ЧаВо: Общие — различия между версиями

Материал из wiki.drweb.com
Перейти к: навигация, поиск
м
м
 
(не показано 28 промежуточных версий 5 участников)
Строка 1: Строка 1:
===Вопросы - ответы.===
+
===Общие вопросы===
 
----
 
----
 
====Когда будет выпущена версия XXX?====
 
====Когда будет выпущена версия XXX?====
Как только будет готова.
+
Как только будет готова. О выходе новых версий всегда можно прочитать в [http://info.drweb.com/ новостях] [[Компания «Доктор Веб»|компании «Доктор Веб»]].
 +
----
 +
====Почему число записей [[Вирусная база|вирусной базы]] [[Dr.Web®]] меньше, чем в базах некоторых других [[Антивирус|антивирусных программ]]?====
 +
Что самое главное в антивирусе? Обеспечивать защиту от [[Вирус|вирусов]]. Обеспечивается защита, среди прочего, внесением в [[Вирусная база|вирусную базу]] [[Вирусная запись|записей]] (сигнатур), позволяющих детектировать [[Вирус|вирусы]]. А вот количество [[Вирусная запись|записей]] в [[Вирусная база|вирусной базе]] абсолютно ничего не говорит о том, сколько реально [[Вирус|вирусов]] ловит та или иная [[Антивирус|антивирусная программа]].
 +
<br>[[Почему число записей вирусной базы Dr.Web&reg; меньше|Читать подробности]].
 +
----
 +
====Как часто обновляются [[Вирусная база|вирусные базы]] [[Dr.Web&reg;]]?====
 +
{{HIGH_FREQUENCY}}
 +
----
 +
====У меня есть коммерческий ключ, но Dr.Web отказывается лечить троянцев. Hельзя ли это исправить?====
 +
Это исправлять не нужно. Единственный способ избавиться от троянской программы - удалить файл, в котором она находится.
 +
----
 +
====Версия, скачанная с сайта, не работает. Как ее зарегистрировать?====
 +
В контекстное меню иконки SpIDer Guard имеется пункт <Зарегистрировать>, позволяющий запустить систему обновления Dr.Web&reg; в режиме регистрации и получения лицензионного ключевого файла; а также пункт <Купить Dr.Web>, позволяющий перейти на [http://buy.drweb.com/register/ соответствующую страничку сайта].
 +
----
 +
====У меня есть файл, который точно заражен вирусом, но Dr.Web молчит. Почему?====
 +
Первым делом убедитесь в том, что Вы используете последнюю версию программы Dr.Web и все, выпущенные для нее обновления вирусных баз, включая [[«Горячие» обновления|«горячее» обновление]], выходящее несколько раз в день. Информацию о текущей версии и о дополнениях можно получить на [http://download.drweb.com/bases/ специальной странице] сайта компании . Проверить файл последней версией с полным набором баз можно в службе [http://online.drweb.com/ онлайн] проверки.
 +
 +
Если вирус все равно не определяется, отправьте файл для анализа по адресу [mailto:vms@drweb.com Службы Вирусного Мониторинга]. Для пересылки упакуйте в архив с паролем '''virus''' (''пароль в письме указывать не нужно!'') и вирус будет добавлен в очередном [[«Горячие» обновления|«горячем» дополнении]]. Для отправки подозрительных файлов можно также воспользоваться [http://support.drweb.com/sendnew формой] на сайте Службы технической поддержки.
 
