Антивирус Касперского или что такое AVP

Думаю, не ошибусь в предположении, что для каждого обладателя компьютера, а тем более обладателя подключения к Интернет антивирус является обязательным ПО. Но, устанавливая на свой компьютер антивирус, многие этим и ограничиваются. Но стоит ли останавливаться на этом в надежде, что разработчик побеспокоился о нас и все настройки по умолчанию выставлены оптимально? Конечно же нет, разве можно доверять абсолютно незнакомым людям настройку нашего антивируса? Ни в коем случае!

В этой статье я хотел бы поделиться тем, как установить, гибко настроить и обеспечить защиту даже при условии дефицита системных ресурсов одного небезызвестного вам продукта, и имя ему Антивирус Касперского™.

Я постараюсь подробно и доступным рядовому пользователю языком описать эти действия для таких продуктов Лаборатории Касперского как Kaspersky Anti-Virus Personal и Kaspersky Anti-Virus Personal Pro. Давайте для начала уясним в чем же их отличия (кроме цены, разумеется).

Основное отличие версии Pro – уникальные возможности защиты документов от макровирусов и слежение за содержимым диска. Речь идет о наличии таких компонент, как Office Guard, интегрируемый в среду MS Office 2000/XP, и Inspector.

Основная прелесть Office Guard, в основу которого легли принципы поведенческого блокиратора заключается в том, что в отличие от классических антивирусов, которые обнаруживают вирусы по уникальному программному коду (т. е. последовательности символов), Office Guard блокирует вредоносные макросы по свойственному им поведению. Это обстоятельство исключает саму возможность функционирования макровирусов.

Не имеющий аналогов в мире ревизор Inspector надежно следит за всеми возможными изменениями на диске и, по требованию, восстанавливает модифицированные файлы и загрузочные сектора. Программа значительно уменьшает время проверки дисков антивирусным сканером, так как после окончания проверки дисков на изменения Inspector может передать на проверку сканеру только новые и измененные файлы.

Я намеренно не затрагиваю вопросы установки Kaspersky Anti-Virus for Workstation и Kaspersky Anti-Virus for NT Server, так как рядовому пользователю домашнего ПК это не нужно, а системному администратору, обслуживающему сеть с десятком и более компьютеров под управлением NT Server не пригодится моя статья.

Итак, с чего же начать? С начала, а именно с установки.

Установка

Отступление: На компьютеры с установленной операционной системой 95/98/МЕ я бы рекомендовал установку Антивируса Касперского версий 3.6.*. Компьютеры с установленной операционной системой NT/2k/XP рекомендую снабдить версией не ниже 4.5.* (на момент написания статьи самая свежая).

Процесс установки особыми тонкостями и подводными камнями не обладает, практически все сводится к меткому попаданию мышью в кнопочку «Далее».

Единственным моментом, связанным с трудностями в установке может стать наличие уже установленного ранее Антивируса Касперского™ другой (как правило, более старой) версии продукта. Путей решения данной трудности известных мне всего несколько, а именно:

Первое что мы можем сделать это попытаться удалить имеющуюся версию стандартными средствами, то есть - "Пуск" -> "Настройкa" -> "Панель управления" -> "Установка/удаление программ".

Если же таким образом удалить программу не удалось (что бывает нередко…) и в списке установленных программ по-прежнему присутствует Антивирус Касперского, то в этом случае можно попытаться установить его еще раз (если тот старый дистрибутив есть в наличии) и снова повторить процедуру деинсталляции.

Предположим, что и таким образом избавиться от старой версии не удалось. Тогда самый простой способ это воспользовавшись программкой RegCleaner (http://www.listsoft.ru/programs/2942/) или ей подобной, коих в сети найдете немало) почистить систему от программы вручную, благо для этого в RegCleaner`е присутствует функция поиска (искать по словам kaspersky, avp, kav)

В целом будем считать, что с деинсталляцией мы справились. Перейдем непосредственно к установке:

1.1. Запускаем файл setup.exe для начала процесса установки.

Вкратце пройдемся по процессу установки, вкратце потому, что детального рассмотрения этот процесс не может требовать из-за своей простоты:

1.2. Первое окошко приветствия инсталлятора весьма банально и внимания не требует вообще, посему смело жмем «Далее».

1.3. В следующем окне нам предложат ознакомиться с лицензионным соглашением, условия которого мы, как ни крути, должны принять для продолжения установки, в противном случае процесс инсталляции будет прерван, то есть жмем «Да» и отправляемся дальше.

