Глава 51. Защита от вирусов в Windows Яи/;"/(;
i^.'1MХ>i^' Ollfifi.-i '. ИИ! ' пыток форматирования жесткого диска, записи в загрузочный сектор диска и
т.д. При обнаружении вируса в оперативной памяти программа Norton Antivirus
немедленно "подвешивает" компьютер (делая невозможным выполнение ка-
ких-либо программ) и выводит сообщение: "Computer has been halted. Reboot
from your write-protected rescue disk" (Компьютер остановлен. Перезагрузи-
тесь с защищенной от записи спасательной дискеты). Следует перезагрузить
компьютер с заранее подготовленной "чистой" загрузочной дискеты и запус-
тить с дискеты DOS-версию Norton Antivirus (имя файла Ч NAV.EXE). .',:ч\Х^Х"l;^^ш^" Чтобы не потерять результаты работы при наличии вируса целесообразно пе-
ред вызовом Norton AntiVirus завершить работу с другими программами или, по крайней
мере, записать на диск результаты проделанной в них работы. При обнаружении вируса в файле, архивном файле, загрузочной записи или
таблице разделения жесткого диска программа выводит соответствующее со-
общение (его заголовок Ч Virus Found). С помощью кнопок в правой части
окна программы Вы можете предпринять следующие действия: Repair Ч восстановить файл или область диска (загрузочную запись, таблицу
разделения жесткого диска) в их исходное (незараженное) состояние.
Если надпись на кнопке Repair выводится серым цветом, значит, либо
восстановление невозможно, либо Norton Antivirus сконфигурирован
так, что восстановление файлов запрещено (см. п. 51.8). При восстанов-
лении файлов Norton Antivirus, как правило, сохраняет зараженный
файл под другим именем, присваивая ему расширение имени .VIR (или
.VII, .V12 и т.д.); Delete Ч удалить зараженный файл. Если надпись на кнопке Delete выводит-
ся серым цветом, значит, либо удаление невозможно (скажем, нельзя
удалить системные файлы DOS 10. SYS и MSDOS.SYS), либо Norton
Antivirus сконфигурирован так, что удаление файлов запрещено (см. п.
51.8). Загрузочные записи и таблицы разделения жесткого диска удалить,
естественно, также нельзя. После того, как Вы убедитесь, что компьютер
полностью излечен от вирусов, следует восстановить удаленные файлы
из резервной копии или дистрибутивной дискеты (компакт-диска) про-
граммного комплекса. Если Вы не запомнили, какие файлы нуждаются в
восстановлении, посмотрите протокол действий программы (activity log); Exclude Ч продолжить проверку дисков и не выводить сообщения по поводу
данного файла или области диска при будущих проверках. Данный вари-
ант следует выбирать, только если Вы полностью уверены в том, что ви-
руса в файле на самом деле нет. Как правило, надпись Exclude выводится
серым цветом, поскольку Norton AntiVirus по умолчанию сконфигуриро-
ван так, что исключение файлов из проверки запрещено; Info Ч получить дополнительную информацию о вирусе, заразившем файл
или область диска; Stop Ч остановить проверку дисков на наличие вирусов; Continue Ч не предпринимать никаких действий по поводу данного файла
или области диска, и продолжить проверку. Замечания. 1. После восстановления или удаления зараженных файлов или областей дис-
ка надо провести проверку всех дисков, чтобы убедиться в отсутствии других зараженных
файлов и областей диска. 2. Изменение системных файлов DOS, загрузочной записи или таблицы разделения жестко-
го диска программа расценивает как воздействие неизвестного вируса. 3. Иногда (достаточно редко) попытка восстановления файла или загрузочной записи не
удается. Norton AntiVirus проинформирует Вас об этом. Ё этом случае обычно следует уда-
лить зараженный файл и восстановить его из резервной копии или днстрибутивной дискеты
(компакт-диска) программного комплекса. Системные файлы (10.SYS, MSDOS.SYS, COM-
MAND.СОМ) можно восстановить, загрузившись с "чистой" дискеты и введя команду SYS.
Загрузочную запись и таблицу разделения жесткого диска можно восстановить с помощью
спасательной дискеты, созданной программой Rescue.