----
 
----
====Почему число записей [[Вирусная База|вирусной базы]] [[Dr.Web&reg;]] меньше, чем в базах некоторых других [[Антивирус|антивирусных программ]]?====
 
[[Антивирус]] [[Dr.Web&reg;]] начал разрабатываться в начале девяностых годов уже прошлого века, когда [[Интернет]] только развивался и далеко еще не был «глобальной сетью», когда лишь немногие предприятия могли себе позволить доступ к мировой сети. В условиях, когда за трафик надо было платить дорого, а обновления производить как можно чаще, размер [[Вирусная База|вирусной базы]], а значит и время ее скачивания из [[Интернет]], должны были быть [[Малый размер обновлений|минимальными]]. Такая задача стояла перед разработчиком и она была выполнена — до сегодняшнего дня, размер [[Вирусная База|вирусной базы]] [[Dr.Web&reg;]] [[Малый размер обновлений|самый маленький]] среди всех существующих антивирусных программ. Достигнуто это благодаря разработке собственной технологии создания [[Вирусная База|вирусной базы]] на основе очень гибкого языка, специально разработанного для описания баз. [[Малый размер обновлений|Малый размер]] [[Вирусная База|вирусной базы]] обеспечивает экономию трафика, позволяет занимать гораздо меньше места на диске после установки и в оперативной памяти, чем базы других производителей. Небольшой размер [[Вирусная База|вирусной базы]] позволяет взаимодействовать компонентам программы [[Dr.Web&reg;]] в высокоскоростном режиме, не оказывая чрезмерной нагрузки на процессор.
 
  
Что самое главное в антивирусе? Обеспечивать защиту от [[Вирус|вирусов]]. Обеспечивается защита, среди прочего, внесением в [[Вирусная База|вирусную базу]] [[Вирусная Запись|записей]] (сигнатур), позволяющих детектировать [[Вирус|вирусы]]. А вот количество [[Вирусная Запись|записей]] в [[Вирусная База|вирусной базе]] абсолютно ничего не говорит о том, сколько реально [[Вирус|вирусов]] ловит та или иная [[Антивирус|антивирусная программа]]. Наиболее объективным способом проверки качества защиты служат сравнительные тестирования, проводимые на коллекциях [[Вирус|вирусов]] из «дикой природы» (InTheWild list) — т.е. [[Вирус|вирусах]], реально существующих на компьютерах пользователей, а не только в вирусных лабораториях и у [[Коллекционер вирусов|коллекционеров]].
+
====Что означают поля Expires и SubscriptionExpires в файле ключа?====
 +
*'''Expires''' - срок действия ключа, после этого срока программа перейдет в режим "без ключа".<br>
 +
*'''SubscriptionExpires''' - срок подписки, т.е. после этого срока новые версии (вышедшие до Expires) не будут работать с этим ключом. Т.е. фактически срок окончания "обновления версии" (HЕ баз, базы до Expires).
 +
----
 +
====FSAPIHook - что это за зверь?====
 +
> Hа работе у одного из юзверей эпизодически (!) вылазит сообщение от спай-
 +
> дера при загрузке, до запроса новелловских и виндовых паролей на вход в сеть
 +
> и домен: "обнаружена установка перехватчика FSAPIHook по адресу С160CF8"
 +
Через сервис  "FSAPI  hook"  устанавливаются  обработчики на события файловой системы - открытие, чтение, запись файлов и т.п. Это стандартный системный интерфейс, он интенсивно используется как самой ОС [[Windows]], так и прикладными программами. Hе углубляясь в детали, можно сказать, что подозрение SpIDer Guard'a в данном случае вызывает не сам факт установки перехватчика FSAPI hook (это вполне законная операция), а то, что система не смогла ответить на запрос, какое приложение (или системный драйвер) этот обработчик пытается установить. Hаиболее вероятно, что в вашем случае имеет место быть сильная загрузка компьютера во время запуска [[Windows]], и SpIDer Guard не успевает получить от системы ответ на свой запрос об инициаторе установки перехватчика.
 +
----
 +
===Настройка===
 +
----
 +
====С какими ключами лучше использовать сканер DrWeb для проверки файлов, скачанных, к примеру, FlashGet-ом. Чтоб молча в фоне все проверял и спрашивал лишь при необходимости каких-то действий: лечение, и т.д.?====
  