1.4. А дальше нас ждет окно с предложением ввести сведения о пользователе, что мы и делаем после чего опять-таки жмем «Далее»; думаю здесь трудностей не возникнет.

1.5. В следующем окне нам будет предложено выбрать диск и непосредственно каталог для установки программы, по умолчанию это "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal (или Personal Pro)". Здесь либо выбираем другой каталог с помощью кнопки «Обзор» либо жмем «Далее» тем самым соглашаясь на настройки по «умолчанию».

1.6. Далее следует окно с указанием названия программной группы в меню «Пуск» /«Программы», так же можно обозвать по-своему либо согласиться с предложенным названием.

1.7. Затем следует окно выбора типа установки в котором будет предложено три типа установки:

• Выборочная- Вам будет предложено выбрать набор устанавливаемых компонентов из списка.
• Сокращенная - Будут установлены только самые необходимые компоненты пакета, такие как: KAV Сканер, KAV Монитор, антивирусные базы и программа обновления.
• Обычная - Будут установлены все компоненты пакета Антивирус Касперского.

От себя советую выбрать тип установки «Обычная».

1.8. Следующее окно отобразит данные, которые мы вводили, и пути, которые мы выбирали до этого, если все верно, то жмем «Далее» если хотим что-то изменить, то можем откатиться на предыдущие этапы установки и изменить то что нужно.

1.9. Здесь уже начинается процесс копирования файлов необходимых для установки, а затем и выбор каталога для хранения отчетов, так же надеюсь это будет не сложно.

1.10. В предпоследнем диалоговом окне установки будет необходимо указать имя файла ключа и путь к нему. Если этот файл располагается в папке, из которой производится установка, он автоматически отобразится в списке ключевых файлов. Если файл-ключ (файл с расширением *.key) расположен в какой-либо другой папке, нажмите на кнопку «Добавить» и в появившемся на экране стандартном диалоговом окне укажите имя и путь к файлу-ключу. При необходимости одновременно можно использовать несколько файлов-ключей.

Отступление: Для того чтобы продлить действие лицензии при наличии нового ключевого файла вовсе не обязательно деинсталлировать и устанавливать заново весь пакет программ Касперского, достаточно лишь скопировать новый файл-ключ в каталог "C:\Program Files\Common Files\AVP Shared Files\" и перезапустить запущенные компоненты Касперского. Замечу так же, что все ключевые файлы начинают отсчет своего действия с момента его (ключа) создания. Каждый файл-ключ снабжается так называемым запасом на инсталляцию (от 6 месяцев до 1 года) на случай пересылки коробки покупателю, а это занимает время и покупатель начинает использование продукта с момента его установки, а не с момента покупки. И если удалить и установить Касперского с добавлением нового ключа, то срок его действия будет отсчитываться со дня установки. В случае же простого копирования, срок действия ключа отсчитывается с текущей даты.

Но Антивирус Касперского™ может (и будет) работать вообще без ключевого файла, но в этом случае функция обновления антивирусных баз будет недоступна, хотя все остальные функции он будет исправно выполнять.

1.11. Последним диалоговым окном будет сообщение об окончании установки с предложением перезагрузить компьютер немедля или позднее.

Настройка

Итак, мы получили, смею надеяться, установленный Антивирус Касперского™. Теперь настал черед настройки работы его компонент.

Все настройки, которые мы рассмотрим, удобнее делать через Kaspersky Anti-Virus Control Centre позволяет планировать запуск антивирусных программ, входящих в состав пакета.

Control Centre после установки Антивируса Касперского™ автоматически запустится при загрузке компьютера, причем запустится, так сказать в двух ипостасях: как приложение и как системная служба (avpcc.exe, также при запуске службы avpcc вместе с ней стартует и антивирусный монитор).

На компьютерах, которые не могут похвастаться большими объемами оперативной памяти, я советую несколько изменить состав запускаемых приложений из пакета Касперского. Целесообразно будет отключить запуск Контрольного Центра, но вместе с тем разрешить запуск Монитора, как это сделать рассмотрим подробнее.

Для этого нам потребуется зайти в редактор реестра (Пуск – Выполнить – regedit) и, отыскав ветку "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Services"

Удалить в ней параметр AVPCC

Затем в ветке "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

В таком же параметре AVPCC изменить его значение с "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait на "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe" /wait

Теперь после перезагрузки вместо Контрольного Центра у нас будет запускаться Монитор что, соответственно, меньше будет нагружать память, но… лишит нас прелестей автоматического обновления и сканирования. Так что «думайте сами, решайте сами…».

