Dr.Web для Windows
Компоненты программы

После установки программы в системном лотке появились три иконки. Что каждая из них означает?

• Зеленый паучок — неусыпный страж Вашего компьютера. Это иконка одного из компонентов антивируса — монитора SpIDerGuard. Именно он "на лету" будет сканировать все файлы, мгновенно пресекая любые попытки инфицирования Вашего компьютера.
• Зеленый паучок с белым конвертом — иконка другого важного компонента всеобъемлющей защиты Dr.Web, на этот раз Вашей почты — почтового монитора SpIDerMail. Он контролирует всю исходящую и входящую корреспонденцию Вашего почтового клиента (используемой Вами почтовой программы).
• Паучок на фоне зеленого циферблата — иконка служебной утилиты Dr.Web — Планировщика, которая поможет вам настроить желаемую частоту обновлений и запуска антивирусного сканера. При установке, Планировщик содержит два задания по умолчанию — получать обновления из Интернета (каждый час) и сканировать с параметрами по умолчанию все жесткие диски (ежедневно, в три часа). Последнее задание находится в статусе заблокированного и Вам решать, активировать его или нет.

В состав антивируса Dr.Web для Windows входят много программ. Какая из них защищает меня от вирусов, а какие только вспомогательные программы?

Антивирус Dr.Web — это целый комплекс программ, каждая из которых обеспечивает защиту своего "участка обороны" Вашего компьютера. Удаление (неустановка) или отключение хотя бы одного компонента защиты значительно снижают надежность антивирусной охраны в целом, поэтому мы настоятельно советуем не отключать без крайней надобности ни один из компонентов программы.

Вспомогательными программами комплекса являются Утилита автоматического обновления и Планировщик.

Dr.Web только удаляет троянские программы? Он их не лечит?

Для ответа на этот вопрос следует понимать, в чем разница между вирусом и троянской программой. Как правило, вирус добавляет (дописывает свой код) к заражаемому им файлу, и таким образом, инфицированный вирусом файл состоит собственно из «здорового» файла и добавленной к нему зараженной вирусом части. Вместе они представляют собой инфицированный вирусом файл. Большинство таких файлов антивирус Dr.Web может лечить (и лечит). Причем, речь идет не о «лечении вируса», а об «излечении файла», инфицированного вирусом.

Троянская программа - вредоносная по всей своей сути целиком. Троянец не дописывает себя к файлам, он живет самостоятельной жизнью полноценной компьютерной программы, поэтому для него не существует лечения - только удаление. Некоторые троянские программы портят различные системные объекты, например, реестр Windows. В таком случае можно говорить о возможности лечения системы (но не троянской программы), которое заключается, в частности, в удалении самого троянца, а также в восстановлении испорченных им объектов.

Для чего предназначен сканер? Разве недостаточно антивирусного монитора SpIDerGuard, всегда контролирующего все обращения к файлам?

Сканер Dr.Web для Windows производит проверку файлов либо по команде пользователя, либо по расписанию, заданному в Планировщике. Проверяются не все файлы (разве что если такой очень ресурсоемкий режим проверки не задан самим пользователем), а только указанные в настройках сканера. Посмотреть текущие настройки сканера можно через панель меню главного окна программы, выбрав пункт "Настройки" через опцию "Изменить настройки". По умолчанию (т.е. по настройкам, заданным разработчиками антивируса) проверяются файлы по формату — файлы в архивах, упакованные файлы и почтовые файлы, а также оперативная память и все файлы автозапуска. При желании, можно задать проверку отдельных логических дисков, каталогов, проверку по типам файлов, по заданной маске или сканирование всех файлов.

Я установил антивирус на компьютер и запустил программу. Я только запустил саму программу, ничего в ней не нажимал, а она сама принялась что-то делать — внизу, в окне программы пошли какие-то цифры и пополз вправо какой-то индикатор. Что она делает?! У меня вирус?

Это начал свою работу сканер, а есть вирус или нет — как раз сейчас программа и проверяет. Она действительно автоматически, без проведения каких-либо действий со стороны пользователя, начинает проверку некоторых областей компьютера — оперативной памяти и файлов запуска Windows. Именно там чаще всего прячутся вирусы. Пусть антивирус проверит Ваш компьютер. По окончании проверки в двух окошках справа появятся цифры. Левое окошко отобразит количество найденных на Вашем компьютере вирусов (желаем, чтобы там всегда был ноль), а правое окошко — количество сканированных, т.е. проверенных антивирусным сканером, объектов оперативной памяти и файлов запуска Windows.

У меня есть подозрение, что ко мне на компьютер пробрался вирус. Как можно запустить сканер?