Также следует понимать, что [[Вирусная База|вирусная база]] каждой [[Антивирус|антивирусной программы]] имеет свою структуру. Чтобы объяснить, почему число [[Вирусная Запись|записей]] в [[Вирусная База|вирусной базе]] [[Dr.Web&reg;]] меньше числа [[Вирусная Запись|записей]] в [[Вирусная База|вирусных базах]] некоторых других производителей, надо знать, что не все [[Вирус|вирусы]] уникальны. Существуют целые семейства родственных (подобных) [[Вирус|вирусов]], есть [[Вирус|вирусы]], сконструированные [[Вирусный конструктор|вирусными конструкторами]] — специальными программами для создания [[Вирус|вирусов]]. Все они очень похожи друг на друга, очень часто — как две капли воды. Разработчиками некоторых других [[Антивирус|антивирусов]] каждый такой [[Вирус|вирус]]-близнец наделяется отдельной [[Вирусная Запись|записью]] в [[Вирусная База|вирусной базе]], что утяжеляет ее.
+
<tt>
 +
  "C:\Program Files\Drweb\Drweb32w.exe" /TB- /TM- /TS- /SHELL /UPN /HA /ML /ARM /CNM /CUP /ICD /PR /ST /QU /GO /MWMP /SS-
 +
</tt>
  
Другой принцип применен в [[Вирусная База|вирусной базе]] [[Dr.Web&reg;]], где всего одна [[Вирусная Запись|вирусная запись]] позволяет обезвреживать десятки или сотни, а иногда даже тысячи подобных друг другу [[Вирус|вирусов]]! Даже меньшее, по сравнению с некоторыми другими программами число [[Вирусная Запись|вирусных записей]] в [[Вирусная база|базе]] дает возможность с высокой долей вероятности обнаруживать пока еще не известные (не внесенные в базу) [[Вирус|вирусы]], которые будут созданы на основе уже существующих [[Вирус|вирусов]].
+
Где:
 
+
{| cellspacing="3" border="0"
Итак, что же дают пользователю малый размер [[Вирусная База|вирусной базы]] и меньшее число [[Вирусная Запись|записей]] в ней?
+
|-
*экономия места на диске;
+
|/TB-
*экономия оперативной памяти;
+
|не проверять загрузочные сектора
*экономия трафика при скачивании [[Вирусная База|вирусной базы]];
+
|-
*высокая скорость установки [[Вирусная База|вирусной базы]] и ее обработки при анализе [[Вирус|вирусов]];
+
|/TM-
*возможность определять [[Вирус|вирусы]], которые еще только будут сделаны в будущем путем модификации уже известных.
+
|не проверять память
 +
|-
 +
|/TS-
 +
|не проверять файлы из автозагрузки
 +
|-
 +
|/SHELL
 +
|проверять только то, что явно указано в строке запуска
 +
|-
 +
|/UPN
 +
|упакованные проверять. N - имена пакеров не выводить
 +
|-
 +
|/HA
 +
|эвристику включить
 +
|-
 +
|/ML
 +
|е-мейлы проверять
 +
|-
 +
|/ARM
 +
|зараженные архивы убирать в карантин
 +
|-
 +
|/CNM
 +
|зараженные контейнеры убирать в карантин
 +
|-
 +
|/CUP
 +
|зараженные лечить, P - выводить перед этим запрос подтверждения
 +
|-
 +
|/ICD
 +
|неизлечимые удалять,
 +
|-
 +
|/PR
 +
|выводить запрос подтверждения, если есть зараженные или подозр.
 +
|-
 +
|/ST
 +
|не открывать окно (если ничего вредного не найдено)
 +
|-
 +
|/QU
 +
|закрыть программу после проверки
 +
|-
 +
|/GO
 +
|запуск
 +
|-
 +
|/MWMP
 +
|перемещать malware с (запросом)
 +
|-
 +
|/SS-
 +
|не записывать эти настройки в файл конфигурации
 +
|-
 +
|}
 +
----
  
