустите из командной строки
drwebupw.exe /DBG
Лог смотреть в %USERPROFILE%\DoctorWeb.
3. Можно ли при обновлении через Интернет использовать прокси-сервер?
В версии 4.32 наконец-то используются свои настройки прокси. Доступ к ним -
через меню сканера. Можно также использовать утилиту обновления с ключами:
/PURL:proxy:port /PUSER:proxy_user_name /PPASS:proxy_user_password
4. Версия, скачанная с сайта, не работает. Как ее зарегистрировать?
В контекстное меню иконки SpIder добавлен пункт <Зарегистрировать>,
позволяющий запустить систему обновления Dr.Web в режиме регистрации
и получения лицензионного ключевого файла; а также пункт <Купить Dr.Web>,
позволяющий перейти на соответствующую страничку сайта.
5. У меня есть коммерческий ключ, но Doctor Web отказывается лечить троянцев.
Нельзя ли это исправить?
Это исправлять не нужно. Единственный способ избавиться от троянской
программы - удалить файл, в котором она находится.
6. У меня есть файл, который точно заражен вирусом, но Doctor Web молчит.
Почему?
Убедитесь в том, что Вы используете последнюю версию программы Doctor Web
и все, выпущенные для нее обновления вирусных баз, включая "Горячее
дополнение", выходящее несколько раз в день. Информацию о текущей версии и
о дополнениях можно получить на главной странице сайта. Проверить файл
последней версией с полным набором баз можно здесь:
http://online.drweb.com/
Если вирус все равно не определяется, отправьте файл для анализа по этому
адресу: newvirus@drweb.com Для пересылки упакуйте в архив с паролем
(пароль: virus в письме указывать не надо). Если вирус, будет в очередном
горячем дополнении.
Для отправки подозрительных файлов можно также воспользоваться формой на
странице http://support.drweb.com/sendnew
7. При установленном и активном SpIDer наблюдаются очень большие задержки при
выводе документов на принтер. Кто виноват?
Скорее всего у Вас принтер семейства Hewlett Packard. Драйверы для этого
принтера во время работы открывают на запись файлы, которые контролирует
SpIDer, огромное количество раз. Соответственно, при каждом закрытии
SpIDer проверяет изменившиеся файлы на возможное заражение вирусами. Если
Вы хотите избежать задержек, внесите эти файлы в список исключаемых из
проверки (ExcludePaths).
8. Скажите, что означают поля Expires= и SubscriptionExpires=
в файле ключа (например drweb32.key)
Expires - срок действия ключа, после этого срока программа перейдет
в режим "без ключа"
SubscriptionExpires - срок подписки, т.е. после этого срока новые версии
(вышедшие до Expires) не будут работать с этим ключом. Т.е. фактически срок
окончания "обновления версии" (НЕ баз, базы до Expires)
9. Базы от версии 4.33 подходят к версии 4.32 ?
Cовместимы только дополнения, основные базы НЕ совместимы,
таким образом набор загружаемых баз для версии 4.32 должен быть
такой:
+ drwebase.vdb от 4.32
+ все дополнения от 4.32 (drw432xx.vdb xx=01..59)
+ дополнения от 4.33, (drw433yy.vdb yy=03..текущее)
! внимание drw43300.vdb - drw43302.vdb, не нужны в версии 4.32
+ drwtoday.vdb
Некоторые экспериментаторы сообщают, что версия 4.32 работает даже с основной
базой drwebase.vdb от 4.33 и ее дополнениями (drw43300.vdb и далее). Но такой
вариант официально не рекомендован, плюс к тому 4.32 заведомо будет пропускать
часть вирусов с новыми паковщиками, т.к. записи прямо в упакованном виде,
которые есть в базах для 4.32, из баз 4.33 убраны - ей они уже не нужны.
Как временный вариант, можно заменить десять кумулятивов:
drw43208.vdb, drw43214.vdb, drw43215.vdb, drw43224.vdb,drw43234.vdb,
drw43245.vdb, drw43248.vdb, drw43252.vdb, drw43253.vdb, drw43256.vdb
одним drw432xx.vdb. (Выпущен для корпоративных юзеров, которые не успели
перейти на 4.33 и нуждаются во временной работе 4.32 - еще два месяца).
