ЧаВо: Общие — различия между версиями

Материал из wiki.drweb.com
Перейти к: навигация, поиск
м
м
Строка 115: Строка 115:
 
====«Действие “Удалить” недоступно. Сначала разрешите выбор действия “Удалить” в настройках ini-файла!»====
 
====«Действие “Удалить” недоступно. Сначала разрешите выбор действия “Удалить” в настройках ini-файла!»====
 
Многих часто пугает такое сообщение от Сканера на попытки удаления инфицированного файла. Всё дело в том, что инфицированный объект содержится внутри архива (zip, rar и так далее) или почтовой базы. [[Работа с архивами|Читать статью об архивах.]]
 
Многих часто пугает такое сообщение от Сканера на попытки удаления инфицированного файла. Всё дело в том, что инфицированный объект содержится внутри архива (zip, rar и так далее) или почтовой базы. [[Работа с архивами|Читать статью об архивах.]]
----
 
====Как очистить машину от некорректно удаленного Dr.Web®====
 
* 1. Убедиться, что действительно деинсталлированы службы агента и апдейтера
 
 
Если ключи реестра:
 
 
HKLM\SYSTEM\CurrentControlSet\Services\drwagntd
 
HKLM\SYSTEM\CurrentControlSet\Services\drwupgrade
 
 
существуют, то удалить их.
 
 
Также можно посмотреть в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и если там есть ключ DrWebAgetnUI, то удалить его.
 
 
* 2. Деинсталлировать SpIDerMail ("spiderml.exe -remove")
 
 
Если spiderml.exe физически отсутствует на диске, то это не значит, что его раньше действительно деинсталлировали, а не просто стерли. В конце концов, можно специально принести spiderml.exe на компьютер, чтобы запустить с ключом -remove и точно убедиться, что деинсталляция выполнена. Если он и в самом деле не был установлен, то такая попытка деинсталляции просто закончится сообщением, что "SpIDer Mail is not installed" (т.е. деинсталлировать нечего).
 
 
* 3. Убедиться, что действительно деинсталлированы службы и драйверы SpIDer Guard: выполнить spidernt.exe -remove
 
 
В ситуации, если он уже стерт, но нет уверенности что он был корректно деинсталлирован из системы, то проверить ветки реестра:
 
 
HKLM\SYSTEM\CurrentControlSet\Services\drwebnet
 
HKLM\SYSTEM\CurrentControlSet\Services\SPIDER
 
HKLM\SYSTEM\CurrentControlSet\Services\spidernt
 
 
и если таковые существуют, то удалить их.
 
 
Также посмотреть HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run на предмет наличия ключа "SpIDerNT" (если такой есть, то удалить).
 
 
* 4. Удалить всю ветку HKLM\SOFTWARE\IDAVLab
 
 
* 5. Если существует какой-либо из следующих ключей пакета DrWeb (относящихся к разделу Установка/Удаление программ Windows):
 
 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Dr.Web for Windows 95-XP
 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Dr.Web
 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DRWEB
 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{BBE2F69C-4338-11D7-8F0C-00A0244F4E2D}
 
 
удалить его.
 
 
* 6. Удалить ярлыки запуска Dr.Web с рабочего стола и из группы "Пуск|Программы", если таковые есть.
 
 
* 7. Удалить все содержимое каталога DrWeb или, сответственно, "DrWeb Enterprise Suite" с диска (кое-что в нем, возможно, удастся удалить только после рестарта).
 
 
Кроме того, удалить spider.cpl из %windir%\system32 и drwebnet.sys из %windir%\system32\drivers
 
 
* 8. Обязательный рестарт системы и, возможно, еще раз п. (7)
 
 
----
 
----
  
 
{{MASTER_LINK_LIST}}
 
{{MASTER_LINK_LIST}}
 
[[category:ЧаВо]]
 
[[category:ЧаВо]]

Версия 12:08, 10 ноября 2006

Содержание

Общие вопросы


Когда будет выпущена версия XXX?

Как только будет готова. О выходе новых версий всегда можно прочитать в новостях компании «Доктор Веб».


Почему число записей вирусной базы Dr.Web® меньше, чем в базах некоторых других антивирусных программ?

Что самое главное в антивирусе? Обеспечивать защиту от вирусов. Обеспечивается защита, среди прочего, внесением в вирусную базу записей (сигнатур), позволяющих детектировать вирусы. А вот количество записей в вирусной базе абсолютно ничего не говорит о том, сколько реально вирусов ловит та или иная антивирусная программа.
Читать подробности.


Как часто обновляются вирусные базы Dr.Web®?

Компания «Доктор Веб» сознательно отказалась от выпуска обновлений вирусных баз по какому-либо графику, пусть даже и несколько раз в сутки. Прежде всего потому, что вирусные эпидемии не подчиняются никаким графикам. Вирусные аналитики компании выпускают дополнения к вирусным базам немедленно по мере появления новой угрозы.

Начиная с декабря 2004 года процесс выпуска дополнений к вирусным базам был поднят на новый беспрецедентный уровень - теперь время занесения нового вируса в базу антивируса Dr.Web® и момент публикации соответствующего «горячего дополнения», доступного пользователям во всем мире, отличаются только на 20-30 минут, необходимых для проведения всестороннего тестирования этого дополнения. Поступают же новые вирусные записи на тестирование с интервалом в 10-30 минут.