 +
====Я пытаюсь обновиться через Интернет, но обновления не происходит, выдается ошибка получения файла версий.====
 +
Для начала необходимо проверить адрес, указанный в настройках (Запустить сканер: Hастройки - Изменить - Обновление).<br>
 +
Если Вы используете прокси, необходимо также указать его адрес:порт, при необходимости и логин/пароль к нему в соответствующих строках.<br>
 +
Для записи подробного лога обновления запустите программу обновления из командной строки вот таким образом:
 +
<tt>
 +
drwebupw.exe /DBG
 +
</tt><br>
 +
и внимательно изучите протокол работы расположеный в '''%USERPROFILE%\DoctorWeb'''.
 +
----
 +
====Можно ли при обновлении через Интернет использовать прокси-сервер?====
 +
Начиная с версии 4.32 Dr.Web&reg; использует свои настройки прокси. Доступ к ним осуществляется через меню сканера. Можно также использовать утилиту обновления с ключами:<br>
 +
<tt>
 +
/PURL:proxy:port /PUSER:proxy_user_name /PPASS:proxy_user_password
 +
</tt>
 
----
 
----
 
====«Действие “Удалить” недоступно. Сначала разрешите выбор действия “Удалить” в настройках ini-файла!»====
 
====«Действие “Удалить” недоступно. Сначала разрешите выбор действия “Удалить” в настройках ini-файла!»====
 
Многих часто пугает такое сообщение от Сканера на попытки удаления инфицированного файла. Всё дело в том, что инфицированный объект содержится внутри архива (zip, rar и так далее) или почтовой базы. [[Работа с архивами|Читать статью об архивах.]]
 
Многих часто пугает такое сообщение от Сканера на попытки удаления инфицированного файла. Всё дело в том, что инфицированный объект содержится внутри архива (zip, rar и так далее) или почтовой базы. [[Работа с архивами|Читать статью об архивах.]]
 
 
----
 
----
===Ссылки===
+
====Dr.Web Antispam в Thunderbird====
====Где скачать===
+
{{Dr.Web Antispam в Thunderbird}}
*[http://download.drweb.com/ Скачать демо-версию]
+
----
*[http://download.drweb.com/bases/ Скачать обновления вирусных баз]
+
====Куда обратиться====
+
*[http://forum.drweb.com/ Форум пользователей Dr.Web®]
+
*[http://www.drweb.com/online/ Онлайн-проверка на вирусы]
+
*[http://support.drweb.com/request/ Задать вопрос Службе техподдержки - web-интерфейс]
+
*[mailto:support@drweb.com Задать вопрос Службе техподдержки - письмо]
+
*[mailto:sales@drweb.com Задать вопрос Службе продаж]
+
*[http://support.drweb.com/sendnew/ Прислать подозрительный или, наоборот, чистый файл - web-интерфейс]
+
*[mailto:vms@drweb.com Прислать подозрительный или, наоборот, чистый файл - письмо]
+
*[mailto
+
  
 +
{{MASTER_LINK_LIST}}
 
[[category:ЧаВо]]
 
[[category:ЧаВо]]

Текущая версия на 19:46, 9 октября 2007

Содержание

Общие вопросы


Когда будет выпущена версия XXX?

Как только будет готова. О выходе новых версий всегда можно прочитать в новостях компании «Доктор Веб».


Почему число записей вирусной базы Dr.Web® меньше, чем в базах некоторых других антивирусных программ?

Что самое главное в антивирусе? Обеспечивать защиту от вирусов. Обеспечивается защита, среди прочего, внесением в вирусную базу записей (сигнатур), позволяющих детектировать вирусы. А вот количество записей в вирусной базе абсолютно ничего не говорит о том, сколько реально вирусов ловит та или иная антивирусная программа.
Читать подробности.


Как часто обновляются вирусные базы Dr.Web®?

Компания «Доктор Веб» сознательно отказалась от выпуска обновлений вирусных баз по какому-либо графику, пусть даже и несколько раз в сутки. Прежде всего потому, что вирусные эпидемии не подчиняются никаким графикам. Вирусные аналитики компании выпускают дополнения к вирусным базам немедленно по мере появления новой угрозы.