Первое, как мне кажется, с чего следует начать - это настройки KAV Monitor (далее просто монитор). Прямо скажем, они не совсем оптимальны, посему приступим к «шлифовке».

2.1. Kaspersky Anti-Virus Monitor

Главное окно монитора содержит следующие кнопки: «Объекты», «Параметры», «Настройка», «Расписание», «Уведомления». Там же есть еще две кнопки: «Стандарт» (вверху) и «Эксперт» (внизу), сразу жмем на «Эксперт».

И что мы здесь видим (и что мы можем изменить) в разделе «Объекты»? Как минимум то, что заботливый разработчик по умолчанию заставляет монитор сканировать Сетевое Окружение. Непорядок, зачем нам и без того натруженную сеть грузить? Снимаем птицу возле сетевого окружения и смотрим дальше. (Лично я снимаю автоматическую проверку дисковода 3.5" и CD так как предпочитаю делать это вручную, запуская сканер, но это на ваш вкус.)

В правой панели сверху красуется надпись «Действия в случае обнаружения вируса», здесь я бы рекомендовал оставить все как есть для того, чтобы если уж кто пролезет, то пусть монитор нас спросит что же делать со злодеем (ведь не всегда нужно сразу удалить зараженный файл, а если это очень-очень важный документ?).

В том же окне, но чуть ниже, есть опция, включающая сканирование сетевых дисков, с нее тоже лучше снять птицу.

Переходим в раздел «Параметры» и открываем содержимое пункта «Создавать файл отчета», здесь я бы рекомендовал изменить только одну опцию – поставить птицу рядом с «Добавлять к существующему файлу отчета» дабы видеть статистику по зараженным объектам не только за последнюю сессию.

Разделы «Настройка», «Расписание», «Уведомления» не потребуют нашего вмешательства и поэтому двигаемся дальше нажав при этом "Применить" и закрыв окно настроек Kaspersky Anti-Virus Monitor.

2.2. Обновление антивирусных баз

Здесь перед нами такие закладки: «Подключение», «Параметры», «Расписание» и «Уведомления».

Закладка «Подключение»

Обновление у нас по умолчанию настроено для получения обновлений через Интернет, если такой способ получения обновлений устраивает, то ничего не меняем и идем дальше, если же мы хотим обновляться из локальной папки, то указываем ее местонахождение.

Маленькое отступление: Если в сети у вас присутствует не один компьютер с Касперским, то будет целесообразно настроить один компьютер на получение обновлений через Интернет, а остальным указать папку для получения обновлений на нем. Дело в том что при обновлении Касперский сохраняет копии файлов обновления в каталоге "C:\Program Files\Common Files\AVP Shared Files\Bases\" и, сделав её сетевой, и, указав сетевым компьютерам получать из нее обновления, вы избавите их от закачки обновлений через Интернет. В этой папке создается, по сути, кумулятивное обновление.

Закладка «Параметры»

Позволит настроить размер файла отчета, а так же показывать или нет окно выполнения обновления.

Закладка «Расписание»

Здесь мы можем установить когда (по таймеру, по событию, по условию) будет обновляться Касперский.

Закладка «Уведомления» особыми настройками не обладает и ее смело можно пропустить.

2.3. Kaspersky Anti-Virus Scaner

Настройки в общем повторяют настройки Монитора, поэтому особо останавливаться на них не буду, по аналогии разберетесь что к чему. Скажу только, что в расписании по умолчанию стоит запуск Сканера ежедневно в 20:00… думайте, устраивает ли вас такая установка…

Отступление: Часто в процессе проверки Сканером в окне статистики появляется запись об ошибках ввода/вывода, это не сбой программы и не подозрение на вирус, просто не все файлы могут быть «просмотрены» Касперским (например файл подкачки).

Так же может насторожить сообщение о невозможности лечения какого-либо файла… и означает это то, что вирус стал одним из системных процессов и завершить его Касперский средствами доступными под управлением ОС Windows не может. Что же делать в таком случае? Есть несколько выходов из такой ситуации, которые мы рассмотрим в приложении к статье Борьба с Интернет-червями.

И еще о некоторых компонентах - назначение и принцип работы.