Часть 10. Windows для опытного пользователя Изменения н фаипах Изменения в
программных файлах Изменение в
системных файлах
и областях диска Появление нового
программного файла 4. Файлы, удаленные Norton Antivirus, не могут быть восстановлены программами восста-
новления удаленных файлов типа UnErase из Norton Utilities. 5. При обнаружении вирусов в архивных файлах (.ZIP-файлах) Вы можете либо удалить
весь архивный файл, ли&о вручную (с помощью программы PKZIP, Norton Commander, Nor-
ton Desktop for Windows и т.д.) заместить зараженные файлы в архиве их незараженными
копиями или удалить их. Norton Antivirus может запоминать сведения о загрузочных записях, таблице
разделения жесткого диска и программных файлах и проверять, не измени-
лись ли эти объекты. Для этого надо включить режимы Inoculate Boot Rec-
ords and System Files и inoculate Program Files в группе inoculation режи-
мов программы (см. ниже). Обнаружение изменений в программных файлах, а
также в загрузочных записях и таблице разделения жесткого диска позволяет
выявить вирусы, неизвестные программе Norton Antivirus, а в большинстве
случаев Ч также и вылечить программы, зараженные вирусом. В принятой в
программе терминологии запоминание сведений об объекте (файле или облас-
ти диска) называется inoculation, в буквальном переводе Ч прививкой. При обнаружении изменений в программных файлах Norton Antivirus может
выдавать соответствующее сообщение, его заголовок Ч inoculated Pile
Changed. Впрочем, часто Norton Antivirus конфигурируется так, что сообще-
ний о каждом изменении не выдается, а вместо этого по окончании проверки
выводится общее сообщение о встреченных проблемах (см. выше). При появлении сообщения об изменениях программном файле пользователь
должен решить, чем вызвано это изменение: воздействием вируса или иными
законными причинами: установкой новой версии программы или программно-
го комплекса, перекомпиляцией программы (если пользователь является про-
граммистом), установкой новой версии DOS и т.д. В правой части запроса с сообщением об изменении файла имеются кнопки
Repair, Delete, Exclude, Continue и Stop, их смысл Ч тот же, что и в сооб-
щении об обнаружении вируса на диске (см. выше). Кроме того, там имеется
кнопка Inoculate Ч заново запомнить сведения о файле. Ответ Inoculate сле-
дует применять, если изменение файла было вызвано не вирусом, а действия-
ми пользователя. Замечание. Ответ Exclude (продолжить проверку дисков и не выводить сообщения по
поводу данного файла или области диска при будущих проверках) следует выбирать, только
если файл часто должен меняться и Вы полностью уверены в том, что вируса в файле нет.
Как правило, надпись Exclude выводится серым цветом, поскольку Norton Antivirus no
умолчанию сконфигурирован так, что исключение файлов из проверки запрещено. При обнаружении изменений в системных файлах (10.SYS, MSDOS.SYS,
COMMAND.СОМ) и системных областях диска (загрузочных записях и таб-
лице разделения жесткого диска) Norton Antivirus выдает сообщение об этом
с заголовком System integrity. Вы можете предпринимать те же действия, как
при изменении программных файлов. В запросе отсутствуют только кнопки
Delete и Exclude, поскольку данные объекты нельзя ни удалить с диска, ни
исключить из проверки программой. При обнаружении нового программного файла, сведения о котором еще не
запомнены программой, Norton Antivirus может выдавать соответствующее
сообщение, его заголовок Ч File Inoculation. Впрочем, часто Norton
Antivirus конфигурируется так, что таких сообщений не выдается, а вместо
этого по окончании проверки выводится итоговое сообщение о встреченных
проблемах (см. выше). При появлении сообщения об обнаружении нового программного файла Вы
можете предпринимать те же действия, что и при изменении программных
файлов. В запросе отсутствует только кнопка Repair, соответствующая вос-
становлению файла, то есть приведению его в исходное состояние. Часть 10. Windows для опытного пользователя Изменения н файлах Изменения в
программных файлах Изменение в
системных файлах
и областях диска Появление нового
программною файла 4. Файлы, удаленные Norton Antivirus, не могут быть восстановлены программами восста-
новления удаленных файлов типа UnErase из Norton Utilities. 5. При обнаружении вирусов в архивных файлах (.ZIP-файлах) Вы можете либо удалить
весь архивный файл, лиоо вручную (с помощью программы PKZIP, Norton Commander, Nor-
ton Desktop for Windows и т.д.) заместить зараженные файлы в архиве их незараженными
копиями или удалить их. Norton Antivirus может запоминать сведения о загрузочных записях, таблице