Начиная с декабря 2004 года процесс выпуска дополнений к вирусным базам был поднят на новый беспрецедентный уровень - теперь время занесения нового вируса в базу антивируса Dr.Web® и момент публикации соответствующего «горячего дополнения», доступного пользователям во всем мире, отличаются только на 20-30 минут, необходимых для проведения всестороннего тестирования этого дополнения. Поступают же новые вирусные записи на тестирование с интервалом в 10-30 минут.


У меня есть коммерческий ключ, но Dr.Web отказывается лечить троянцев. Hельзя ли это исправить?

Это исправлять не нужно. Единственный способ избавиться от троянской программы - удалить файл, в котором она находится.


Версия, скачанная с сайта, не работает. Как ее зарегистрировать?

В контекстное меню иконки SpIDer Guard имеется пункт <Зарегистрировать>, позволяющий запустить систему обновления Dr.Web® в режиме регистрации и получения лицензионного ключевого файла; а также пункт <Купить Dr.Web>, позволяющий перейти на соответствующую страничку сайта.


У меня есть файл, который точно заражен вирусом, но Dr.Web молчит. Почему?

Первым делом убедитесь в том, что Вы используете последнюю версию программы Dr.Web и все, выпущенные для нее обновления вирусных баз, включая «горячее» обновление, выходящее несколько раз в день. Информацию о текущей версии и о дополнениях можно получить на специальной странице сайта компании . Проверить файл последней версией с полным набором баз можно в службе онлайн проверки.

Если вирус все равно не определяется, отправьте файл для анализа по адресу Службы Вирусного Мониторинга. Для пересылки упакуйте в архив с паролем virus (пароль в письме указывать не нужно!) и вирус будет добавлен в очередном «горячем» дополнении. Для отправки подозрительных файлов можно также воспользоваться формой на сайте Службы технической поддержки.


Что означают поля Expires и SubscriptionExpires в файле ключа?

  • Expires - срок действия ключа, после этого срока программа перейдет в режим "без ключа".
  • SubscriptionExpires - срок подписки, т.е. после этого срока новые версии (вышедшие до Expires) не будут работать с этим ключом. Т.е. фактически срок окончания "обновления версии" (HЕ баз, базы до Expires).

FSAPIHook - что это за зверь?

> Hа работе у одного из юзверей эпизодически (!) вылазит сообщение от спай-
> дера при загрузке,  до запроса новелловских и виндовых паролей на вход в сеть
> и домен: "обнаружена установка перехватчика FSAPIHook по адресу С160CF8"

Через сервис "FSAPI hook" устанавливаются обработчики на события файловой системы - открытие, чтение, запись файлов и т.п. Это стандартный системный интерфейс, он интенсивно используется как самой ОС Windows, так и прикладными программами. Hе углубляясь в детали, можно сказать, что подозрение SpIDer Guard'a в данном случае вызывает не сам факт установки перехватчика FSAPI hook (это вполне законная операция), а то, что система не смогла ответить на запрос, какое приложение (или системный драйвер) этот обработчик пытается установить. Hаиболее вероятно, что в вашем случае имеет место быть сильная загрузка компьютера во время запуска Windows, и SpIDer Guard не успевает получить от системы ответ на свой запрос об инициаторе установки перехватчика.


Настройка


С какими ключами лучше использовать сканер DrWeb для проверки файлов, скачанных, к примеру, FlashGet-ом. Чтоб молча в фоне все проверял и спрашивал лишь при необходимости каких-то действий: лечение, и т.д.?