Есть несколько способов запуска сканера.

• При установке программы Dr.Web на компьютер, на Рабочем столе образовалась иконка с паучком на темно зеленом фоне — иконка сканера. Щелкните по ней мышкой и сканер запустится.
• В правом нижнем углу дисплея (системном лотке) находится иконка SpIDerGuard в виде зеленого паучка. Щелкните по ней право кнопкой мышки. В появившемся контекстном меню выберите пункт Сканер и щелкните по нему — сканер запустится.
• Таким же образом можно вызвать сканер и из контекстного меню SpIDerMail.
• Через Проводник Windows для проверки конкретного объекта (файла или папки). Щелкните по выбранному объекту правой кнопкой мышки. В открывшемся контекстном меню, выберите пункт "Проверить Dr.Web" с иконкой в виде красного паучка. Сканер немедленно запустится и файл будет проверен. ВНИМАНИЕ! При таком запуске сканера проверка оперативной памяти и файлов автозапуска Windows НЕ ПРОИЗВОДИТСЯ!!!
• Проверить конкретный объект (файл или папку) можно также путем перетаскивания его иконки на иконку или открытое окно сканера.
• Кроме того, сканер может запускаться автоматически, по заданию Планировщика, по установленному Вами расписанию. Задание запускать сканер ежедневно в 3 часа устанавливается автоматически, при инсталляции самой программы, но может находиться в неактивном состоянии. Для того, чтобы активировать это задание, и, при необходимости внести изменения в него (например, изменить время запуска сканера), произведите следующие действия:
  • щелкните правой кнопкой мыши по иконке Планировщика в системном лотке — в виде белого круглого циферблата. Откроется главное окно Планировщика.
  • выберите строку с заданием «Ежедневная проверка„ и щелкните по ней. Откроется окно редактирования задания.
  • чтобы активировать задание, поставьте галочку в окне Enable. Это активирует задачу и сделает доступными другие настройки. Измените, если необходимо, время запуска сканера и нажмите кнопку OK.

Установила на своем ПК Ваш антивирус. При первой же проверке сканером диска С: был обнаружен вирус. Пытаюсь удалить этот файл, но выскакивает окно с надписью : «Действие „Удалить“ недоступно. Сначала разрешите выбор действия „Удалить“ в настройках ini-файла!» Что такое ini-файл? Где его искать? Как мне его изменить, чтобы лечение стало возможным?

Прежде чем броситься искать ini-файл подумайте, нужно ли Вам действительно разрешать это действие в его настройках. Дело в том, что удаление некоторых файлов — архивов и ящиков электронной почты — может привести к потере важной информации. Поэтому стандартные настройки Dr.Web не позволяют удалять такие файлы.

Если зараженный файл запакован внутри файлового архива (ZIP, RAR и т.п.), или вирус найден в письме, которое, в свою очередь, хранится внутри файла почтового ящика, в таком случае у Dr.Web есть возможность удалить, переместить в карантин или переименовать только целиком весь «файл-хранилище», внутри которого запакован зараженный объект. Например, пусть в zip-архиве хранится 100 файлов, из которых 1 заражен, а остальные — нет. Весь архив по результатам проверки получит статус «архив инфицирован». Тогда действие «удалить» — если оно будет применено для удаления обнаруженного вируса — будет применено ко всему архиву; наряду с одним зараженным файлом будет стерто и все, что в этом архиве было запаковано еще. Именно поэтому действие «удалить» для архивов и почтовых файлов по умолчанию заблокировано.

Если возможность удалять архивы или почтовые базы в случае обнаружения среди хранящейся в них информации вирусов — это именно то, что вам нужно, то запрет на удаление архивов и почтовых файлов можно отменить. Блокировка снимается так: в конфигурационном файле drweb32.ini (текстовый конфигурационный файл, который находится в том же каталоге, что и Dr.Web, полный путь к этому файлу — C:\Program Files\DrWeb\ drweb32.ini), в секцию настроек сканера [Windows] необходимо добавить строку

EnableDeleteArchiveAction = Yes

Если строка с установкой этого параметра в данной секции уже есть (в виде EnableDeleteArchiveAction = No), тогда нужно заменить в ней значение No на Yes.

В настройках сканера есть действие над инфицированными и неизлечимыми файлами — "Переместить". Такие файлы перемещаются куда-то на моем же компьютере? То есть он остается зараженный вирусом?

Действие переместить для инфицированных и неизлечимых объектов означает следующее. Файл физически перемещается в специальную карантинную папку, которая носит название Infected!!! Помимо перемещения, файл теряет свое расширение. Такие действия означают фактическое «разоружение„ вируса, делают его недееспособным и, следовательно, абсолютно безопасным. Папка Infected!!! сканером не проверяется.