разделения жесткого диска и программных файлах и проверять, не измени-
лись ли эти объекты. Для этого надо включить режимы Inoculate Boot Rec-
ords and System Files и Inoculate Program Files в группе Inoculation режи-
мов программы (см. ниже). Обнаружение изменений в программных файлах, а
также в загрузочных записях и таблице разделения жесткого диска позволяет
выявить вирусы, неизвестные программе Norton Antivirus, а в большинстве
случаев Ч также и вылечить программы, зараженные вирусом. В принятой в
программе терминологии запоминание сведений об объекте (файле или облас-
ти диска) называется Inoculation, в буквальном переводе Ч прививкой. При обнаружении изменений в программных файлах Norton Antivirus может
выдавать соответствующее сообщение, его заголовок Ч Inoculated File
Changed. Впрочем, часто Norton Antivirus конфигурируется так, что сообще-
ний о каждом изменении не выдается, а вместо этого по окончании проверки
выводится общее сообщение о встреченных проблемах (см. выше). При появлении сообщения об изменениях программном файле пользователь
должен решить, чем вызвано это изменение: воздействием вируса или иными
законными причинами: установкой новой версии программы или программно-
го комплекса, перекомпиляцией программы (если пользователь является про-
граммистом), установкой новой версии DOS и т.д. В правой части запроса с сообщением об изменении файла имеются кнопки
Repair, Delete, Exclude, Continue и Stop, их смысл Ч тот же, что и в сооб-
щении об обнаружении вируса на диске (см. выше). Кроме того, там имеется
кнопка Inoculate Ч заново запомнить сведения о файле. Ответ Inoculate сле-
дует применять, если изменение файла было вызвано не вирусом, а действия-
ми пользователя. Замечание. Ответ Exclude (продолжить проверку дисков и не выводить сообщения по
поводу данного файла или области диска при будущих проверках) следует выбирать, только
если файл часто должен меняться и Вы полностью уверены в том, что вируса в файле нет.
Как правило, надпись Exclude выводится серым цветом, поскольку Norton Antivirus по
умолчанию сконфигурирован так, что исключение файлов из проверки запрещено. При обнаружении изменений в системных файлах (10.SYS, MSDOS.SYS,
COMMAND.СОМ) и системных областях диска (загрузочных записях и таб-
лице разделения жесткого диска) Norton Antivirus выдает сообщение об этом
с заголовком System integrity. Вы можете предпринимать те же действия, как
при изменении программных файлов. В запросе отсутствуют только кнопки
Delete и Exclude, поскольку данные объекты нельзя ни удалить с диска, ни
исключить из проверки программой. При обнаружении нового программного файла, сведения о котором еще не
запомнены программой, Norton Antivirus может выдавать соответствующее
сообщение, его заголовок Ч File Inoculation. Впрочем, часто Norton
Antivirus конфигурируется так, что таких сообщений не выдается, а вместо
этого по окончании проверки выводится итоговое сообщение о встреченных
проблемах (см. выше). При появлении сообщения об обнаружении нового программного файла Вы
можете предпринимать те же действия, что и при изменении программных
файлов. В запросе отсутствует только кнопка Repair, соответствующая вос-
становлению файла, то есть приведению его в исходное состояние. При использовании Norton Antivirus Вы можете использовать программу Nor-
ton Antivirus Auto-Protect. В этом случае при запуске Windows автоматически
запускается резидентная программа, отслеживающая наличие вирусов и из-
менения в системных областях диска, наличие вирусов в запускаемых про-
граммах, подозрительные действия программ (типа попыток форматирования
жесткого диска) и т.д. При обнаружении вирусов, изменений в системных
областях диска и системных файлах или подозрительных действий программа
выдает соответствующее сообщение с описанием ситуации. Заголовок данного
сообщения Ч Norton Antivirus Auto-Protect. При появлении сообщений о наличии вируса или обнаружении изменений в
файлах или системных областях диска следует реагировать так же, как опи-
сано в предыдущем параграфе. Действительно, ведь для пользователя не име-
ет значения, выявлена ли ситуация при запуске Norton Antivirus или при ра-
боте программы Norton Antivirus Auto-Protect. А при обнаружении подозри-
тельных действий программ возможные ответы пользователя следующие: Stop Ч запретить указанное действие;
Continue Ч разрешить указанное действие; Exclude Ч разрешить указанное действие и в дальнейшем не выдавать запро-
сов по поводу выполнения данного действия той же программой.
