ПК-диспансеризация: ищем вирусы с помощью Dr.Web CureIt!
АдминсофтДобавить комментарий on ПК-диспансеризация: ищем вирусы с помощью Dr.Web CureIt!
Даже если у вас уже установлен антивирус, которому вы всецело доверяете, не мешает иногда проверять Windows с помощью постороннего антивируса. Это как диспансеризация. Даже если у вас ничего не болит, хотя бы раз в три года нужно ходить к врачу и сдавать простые анализы. ПК-диспансеризацию нужно проходить с помощью бесплатных специальных утилит, которые не вмешиваются в работу основного антивируса.
В качестве примера мы возьмем известную в прошлом программу Dr.Web CureIt! Аналогичные приложения выпускают разработчики других антивирусов (например, Kaspersky Virus Removal Tool).
Dr.Web CureIt! — это скорее не антивирус, а лечащая утилита, которая служит для однократной проверки компьютера.
Скачивать утилиту нужно только с официального сайта и только перед началом проверки. Дело в том, что в состав Dr.Web CureIt! не входит модуль автоматического обновления вирусных баз. Т.е. утилиту нельзя обновить. Можно только скачать обновленную версию. На сайте свежие сборки Dr.Web CureIt! выкладываются почти каждый час.
Вам нужна версия Dr.Web CureIt! для дома. Компания «Доктор Веб» в следующем окне напомнит вам, что бесплатной утилитой можно лечить только домашние компьютеры. Файл с лечащей утилитой имеет название, составленное из нескольких не связанных друг с другом букв и цифр. Это нормально. Размер .exe файла около 170 Мб.
Перед запуском вам придется дать согласие на участие в программе улучшения качества ПО.
Статистика, собранная во время проверки компьютеру, будет отправлена в компанию «Доктор Веб». Пугаться этой фразы не нужно. Так делает большинство антивирусов.
Перед тем, как нажать на кнопку Начать проверку, мы советуем перейти в меню Выбрать объекты для проверки. Здесь выбираем все Объекты проверки (от загрузочных секторов до поиска руткитов).
Если вы хотите заодно проверить локальные диски на компьютере, щелкните по строчке ниже и выберите нужные разделы на компьютере. Обычно проверяют разделы, где находится Windows и установленные программы (C, D). Но мы рекомендуем проверить все диски. Хотя это и увеличит время работы.
Теперь можно запускать проверку. Мы рекомендуем на время отойти от компьютера и не мешать антивирусной утилите работать. 
Последним цифрам верить не нужно: через полчаса после запуска утилита показала, что будет работать еще 10 часов, но справилась за два с половиной.
Как только утилита обнаруживает угрозу, она показывает название объекта, идентификационное название угрозы (если по ней щелкнуть, откроется вирусная библиотека с описанием) и путь к файлу.
На тестовом компьютере было найдено 29 угроз. Для каждой предлагается свое решение проблемы: Переместить, Удалить, Пропустить. Не спешите нажимать на кнопку Обезвредить, сначала изучите найденных зловредов, может они вовсе не опасны, а Dr.Web CureIt! просто паникует.
В нашем случае большинство угроз относилось к классу Program.Unwanted. Это не вирусы и даже не трояны. Как признается DrWeb, «к данной категории относятся программы, не являющиеся по своей сути вредоносными, однако и не несущие какой-либо полезной нагрузки». Это многочисленные «ускорители Интернета», утилиты для «очистки» или «оптимизации» системного реестра Windows, программы для «освобождения дискового пространства», «улучшения работы компьютера», «обновления драйверов» и прочие приложения, якобы предназначенные для «ускорения работы» или «проверки» ОС на наличие каких-либо ошибок.
DrWeb считает, что большая часть таких программ находит на ПК несуществующие проблемы и для их устранения предлагают пользователю приобрести платную лицензию.
В данном случае советы DrWeb можно проигнорировать: все «подозрительные» программы были установлены нами осознанно. Также в архивах был найден кейлоггер и троян. Эти зловреды давно известны, поэтому мы тоже ничего с ними не делаем.
Вывод: Dr.Web CureIt! на тестовом компьютере не нашел каких-либо серьезных угроз. Можно смело продолжать пользоваться компьютером. Windows здорова, а действующий антивирус справляется со своей работой.
Если ваш компьютер заражен, но Windows не запускается, на сайте https://free.drweb.ru/ вы можете найти утилиту Dr.Web LiveDisk. Ее нужно скачать на другом компьютере и создать загрузочный DVD или USB. Эта же утилита поможет скачать важную информацию с компьютера с поврежденной Windows.