Можно ли временно отключить SpIDer Guard без перезагрузки компьютера?

Такая возможность - по мере надобности выключать/включать проверку файлов «на лету» - существует.

В SpIDer Guard для Windows 95/98/Me она активируется следующим образом. В секцию параметров [SpIDerGuard98] конфигурационного файла drweb32.ini необходимо добавить установку:

 EnableSwitch=Yes

В SpIDer Guard для Windows NT/2000/XP соответствующий пункт контекстного меню называется «Отключить[Включить] мониторинг». Он доступен если щелкнуть правой кнопкой мышки по иконке с паучком.

Можно ли отключить антивирусный почтовый монитор SpIDerMail, ведь сканер тоже поверяет почтовые файлы?

Сканер действительно проверяет почтовые файлы, но только по запросу пользователя или по расписанию, заданному в планировщике. А что делать, когда сканер не запущен на выполнение сканирования? Пропускать вирусы? Вот для этого и создан почтовый монитор SpIDerMail, который ПОСТОЯННО "на лету" осуществляет проверку входящей и исходящей почты.

SpIDer Guard не дает запустить утилиту Novell NetWare Administrator (nwadmn32.exe) со следующей диагностикой:

  Внимание! Возможная вирусная активность!
  Обнаружен несанкционированный доступ к системе приложением nwadmn32.exe

При запуске программы 1С:Предприятие SpIDer Guard выдает предупреждение:

  Внимание! Возможная вирусная активность!
  Обнаружен несанкционированный доступ к системе приложением 1CV7

Что это значит?

Утилита nwadmn32.exe (версии выше v.5.1.9) при работе под управлением операционных систем семейства Windows 95/98/Me действительно пользуется хакерскими, по сути, приемами, чтобы получить привилегии, недоступные обычным приложениям Windows.

То же самое относится и к запуску продуктов 1C версий 7.xx - в этом случае «несанкционированный доступ к системе» производит программное обеспечение электронного ключа HASP.

Кроме перечисленных двух случаев известно еще аналогичное срабатывание SpIDer Guard на одну из систем защиты лицензионных CD-дисков от копирования.

Все прочее известное программное обеспечение, перехватываемое системой контроля вирусной активности SpIDer Guard за «несанкционированный доступ к системе» - это большое число разнообразных Windows-вирусов. В частности, все вирусы семейства Win95.CIH.

Для обеспечения совместимости с приложениями, использующими в своих целях данную уязвимость операционых систем Windows 95/98/Me, в настройках SpIDer Guard необходимо снять флажок «Защита системного ядра» - в диалоговой панели «Установки SpIDer Guard», раздел «Проверка». К сожалению, технически невозможно контролировать этот тип подозрительных действий выборочно - либо мы разрешаем любым приложениям модифицировать ключевые структуры ядра операционной системы, либо принудительно останавливаем любой процесс при попытке это сделать; других вариантов нет.

Я часто пользуюсь электронной почтой, веду активную переписку и заметил(а), что при создании письма с множеством получателей, компонент антивируса SpIDerMail блокирует отправку такого письма. Почему?

Для антивирусного монитора SpIDerMail одновременная рассылка писем множеству адресатов приравнивается к массовой рассылке, подобных тем, которые часто практикуют создатели почтовых червей. Для того чтобы исключить блокировку многоадресных сообщений, Вам следует произвести некоторые изменения в настройках SpIDerMail.

Правой кнопкой мышки щелкните по иконке SpIDerMail — в виде белого конверта на фоне зеленого паучка в правом нижнем углу дисплея. В открывшемся контекстном меню выберите пункт "Настройки". На вкладке "Проверка" уберите галочку напротив опции "Контроль вирусной активности".

Изменение данной настройки компонента SpIDerMail снизит надежность антивирусной защиты электронной почты.

Я пользуюсь очень редкой почтовой программой. Защищает ли меня в таком случае один из компонентов антивируса — SpIDerMail?

Безусловно да! Независимо от того, каким почтовым клиентов Вы пользуетесь, почтовый монитор SpIDerMail, благодаря его особой реализации, будет проверять как входящую, так и исходящую с вашего компьютера почту.

Я обратился в службу поддержки, меня попросили прислать какие-то логи. Что это такое и где мне их искать?

Лог-файл — своеобразный кондуит антивируса, в котором отображаются любые проводимые им действия и регистрируются ошибки в их выполнении. С помощью логов этого файла (записей в нем) специалистам службы технической поддержки легче и быстрее понять в чем причина Вашей проблемы.