Script Checker – это антивирусная программа, которая обеспечивает защиту компьютера от проникновения скрипт-вирусов и червей, которые выполняются непосредственно в памяти компьютера.

Принцип работы программы:

Различные программы, использующие Microsoft Windows Script Host (такие как Microsoft Explorer, Microsoft Internet Explorer, Microsoft Outlook и т.д.), передают в Script Hosting для обработки и последующего выполнения скрипты (такие как VB Script и Java Script). Перед исполнением этих скрипт-файлов Script Checker передает их на проверку антивирусному монитору (если он установлен и запущен) и, если монитор не обнаружил вирус, то он проводит эвристический анализ* кода скрипт-файла. В случае подозрения на вирус Script Checker выдает соответствующее предупреждение и запрещает выполнение этого скрипта.

*Эвристический анализатор (Code Analyzer) проверяет коды файлов и секторов по разным ветвям алгоритма Антивируса Касперского на наличие вирусоподобных инструкций. Если эвристический анализатор обнаруживает комбинацию команд, таких как открытие или запись в файл, перехват векторов прерываний и т.д., то проверяемый файл считается “подозрительным”, о чем выдается соответствующее сообщение.

И напоследок приведу не всем известные параметры запуска компонента Kaspersky Anti-Virus Scaner которые могут быть весьма полезны в некоторых ситуациях. Например, менеджер закачек ReGet которым я пользуюсь, позволяет автоматически запустить приложение после завершения сканирования. Таким приложением я назначил KAV Scaner, но с параметром немедленного начала сканирования определенного каталога. Как это сделать рассмотрим детальнее чуть позже, а сейчас непосредственно параметры запуска KAV Scaner из командной строки.

Чтобы запустить антивирусный сканер из командной строки, необходимо перейти в папку, куда установлен Антивирус Касперского™, а затем запустить файл avp32.exe.

При запуске вы можете использовать следующие параметры командной строки:

[/P=имя_файла_настроек] – пуск сканера с настройками из файла настроек с именем "имя_файла_настроек";

[/S] – начать проверку на вирус сразу после запуска сканера;

[/W] – создать файл отчета;

[/N] – свернуть главное окно сканера сразу после запуска;

[/Q] – закрыть главное окно сканера сразу после окончания процесса сканирования;

[/D] – означает, что сканер не будет запускаться, если в течение данного дня уже было произведено сканирование, и оно завершилось успешно, т.е. оно не было прервано и не было найдено ни одного вируса.

[/@[!]=имя_файла] – сканировать только те объекты, которые указаны в файле с именем имя_файла. Где файл "имя_файла" – это обычный текстовый файл (ASCII), содержащий список имен файлов, предназначенных для сканирования. Каждая строка в нем должна содержать только одно имя файла (с указанием полного пути). Если в ключе указан знак «!» (т.е. /@!=имя_файла) то файл "имя_файла" будет удален после окончания сканирования. Если символ "!" не указан (т.е. /@=имя_файла), то данный файл удаляться не будет.

[/virlist=имя_файла] – создать файл с именем "имя_файла", и записать в него список имен известных на настоящий момент вирусов, которые может обнаруживать сканер.

Примечание: В командной строке можно указать имена файлов и папок, которые необходимо проверить на вирус. Если в имени файла или папки присутствуют длинные имена, содержащие пробелы, то данное имя следует указывать в кавычках. Недопустимо использование масок доступа с использованием символов ‘*’ или ‘?’ при записи имен файлов, т.е. выражения типа “*.exe”, “av?32.exe” недопустимы.

Рассмотрим некоторые примеры использования параметров командной строки:

Пример 1. Запуск сканера по окончанию закачки файла с помощью ReGet и последующая проверка каталога «MyDownloads».

Для этого нужно в планировщик ReGet`а добавить задачу с такими условиями:

На закладке «Что делать»

Действие: запустить программу

Имя программы Avp32.exe

Путь к каталогу с программой

Аргументы: /S "C:\MyDownloads"

На закладке «Когда начать»

Ставим «Когда завершена закачка»

И «разрешено к выполнению»

Пример 2. Запуск программы-сканера, формирование списка вирусов в файле E:virlist.txt и последующий выход из программы.

"C:\Program Files\AVP\Avp32.exe" /virlist=E:virlist.txt /q

Пример 3. Запуск сканера с последующей проверкой на вирус в том случае, если предыдущая проверка производилась в предыдущие дни либо проверка производилась в этот же день, но в файлах были обнаружены вирусы. По окончании проверки - выход из программы.