Вирус не позволяет установить антивирусную программу
Если раньше компьютерные вирусы создавались в основном с целью повреждения операционной системы, то большинство вредоносов современности используются злоумышленниками для похищения конфиденциальных данных пользователя.
Не нарушая в целом работу Windows, такое вредоносное программное обеспечения может долго оставаться незамеченным до тех пор, пока пользователь не предпримет действия, направленные на анализ и повышение уровня безопасности, например, плановое сканирование системы, запуск или установку антивирусного ПО.
Если пользователь неожиданно для себя обнаруживает, что не может запустить штатный или сторонний антивирус, не может установить новую антивирусную программу или у него не открываются сайты разработчиков антивирусного ПО, всё это может указывать на наличие на компьютере активного вируса.
Что делать?
Разумеется, не паниковать и не спешить с переустановкой операционной системы, снести или сбросить Windows, потеряв при этом все свои настройки и установленные программы вы всегда успеете. Действовать в описанной ситуации нужно последовательно, переходя от простых решений к более радикальным.
• Первым делом откройте Диспетчер задач и внимательно изучите список активных процессов.
Если какой-то из них покажется вам подозрительным, проверьте его исполняемый файл на VirusTotal, поищите об этом процессе информацию в интернете. Для большего удобства анализа процессов можете воспользоваться утилитой Process Explorer.
• Воспользовавшись утилитой AutoRuns, проверьте автозагрузку на предмет подозрительных элементов. Определите исполняемые файлы подозрительных элементов и проверьте их на VirusTotal. Если вы уверены в своих силах, попробуйте отключить сомнительное автозагружаемое приложение, закрыть его процесс и запустить/установить антивирус.
• Постарайтесь вспомнить, какие программы вы устанавливали незадолго до появления проблемы. Если вы установили ПО из ненадёжного источника, удалите его и связанные с ним каталоги и ключи реестра с помощью Revo Uninstaller.
Если на ПК не запускается/устанавливается обычный антивирус, это ещё не значит, что вы не сможете запустить его в безопасном режиме. Напоминаем, что загружаться в безопасном режиме в Windows можно с помощью штатной оснастки msconfig, активировав на вкладке «Загрузка» одноименную опцию.
Для проверки компьютера на предмет заражения вы также можете воспользоваться антивирусным сканером, например, Dr.Web CureIt. Утилита полностью бесплатна для домашнего использования, чтобы её скачать, вам нужно будет указать рабочий email, — на него будет отправлена ссылка на скачивание.
Dr.Web CureIt хорош тем, что как раз создавался для подобных случаев, этот сканер не нуждается в установке, следовательно, вы можете записать его на флешку и подключить её к загруженному в безопасном режиме заражённому компьютеру.
Сканер поддерживает быстрый и выборочный режимы сканирования, используйте выборочный режим для более тщательной и глубокой проверки. Нажмите в главном окне утилиты «Выбрать объекты для проверки», отметьте все пункты и только потом запустите сканирование.
Если запустить сканер в безопасном режиме не удаётся, для проверки компьютера придётся использовать загрузочные диски с антивирусным ПО на борту. Распространяются такие LiveCD в формате ISO, перед использованием их нужно будет записать на флешку с помощью Rufus или аналогичного инструмента.
Антивирусный загрузочный сканер Dr.Web LiveDisk доступен для скачивания с сайта компании Доктор Веб.
Загрузив ПК с LiveCD с антивирусным сканером, запустите с рабочего стола утилиту Dr.Web CureIt, выберите расширенный режиме сканирования и запустите процедуру проверки.
Dr.Web LiveDisk не единственный программный продукт, позволяющий сканировать компьютер в загрузочном режиме. Подобными инструментами располагают и другие известные разработчики антивирусного ПО. Таковыми инструментами являются Kaspersky Rescue Disk, Avira Rescue System, Windows Defender Offline, Trend Micro Rescue Disk, Antivirus Live CD, COMSS Boot USB, ESET SysRescue Live, Norton Bootable Recovery Tool и так далее.
Установка через командную строку Для установки Dr.Web в фоновом режиме введите в командной строке имя исполняемого файла с необходимыми параметрами (влияют на установку в фоновом режиме, язык установки, перезагрузку после установки, установку Брандмауэра Dr.