В зависимости от версии Windows файл отчета DrWebUpW.log может создаваться либо в каталоге Dr.Web (полный путь к нему — С\Porgram Files\DrWeb\Logs), либо в каталоге пользовательского профиля (C\Documents and Settings\имя-пользователя\DoctorWeb\).

Записи этого обычного текстового файла понятны любому пользователю, ну, например

19 Nov 2003, 09:32:338 Поиск !_update.txt…
19 Nov 2003, 09:32:440 Принимаем !_update.txt…
19 Nov 2003, 09:32:441 !_update.txt принят
19 Nov 2003, 09:32:441 Файлы приняты
19 Nov 2003, 09:32:441 Обновление файлов…
19 Nov 2003, 09:32:442 Отключены

2004-08-27,  22:01:448 Registered to: Ivan Ivanov
2004-08-27,  22:01:448 Your subscription has expired!

Записи лог-файла расположены по порядку, т.е. в начале (вверху) файла находятся самые ранние записи, а самые поздние — внизу этого файла. Для того, чтобы понять что произошло с антивирусом — зрите в корень! Не надо слать в отдел техподдержки "выдержки" из этого файла — пришлите его во вложении к письму целиком.

Зачем нужна экспресс-проверка и можно ли ее отключить?

Отключать экспресс-проверку не рекомендуется. Экспресс-проверка нужна для того, чтобы с высокой долей вероятности и за короткое время (несколько минут) определить, заражена ли система каким-либо вирусом или нет. Экспресс-проверка сканирует файлы только в тех папках, в которых вредоносные файлы располагаются чаще всего. Если в ходе экспресс-проверки были найдены вредоносные программы, рекомендуется провести полную проверку всех дисков, чтобы удалить возможные последствия действия этих вредоносных программ.

Также существует проверка памяти и файлов автозагрузки, которая проводится сразу после запуска сканера. Ее отключать тоже не стоит, т.к. эта проверка производится ещё быстрее, чем экспресс-проверка, но дальнейшее сканирование без этой проверки может пойти менее эффективно, например, в случае использования вирусами руткит-технологий.

Очистка компьютера от некорректно удаленного Dr.Web для Windows v.4.44 (только для ПК под управлением Windows NT/2000/XP)

1. Откройте редактор реестра, ветвь:
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   и если там есть ключи DrWebScheduler и SpIDerNT, то удалить их.

2. Деинсталляция SpIDer Mail® ("spiderml.exe -remove")

   Если spiderml.exe физически отсутствует на диске, то это не значит, что его раньше действительно деинсталлировали, а не просто стерли. Можно специально принести spiderml.exe на компьютер, чтобы запустить с ключом -remove и точно убедиться, что деинсталляция выполнена. Если он и в самом деле не был установлен, то такая попытка деинсталляции закончится сообщением, что "SpIDer Mail is not installed" (т.е. деинсталлировать нечего).

3. Как убедиться, что действительно деинсталлированы службы и драйверы SpIDer Guard®: выполнить spidernt.exe -remove

   В ситуации, когда SpIDer Guard уже стерт, но нет уверенности что он был корректно деинсталлирован из системы, необходимо проверить ветки реестра:
   • HKLM\SYSTEM\CurrentControlSet\Services\SPIDER
   • HKLM\SYSTEM\CurrentControlSet\Services\spidernt
   и если таковые существуют, их следует удалить.
4. Удалить всю ветку HKLM\SOFTWARE\IDAVLab
5. Если существует какой-либо из следующих ключей пакета Dr.Web (относящихся к разделу Установка/Удаление программ Windows):
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Dr.Web for Windows 95-XP
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Dr.Web
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DRWEB
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{BBE2F69C-4338-11D7-8F0C-00A0244F4E2D}
   удалить его.
6. Удалить ярлыки запуска Dr.Web с рабочего стола и из группы «Пуск|Программы», если таковые есть.
7. Чтобы убрать из контекстного меню файла/папки пункт «Проверить Dr.Web», нужно разрегистрировать библиотеку drwsxtn.dll. Для этого наберите в командной строке (ПУСК-Выполнить):
   regsvr32 "C:\Program Files\DrWeb\drwsxtn.dll" /u
   В примере подразумевается, что Dr.Web установлен в 'C:\Program Files\DrWeb'. После перезагрузки можно удалить файл drwsxtn.dll, как и другие, которые нужно было удалить.
8. Удалить все содержимое каталога Dr.Web с диска (кое-что в нем, возможно, удастся удалить только после рестарта).
   Кроме того, удалите spider.cpl из %windir%\system32 и drwebnet.sys из %windir%\system32\drivers
9. Обязательный рестарт системы и, возможно, еще раз п. (8)