''Ш^^ШЙ Программа Norton Antivirus записывает протокол своих действий {activity log), из
которого Вы можете узнать, какие проблемы встретились программе и как эти пробле-
мы были разрешены. Наличие протокола избавляет от необходимости запоминать или
записывать различные сведения. Например, если Вы удалили несколько файлов, со-
держащие вирусы, и хотите их восстановить из резервной копии, то потом можно по-
смотреть имена этих файлов в протоколе, а не вспоминать эти имена. Для просмотра протокола (рис. 51.5) следует щелкнуть в окне программы кнопку Ac-
tivity Log. Для прокрутки записей протокола Вы можете использовать линейку про-
крутки или клавиши (PgUp) и (PgDn). С помощью кнопок в правой части окна програм-
мы Вы можете выполнить следующие действия: Close Ч окончить просмотр протокола; Print Ч напечатать протокол на принтере или записать его в файл;
Filter Ч установить фильтр, то есть ограничить вывод записей протокола определен-
ными классами событий (см. ниже);
Clear Ч очистить протокол. Рис. 51.5. Протокол выполненных действий Рис. 51.6. Сообщение о результатах проверки Часть 10. Windows для опытного пользователя Фильтр записей
протокола Про юкол заражения Х.f:ivr'",:iH4i' Если Вы используете фильтр, то при печати протокола или выводе его в файл
будут выведены только отфильтрованные записи (иначе говоря, именно те записи, которые
выводятся на экран). Если Вы хотите просматривать не все записи протокола, а только записи определенных
видов, нажмите кнопку Filter и в появившемся запросе установите, какие записи
должны выводиться на экран: Known Virus Detection Ч обнаружение известных программе вирусов;
Unknown Virus Detection Ч обнаружение неизвестных программе вирусов (программа
снабжена эвристическим анализатором, способным выявлять "вирусоподобные"
участки кода программ), а также изменений системных файлов и областей диска;
Inoculation Activities Ч сообщения о файлах, сведения о которых были запомнены
программой и о файлах, которые изменились с момента запоминания сведений о
них;
Virus-Like Activities Ч сообщения о событиях, похожих на действия вируса (типа попытки записи в загрузочный сектор диска); Completion Of Scans Ч сообщения о завершении просмотров диска;
Virus List Changes Ч сообщения об изменении списка вирусов; Dated Ч выводить только сообщения с указанной датой или диапазоном дат (On Ч
дата равна. Not On Ч не равна, Before Ч до, Before or OnЧдо или равна, After
Ч после, After or On Ч после или равна, Between Ч между, Not Between Ч не
между). Установив параметры запроса, следует нажать кнопку ОК (или Cancel, если Вы пере-
думали изменять режимы вывода записей протокола). Кроме обычного протокола, Вы можете просматривать и его подмножество Ч протокол
заражения (infection log). Протокол заражения (рис. 51.6) содержит только записи об
обнаружении вирусов (известных программе и неизвестных) и изменений системных
файлов и областей диска. Для вывода данного протокола следует выбрать пункт Infec-
tion Log в группе Reports меню программы. Порядок работы с протоколом заражения
Ч такой же, как с протоколом выполненных действий. ^ При первом чтении Вы можете остаток этой главы пропустить.
51.8. Установка режимов программы Режимы проверки
дисков
Выбор проверяемых
объектов Реакция при
обнаружении вирусов Нажав на кнопку Options, Вы можете установить режимы программы Norton
Antivirus. В появившемся запросе (рис. 51.7) слева в списке Category следует выби-
рать группы режимов, а затем в полях справа от этого списка задавать режимы из этих
групп. По окончании установки режимов следует нажать кнопку ОК (или Cancel, если
Вы хотите отказаться от внесенных изменений в режимах). Группа Scanner режимов программы позволяет установить режимы проверки на нали-
чие вирусов. В прямоугольнике What to scan можно указать, какие объекты будет проверять Norton
Antivirus: Memory (оперативную память), Master Boot Record (таблицу разделения
жесткого диска), Boot Records (загрузочные записи дисков), Within Compressed Files
(проверять содержимое архивных файлов). Режим АН Files устанавливает проверку
всех файлов, но он используется редко, поскольку такая проверка занимает много вре-
мени. Чаще применяется режим Program Files Only Ч проверка только программных
файлов. Нажав на кнопку Program Files, можно посмотреть, какие файлы считаются
программными, а также изменить список таких файлов. По умолчанию, это файлы с
расширением .СОМ. .ЕХЕ., .SYS, .PGM, .DRV, .386 и др. В прямоугольнике How to Respond можно указать, как программа должна реагировать
при обнаружении вирусов. В поле под надписью When a Virus is Found указывается
тип реакции программы: Prompt (вывести запрос пользователю), Notify Only (не вы-
водить запроса, а только сообщить в списке выявленных проблем), Repair Automati-
cally (автоматически вылечить), Delete Automatically (автоматически удалить), Halt
|