 "C:\Program Files\Drweb\Drweb32w.exe" /TB- /TM- /TS- /SHELL /UPN /HA /ML /ARM /CNM /CUP /ICD /PR /ST /QU /GO /MWMP /SS-

Где:

/TB- не проверять загрузочные сектора
/TM- не проверять память
/TS- не проверять файлы из автозагрузки
/SHELL проверять только то, что явно указано в строке запуска
/UPN упакованные проверять. N - имена пакеров не выводить
/HA эвристику включить
/ML е-мейлы проверять
/ARM зараженные архивы убирать в карантин
/CNM зараженные контейнеры убирать в карантин
/CUP зараженные лечить, P - выводить перед этим запрос подтверждения
/ICD неизлечимые удалять,
/PR выводить запрос подтверждения, если есть зараженные или подозр.
/ST не открывать окно (если ничего вредного не найдено)
/QU закрыть программу после проверки
/GO запуск
/MWMP перемещать malware с (запросом)
/SS- не записывать эти настройки в файл конфигурации

Я пытаюсь обновиться через Интернет, но обновления не происходит, выдается ошибка получения файла версий.

Для начала необходимо проверить адрес, указанный в настройках (Запустить сканер: Hастройки - Изменить - Обновление).
Если Вы используете прокси, необходимо также указать его адрес:порт, при необходимости и логин/пароль к нему в соответствующих строках.
Для записи подробного лога обновления запустите программу обновления из командной строки вот таким образом:

drwebupw.exe /DBG


и внимательно изучите протокол работы расположеный в %USERPROFILE%\DoctorWeb.


Можно ли при обновлении через Интернет использовать прокси-сервер?

Начиная с версии 4.32 Dr.Web® использует свои настройки прокси. Доступ к ним осуществляется через меню сканера. Можно также использовать утилиту обновления с ключами:

/PURL:proxy:port /PUSER:proxy_user_name /PPASS:proxy_user_password


«Действие “Удалить” недоступно. Сначала разрешите выбор действия “Удалить” в настройках ini-файла!»

Многих часто пугает такое сообщение от Сканера на попытки удаления инфицированного файла. Всё дело в том, что инфицированный объект содержится внутри архива (zip, rar и так далее) или почтовой базы. Читать статью об архивах.


Dr.Web Antispam в Thunderbird

В почтовом клиенте Mozilla Thunderbird имеется возможность сортировки писем согласно установкам антиспам фильтров. Изначально используются предустановки SpamAssassin и SpamPal. При использовании пакета "Dr.Web® Антивирус + Антиспам" можно "научить" Thunderbird сортировать письма, помеченные SpIDer Mail® как спам.
Для этого необходимо в каталоге %programfiles%/Mozilla Thunderbird\isp создать файл "DrWeb.sfd" примерно следующего содержания:

version="8"
logging="yes"
name="DrWebYes"
enabled="yes"
type="1"
action="JunkScore"
actionValue="100"
condition="OR (\"X-DrWeb-SpamState\",begins with,Yes) OR (subject,beginswith,[SPAM-VR]) 
           OR (\"X-DrWeb-SpamRate\",is greater than,100)"
name="DrWebNo"
enabled="yes"
type="1"
action="JunkScore"
actionValue="0"
condition="OR (\"X-DrWeb-SpamState\",begins with,No)"

Параметр "condition" записывается в одну строку без переносов.

После этого в настройках учетной записи Thunderbird появится еще один антиспам фильтр с именем "DrWeb". Теперь письма будут помещаться в папку "Spam" согласно критериям антиспам модуля, используемого в SpIDer Mail®.

Настройки антиспам фильтра в присутствии Dr.Web

Настройки файла "DrWeb.sfd" позволяют указать количество баллов из заголовка X-DrWeb-SpamRate, при котором письмо попадает в папку "Spam". Это задается в строке: \"X-DrWeb-SpamRate\",is greater than,100, где 100 - нужное кол-во баллов. Также стоит отметить, что поле "[SPAM-VR]" в файле "DrWeb.sfd" берется из настроек SpIDer Mail® (DrWeb32.ini:[SpIDerMailHome]:SpamSubj=).


Ссылки

Где скачать

Бесплатные сервисы

ЧаВо

Куда обратиться