Например, чтобы запустить фоновую установку Dr.Web с перезагрузкой после завершения процесса, выполните следующую команду: drweb-11.5-av-win.exe /silent yes /reboot yes Установка в режиме мастера Чтобы начать обычную установку, выполните одно из следующих действий: • Если у вас есть исполняемый файл, запустите его. •Если у вас есть оригинальный диск с установочным пакетом, вставьте его в привод CD/DVD. Если автозапуск включен, установка начнется автоматически. Если автозапуск отключен, запустите файл autorun.exe инсталляционного комплекта вручную. Откроется окно и отобразится меню автозапуска. Щелкните Установить. На любом этапе установки, прежде чем мастер начнет копирование файлов на ваш компьютер, вы можете сделать следующее: • Вернитесь к предыдущему шагу, нажав Назад. •Перейдите к следующему шагу, нажав Далее. • Прервите установку, нажав Отмена. Установка Dr.Web 1.Если на вашем компьютере установлено другое антивирусное программное обеспечение, мастер установки сообщит вам о несовместимости Dr.Web с другим антивирусным продуктом и предложит удалить его.
2.На этом шаге предлагается подключиться к облачным сервисам Dr.Web, позволяющим проводить проверки с использованием самой свежей информации об угрозах. Информация обновляется в режиме реального времени. Опция включена по умолчанию. Вы также можете указать, следует ли устанавливать Брандмауэр Dr.Web. Рисунок 1. Мастер установки 3.Чтобы выбрать компоненты для установки, укажите путь установки и настройте другие параметры, нажмите Параметры установки. Опция предназначена для опытных пользователей. Если вы хотите использовать параметры установки по умолчанию, перейдите к шагу 4. • На первой вкладке вы можете указать компоненты, которые хотите установить. •На второй вкладке можно изменить путь установки. •Последняя вкладка окна позволяет включить опцию Обновлять при установке для загрузки обновлений вирусных баз и других компонентов программы. На вкладке также предлагается создать ярлыки для Dr.Web. •При необходимости укажите параметры прокси-сервера. Чтобы сохранить изменения, нажмите OK. Чтобы закрыть окно без сохранения изменений, нажмите кнопку Отмена. 4.Нажмите Далее. Обратите внимание, что, нажимая кнопку «Далее», вы принимаете условия Лицензионного соглашения. 5. В окне Мастера регистрации выберите один из следующих вариантов: • Если файл ключа присутствует на жестком диске или съемном носителе, выберите Указать путь к доступному действительному файлу ключа. Чтобы выбрать файл ключа, нажмите «Обзор» и выберите его в диалоговом окне. Дополнительную информацию можно найти в разделе «Активация с помощью файла ключа». •Если у вас нет файла ключа, но вы готовы получить его при установке, выберите Получить лицензию при установке. Дополнительную информацию можно найти в разделе «Активация с использованием серийного номера». • Чтобы продолжить установку без лицензии, выберите Получить лицензию позже. Обновления недоступны, пока вы не укажете или не получите ключевой файл. Рисунок 2. Мастер регистрации Нажмите «Установить». 6.Если вы указали или получили ключевой файл при установке и не сняли флажок Обновлять при установке, мастер обновит вирусные базы и другие компоненты Dr.Web. Обновление запускается автоматически и не требует дополнительных действий. 7.После завершения установки перезагрузите компьютер. Ошибка службы BFE при установке Dr.Web Некоторые компоненты Dr.Web требуют работы BFE (Base Filtering Engine Service). В случае отсутствия или повреждения данной службы установка Dr.Web будет невозможна. Повреждение или отсутствие службы BFE может указывать на наличие угроз безопасности на вашем компьютере. Если попытка установки Dr.Web закончилась ошибкой, выполните следующие действия: 1.Просканируйте систему с помощью бесплатной программы CureIt! утилита от компании «Доктор Веб». Вы можете скачать CureIt! с сайта компании «Доктор Веб»: https://free.drweb.com/download+cureit+free/. 2. Восстановить службу BFE. Для этого можно использовать утилиту восстановления брандмауэра Windows (для Windows 7 и выше). Вы можете скачать утилиту с сайта Microsoft: https://support.microsoft.com/en-us/help/17613/automatically-diagnose-and-fix-problems-with-windows-firewall. 3.Запустите мастер установки Dr.Web и выполните установку по инструкции, описанной выше. Если проблема не исчезнет, обратитесь в службу технической поддержки компании «Доктор Веб». |
Dr.Web для почтового шлюза
Рекомендуется по возможности установить на всех главных и дочерних серверах Mailborder два антивирусных сканера. Антивирус Dr.Web для Linux — недорогое дополнение. Вы можете бесплатно установить Антивирус Dr.Web для Linux и использовать пробную версию. Dr.Web — одно из самых доступных антивирусных решений для Linux, которое нам удалось найти. Dr.Web также очень быстро проверяет файлы на наличие вирусов.