10. Как скачать DrWeb по http?
http://http.drweb.ru/
либо http://www.antivir.ru/wwwdata/soft/dsav.reg/
11. FSAPIHook -что за зверь?
> На работе у одного из юзверей эпизодически (!) вылазит сообщение от спай-
> дера при загрузке, до запроса новелловских и виндовых паролей на вход в сеть
> и домен: "обнаружена установка перехватчика FSAPIHook по адресу С160CF8"
Через сервис "FSAPI hook" устанавливаются обработчики на события файловой
системы - открытие, чтение, запись файлов и т.п. Это стандартный системный
интерфейс, он интенсивно используется как самой Windows, так и прикладными
программами. Не углубляясь в детали, можно сказать, что подозрение SpIDer'a в
данном случае вызывает не сам факт установки перехватчика FSAPI hook (это
вполне законная операция), а то, что система не смогла ответить на запрос,
какое приложение (или системный драйвер) этот обработчик пытается установить.
Наиболее вероятно, что в вашем случае имеет место быть сильная загрузка
компьютера во время загрузки Windows, и SpIDerGuard не успевает получить от
системы ответ на свой запрос об инициаторе установки перехватчика.
12. Почему я не могу проверить файл из системы - правой кнопкой ?
Необходимо перерегистрировать шелл для drweb. Для этого в директории DrWeb
выполнить команды:
regsvr32.exe drwsxtn.dll /u
regsvr32.exe drwsxtn.dll
В HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\DrWeb32W.Exe
проверить путь к директории установки.
13. При получении зараженного письма The BAT!ом, SpIDer блокирует все письма
Дело в том, что у Вас в настройках SpIDer Guard включена проверка "Почтовых
файлов"(E-Mail files), а при получении писем The BAT! создает временные фай-
лы, в которых SpIDer Guard и обнаруживает вирусы до того, как их обработает
The BAT!, и блокирует эти файлы. Проблема решается довольно просто: необходи-
мо настроить почтовый клиент The BAT! так, чтобы он сохранял вложенные файлы
в отдельном каталоге: Ящик - Свойства почтового ящика - Файлы и каталоги -
Хранить присоединенные файлы в отдельном каталоге (Account - Properties - Fi-
les & Directories - Keep atachment files - Separately in a special directo-
ry).
В настройках SpIDer Guard необходимо отключить проверку "Почтовых файлов(фор-
матов)" (E-Mail files(formats)). После этого SpIDer Guard сможет выполнять
любые действия (Лечить/Удалять/Перемещать) с зараженными вложенными файлами.
14. С какими ключами лучше использовать сканер DrWeb для проверки файлов,
скачанных, к примеру, FlashGet-ом. Чтоб молча в фоне все проверял и
спрашивал лишь при необходимости каких-то действий: лечение, и т.д. ?
"C:\Program Files\Drweb\Drweb32w.exe" /TB- /TM- /TS- /UPN /HA /ML /AL
/ARM /CNM /CU /ICD /PR /ST /QU /MWM /SS- /GO (все это в одну строку)
Где:
/TB- не проверять загрузочные сектора
/TM- не проверять память
/TS- не проверять файлы из автозагрузки
/UPN упакованные проверять. N - имена пакеров не выводить
/HA эвристику включить
/ML е-мейлы проверять
/ARM зараженные архивы убирать в карантин
/CNM зараженные контейнеры убирать в карантин
/CU зараженные лечить,
/ICD неизлечимые удалять,
/PR выводить запрос подтверждения, если есть зараженные или подозр.
/ST не открывать окно (если ничего вредного не найдено)
/QU закрыть программу после проверки
/MWM перемещать malware
/SS- не записывать эти настройки в файл конфигурации
/GO запуск
15. Что такое DrWebCureIT ?
Официально - бесплатная утилита для лечения с ограниченной
функциональностью. Фактически - нормальный GUI сканер с базами в sfx архиве,
из-за ограничений в ключе не проверяет архивы и е-мейл файлы. Работает без
установки. На сайте обновляется по мере выхода новых горячих дополнений.
16. Как в 4.33 переключить "Режим загрузки" спайдера NT ?.
При переключении в ручной режим загрузки существенно снижается уровень защиты.
- Можно переключить из апплета управления, далее перезагрузка.
- Можно переключить вручную из командной строки:
spidernt.exe /config:manual (и перезагрузка).
spidernt.exe /config:auto (и перезагрузка) - вернуть обратно.
Контроль - два ключа в реестре:
HKLM\System\CuttentControlSet\Services\Spider - драйвер
HKLM\System\CuttentControlSet\Services\Spidernt - служба
Меняется параметр Start:
2 - автозапуск
3 - ручной режим
Или более комфортно:
Администрирование - Службы - SpIDer Guard for Windows NT
Диспетчер устройств - Вид - Показывать скрытые устройства - появляется группа
не-Plug&Play устройств, и в ней - SpIDer FS Monitor for Windows NT
17. Проблемы с почтой, интернетом или с другим софтом при использовании
SpIDer Mail. Что можно сделать ?