У меня есть коммерческий ключ, но Dr.Web отказывается лечить троянцев. Hельзя ли это исправить?

Это исправлять не нужно. Единственный способ избавиться от троянской программы - удалить файл, в котором она находится.


Версия, скачанная с сайта, не работает. Как ее зарегистрировать?

В контекстное меню иконки SpIDer Guard имеется пункт <Зарегистрировать>, позволяющий запустить систему обновления Dr.Web® в режиме регистрации и получения лицензионного ключевого файла; а также пункт <Купить Dr.Web>, позволяющий перейти на соответствующую страничку сайта.


У меня есть файл, который точно заражен вирусом, но Dr.Web молчит. Почему?

Первым делом убедитесь в том, что Вы используете последнюю версию программы Dr.Web и все, выпущенные для нее обновления вирусных баз, включая «горячее» обновление, выходящее несколько раз в день. Информацию о текущей версии и о дополнениях можно получить на главной странице сайта компании . Проверить файл последней версией с полным набором баз можно в службе онлайн проверки.

Если вирус все равно не определяется, отправьте файл для анализа по адресу mailto:newvirus@drweb.com. Для пересылки упакуйте в архив с паролем virus (пароль в письме указывать не нужно!) и вирус будет добавлен в очередном «горячем» дополнении. Для отправки подозрительных файлов можно также воспользоваться формой на странице техподдержки.


Что означают поля Expires и SubscriptionExpires в файле ключа?

  • Expires - срок действия ключа, после этого срока программа перейдет в режим "без ключа".
  • SubscriptionExpires - срок подписки, т.е. после этого срока новые версии (вышедшие до Expires) не будут работать с этим ключом. Т.е. фактически срок окончания "обновления версии" (HЕ баз, базы до Expires).

FSAPIHook - что это за зверь?

> Hа работе у одного из юзверей эпизодически (!) вылазит сообщение от спай-
> дера при загрузке,  до запроса новелловских и виндовых паролей на вход в сеть
> и домен: "обнаружена установка перехватчика FSAPIHook по адресу С160CF8"

Через сервис "FSAPI hook" устанавливаются обработчики на события файловой системы - открытие, чтение, запись файлов и т.п. Это стандартный системный интерфейс, он интенсивно используется как самой ОС Windows, так и прикладными программами. Hе углубляясь в детали, можно сказать, что подозрение SpIDer Guard'a в данном случае вызывает не сам факт установки перехватчика FSAPI hook (это вполне законная операция), а то, что система не смогла ответить на запрос, какое приложение (или системный драйвер) этот обработчик пытается установить. Hаиболее вероятно, что в вашем случае имеет место быть сильная загрузка компьютера во время запуска Windows, и SpIDer Guard не успевает получить от системы ответ на свой запрос об инициаторе установки перехватчика.


Настройка


С какими ключами лучше использовать сканер DrWeb для проверки файлов, скачанных, к примеру, FlashGet-ом. Чтоб молча в фоне все проверял и спрашивал лишь при необходимости каких-то действий: лечение, и т.д.?

 "C:\Program Files\Drweb\Drweb32w.exe" /TB- /TM- /TS- /SHELL /UPN /HA /ML /ARM /CNM /CUP /ICD /PR /ST /QU /GO /MWMP /SS-

Где:

/TB- не проверять загрузочные сектора
/TM- не проверять память
/TS- не проверять файлы из автозагрузки
/SHELL проверять только то, что явно указано в строке запуска
/UPN упакованные проверять. N - имена пакеров не выводить
/HA эвристику включить
/ML е-мейлы проверять
/ARM зараженные архивы убирать в карантин
/CNM зараженные контейнеры убирать в карантин
/CUP зараженные лечить, P - выводить перед этим запрос подтверждения
/ICD неизлечимые удалять,
/PR выводить запрос подтверждения, если есть зараженные или подозр.
/ST не открывать окно (если ничего вредного не найдено)
/QU закрыть программу после проверки
/GO запуск
/MWMP перемещать malware с (запросом)
/SS- не записывать эти настройки в файл конфигурации

Я пытаюсь обновиться через Интернет, но обновления не происходит, выдается ошибка получения файла версий.

Для начала необходимо проверить адрес, указанный в настройках (Запустить сканер: Hастройки - Изменить - Обновление).
Если Вы используете прокси, необходимо также указать его адрес:порт, при необходимости и логин/пароль к нему в соответствующих строках.
Для записи подробного лога обновления запустите программу обновления из командной строки вот таким образом:

drwebupw.exe /DBG


и внимательно изучите протокол работы расположеный в %USERPROFILE%\DoctorWeb.


Можно ли при обновлении через Интернет использовать прокси-сервер?

Начиная с версии 4.32 Dr.Web® использует свои настройки прокси. Доступ к ним осуществляется через меню сканера. Можно также использовать утилиту обновления с ключами:

/PURL:proxy:port /PUSER:proxy_user_name /PPASS:proxy_user_password


«Действие “Удалить” недоступно. Сначала разрешите выбор действия “Удалить” в настройках ini-файла!»

Многих часто пугает такое сообщение от Сканера на попытки удаления инфицированного файла. Всё дело в том, что инфицированный объект содержится внутри архива (zip, rar и так далее) или почтовой базы. Читать статью об архивах.


Ссылки

Где скачать

Бесплатные сервисы

ЧаВо

Куда обратиться