*На момент написания этой статьи Dr.
Web для Linux стоит 26,00 евро в год за сервер с дополнительной скидкой 40% при покупке. Dr. Web также предлагает скидки на дополнительные серверы и дополнительные годы. Mailborder Systems не продает лицензии на Dr.Web. Лицензия должна быть приобретена непосредственно у Dr. Web или у авторизованного реселлера.
Продукт: Антивирус Dr.Web для Linux (версия 11.x)
Официальная справка: Руководство Dr.Web Linux
Dr.Web можно установить, загрузив их установочный пакет .run, или его можно установить с помощью Dr. Веб-репозиторий. После установки вам нужно будет зарегистрироваться на 90-дневная бесплатная пробная версия. На момент написания этой статьи вы также можете получить скидку 40% на пробную версию.
Модификации службы:
Spider Gate должен быть отключен, так как он прерывает работу службы Mailborder.
drweb-ctl cfset LinuxFirewall.OutputDivertEnable off
Исключения:
Spider Guard должен быть отключен или созданы исключения для предотвращения прерывания процессов Mailborder.
drweb-ctl cfset LinuxSpider.Start off
Добавьте эти исключения, даже если вы отключите Spider Guard, если он будет включен в будущем:
drweb-ctl cfset LinuxGUI.ExcludedPath -a /var/spool/mailborder/ drweb-ctl cfset LinuxSpider.ExcludedPath -a /var/tmp/mailborder/ drweb-ctl cfset LinuxGUI.ExcludedPath -a /var/tmp/mailborder/ drweb-ctl cfset LinuxSpider.ExcludedPath -a /var/lib/mailborder/ drweb-ctl cfset LinuxGUI.ExcludedPath -a /var/lib/mailborder/ drweb-ctl cfset LinuxSpider.ExcludedPath -a /usr/lib/mailborder/ drweb-ctl cfset LinuxGUI.ExcludedPath -a /usr/lib/mailborder/ drweb-ctl cfset LinuxSpider.ExcludedPath -a /srv/mailborder/ drweb-ctl cfset LinuxGUI.ExcludedPath -a /srv/mailborder/
ExcludedPath -a /srv/mailborder/ После получения пробного лицензионного кода вам необходимо будет его активировать. Это может быть проблемой на серверах без графического интерфейса. Это скрыто глубоко в часто задаваемых вопросах Dr.Web, и его было трудно найти.
Здесь мы избавим вас от мучительных исследований. Для установки лицензии:
Вариант 1:
Замените XXXX-XXXX-XXXX-XXXX кодом вашей лицензии Dr.Web для активации на вашем сервере.
лицензия drweb-ctl --GetRegistered XXXX-XXXX-XXXX-XXXX
Вариант 2:
- Где-то в электронном письме, которое вы получаете от Dr.Web с лицензионным кодом, есть возможность получить файл лицензионного ключа вместо кода.
- Распакуйте ключевой файл из присланного вам zip-архива.
- Скопируйте файл ключа в каталог /etc/opt/drweb.com и переименуйте его в drweb32. key
key Запустите следующие команды:
drweb-ctl cfset Root.KeyPath /etc/opt/drweb.com/drweb32.key drweb-ctl перезагрузить
По умолчанию Dr.Web использует облачный сервис при проверке на наличие вирусов. Хотя это имеет преимущество передового обнаружения вирусов, оно обходится недешево. Первое — это скорость. Если служба не работает или есть какие-либо сбои в сети, это может привести к серьезным задержкам в обработке электронной почты. Второе — конфиденциальность. Информация о работе антивирусных сканеров на ваших серверах отправляется на облачные серверы Dr.Web.
Наша рекомендация: отключить.
- Dr.Web выполняет обновление определений каждые 30 минут. Этого достаточно в нашей книге.
- Мы не рекомендуем никому передавать данные.
Чтобы отключить эту функцию:
drweb-ctl cfset Root.UseCloud off
Чтобы включить этот антивирусный сканер для использования с Mailborder, отредактируйте файл /etc/mailborder/conf.