Сперва попробуйте деинсталлировать SpIDer Mail (spiderml.exe -remove).
Если все заработает, то установите и воспользуйтесь ручной настройкой
перехвата соединений. В режиме ручного перехвата защита хуже - отправляемая
мимо почтового клиента рассылка не будет перехвачена - но возможность
конфликтов с другим софтом значительно меньше.
Спайдер-мейл способен проверять только нешифрованный pop3/smtp протокол.
Если ящик imap или соединение с шифрованием - пользы от него будет немного.
Ручная настройка перехвата:
1. Перевести SpIDer Mail в режим перехвата "manual" (HookModeAuto = No)
2. Прописать в его настройках пары значений:
порт 7000 -> smtp.mail.ru:25 (для smtp),
порт 7001 -> pop.mail.ru:110 (для POP3), etc
(локальные порты - любые свободные, главное, они не должны совпадать для
разных редиректов).
3. прописать в клиенте (Outlook Express) вместо smtp и pop3 серверов -
127.0.0.1, порт 7000 и 127.0.0.1, порт 7001 соответственно.
(Конечно, mail.ru приведен для примера. Указать надо свои сервера).
В drweb32.ini должно быть так:
[SpIDerMailHome]
HookModeAuto = No
HookManual1=7000->smtp.mail.ru:25
HookManual2=7001->pop.mail.ru:110
HookManual3=...
Полезные ссылки:
Форумы техподдержки (точнее, е-мейл рассылки с GUI-интерфейсом):
http://forum.drweb.com/ - ООО "Доктор Веб", С-Пб и московский филиал.
Форумы:
http://forum.drweb.ru/ - ООО "СаЛД".
http://forum.drweb.ru/unix - ООО "СаЛД".
Дистрибутивы:
http://download.drweb.com/ - далее ссылки ведут на ftp.
http://http.drweb.ru/ - если нет возможности качать по ftp.
ftp://ftp.drweb.com/pub/drweb/windows/
ftp://ftp.drweb.com/pub/drweb/windows/drweb-433-win-ru.exe
Серверные версии:
ftp://ftp.drweb.com/pub/drweb/windows/server/
ftp://ftp.drweb.com/pub/drweb/windows/server/drweb-433-winsrv-ru.exe
DrWebCureIT:
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
Базы (в zip):
ftp://ftp.drweb.com/pub/drweb/bases/
Базы (не упакованные):
http://updates.drweb.ru/linux/drweb32.lst (или вместо drweb32.lst имя базы)
Старая версия, 4.32:
ftp://ftp.drweb.ru/pub/archive/windows/432/
Документация программы (на русском):
ftp://ftp.drweb.com/pub/drweb/windows/drweb-433-win-ru-pdf.zip 2110k
ftp://ftp.drweb.com/pub/drweb/windows/drweb-433-win-ru-doc.zip 589k
Unix: лучше (с примерами) - в дистрибутивах.
ftp://ftp.drweb.com/pub/drweb/unix/doc/drweb-433-unix-ru-pdf.zip
Веб-интерфейс для отправки файлов в антивирусную лабораторию
http://support.drweb.com/sendnew
Рекомендации по использованию антивирусных программ для компьютеров под
управлением Windows Server 2003, Windows 2000 и Windows XP:
http://support.microsoft.com/kb/822158/ru
На Server 2003, Windows 2000 и Windows XP рекомендуется исключить из проверки:
%windir%\SoftwareDistribution\Datastore\Datastore.edb
%windir%\SoftwareDistribution\Datastore\Logs\Edb*.log
%windir%\SoftwareDistribution\Datastore\Logs\Res1.log
%windir%\SoftwareDistribution\Datastore\Logs\Res2.log
%windir%\SoftwareDistribution\Datastore\Logs\Edb.chk
%windir%\SoftwareDistribution\Datastore\Logs\Tmp.edb
Для контроллеров домена Windows Server 2003 и Windows 2000 см. первоисточник.
Использованные материалы:
1. FAQ http://www.drweb.ru/faq.shtml
2. Форумы поддержки DrWEB: http://forum.drweb.com/ (ООО "Доктор Веб")
http://forum.drweb.ru/ (ООО "СалД")
FAQ version 2006-11-29
© faqs.org.ru