"C:\Program Files\AVP\Avp32.exe" /s /d /q

Приложение Борьба с Интернет-червями.

Теперь рассмотрим ситуацию заражения новым вирусом, который не может быть излечен или удален под управлением ОС Windows. Что же мы можем сделать опираясь на Лабораторию Касперского™?

Первое что следует предпринять это применение бесплатной утилиты от Лаборатории Касперского™ clrav

ftp://ftp.kaspersky.com/utils/clrav.zip

На момент написания статьи имеет версию 10.1.0.2 и позволяет избавиться от таких вирусов:

I-Worm.BleBla.b

I-Worm.Navidad

I-Worm.Sircam

I-Worm.Goner

I-Worm.Klez.a,e,f,g,h

Win32.Elkern.c

I-Worm.Lentin.a,b,c,d,e,f,g,h,i,j,k,l,m,n,o,p

I-Worm.Tanatos.a,b

Worm.Win32.Opasoft.a,b,c,d,e,f,g,h

I-Worm.Avron.a,b,c,d,e

I-Worm.LovGate.a,b,c,d,e,f,g,h,i,j,k,l

I-Worm.Fizzer

I-Worm.Magold.a,b,c,d,e

Worm.Win32.Lovesan

Worm.Win32.Welchia

I-Worm.Sobig.f

I-Worm.Dumaru.a-d

Trojan.Win32.SilentLog.a-b

Backdoor.Small.d

I-Worm.Swen

Backdoor.Afcore.l

Эта утилита предназначена для лечения нескольких видов червей. Обнаруживает активную копию червя в памяти компьютера, деактивирует ее, удаляет зараженные файлы с жесткого и сетевых дисков. Также восстанавливает системный реестр Windows. По сути дела, данная утилита полностью восстанавливает компьютер и удаляет все следы заражения червем.

Для начала лечения необходимо просто запустить файл clrav.com находящийся в архиве. Для проверки памяти компьютера и последующего сканирования жестких дисков этот файл следует запускать из командной строки с параметром /s[n], n – включая сканирование подключенных сетевых дисков.

Дополнительные параметры запуска утилиты clrav.com из командной строки

/y – выйти из программы без нажатия любой клавиши.

/i – показывать информацию командной строки.

/nr – не перезагружать систему .

/Rpt[ao][=] – создать файл отчета

a – добавлять к существующему

o – только отчет (не излечивать и не удалять зараженные файлы)

Но что же делать, если заразивший ваш компьютер вирус отсутствует в списке доступных для лечения при помощи утилиты clrav? Как минимум не стоит отчаиваться! Ведь вирмейкеры не единственные талантливые люди на планете J

В этой ситуации мы можем прибегнуть к такому компоненту Антивируса Касперского™ как Kaspersky Anti-Virus Rescue Disk который не раз выручал меня в трудные времена вирусных эпидемий и сложной борьбы с всякой нечистью. Что же он из себя представляет? Давайте посмотрим.

KAV Rescue Disk предназначены для восстановления работоспособности системы после вирусной атаки, для сканирования жестких дисков, обнаружения и удаления тел вирусов. Эти диски включают в себя:

- системные файлы ОС Linux;

- антивирусный сканер;

- антивирусные базы данных.

Принцип работы дисков аварийного восстановления следующий. Предположим, в результате вирусной атаки ваш компьютер не может произвести начальную загрузку либо вам не удается удалить тело вируса, находясь в Windows, тогда необходимо загрузить компьютер при помощи загрузочного диска из аварийного комплекта. Загрузочный диск загрузит на компьютере ОС Linux, после чего запустит антивирусный сканер. По мере прохождения загрузки загрузочный диск будет требовать диски с антивирусными базами.

Создать эти диски можно, запустив соответствующий компонент – "Пуск" –> "Программы" -> "Kaspersky Anti-Virus" -> "Kaspersky Anti-Virus Rescue Disk", для этого потребуется 4-5 чистых отформатированных дискет. В процессе создания аварийных дисков целесообразно будет помечать их в соответствии с очередностью создания, дабы не возникло путаницы. Первый созданный диск будет содержать в себе загрузочный образ и системные файлы ОС Linux.

Так же эти диски будут полезны при лечении вирусов, удаление которых невозможно под управлением ОС Windows, а загрузка компьютера в эмуляции ДОС невозможна. Например, в случае, когда на компьютере установлена файловая система NTFS.