7.5.4. Parameter des Scanners für Windows® konfigurieren

Zum Einsehen und Bearbeiten von Parametern des Scanners können Sie auf eine der folgenden Weisen vorgehen:

1.Wählen Sie den Punkt Antivirus-Netzwerk im Hauptmenü des Verwaltungscenters. Im geöffneten Fenster klicken Sie in der hierarchischen Liste auf den Stations- bzw. Gruppennamen. Im geöffneten Verwaltungsmenü (das Feld links) wählen Sie den Punkt Dr.Web Scanner für Windows aus. Es öffnet sich das Einstellungsfenster des Scanners. Diese Parameterliste ist meist vollständig und beinhaltet alle Parametergruppen, die unten beschrieben sind.

2.Wählen Sie den Punkt Antivirus-Netzwerk im Hauptmenü des Verwaltungscenters. Im geöffneten Fenster klicken Sie in der hierarchischen Liste auf den Stations- bzw. Gruppennamen. In der Toolbar klicken Sie auf Scannen. In der Toolbar wählen Sie in der geöffneten Liste den Punkt Dr.Web Scanner für Windows. Benutzerdefiniert. Im Fensterbereich rechts öffnet sich das Einstellungsfenster des Scanners. Diese Parameterliste ist gekürzt und ermöglicht, dass nur die Grundparameter, die zu Einstellungsgruppen Allgemein, Aktionen, Log und Sonstiges gehören, konfiguriert werden.

3.Wählen Sie den Punkt Antivirus-Netzwerk im Hauptmenü des Verwaltungscenters. Im geöffneten Fenster klicken Sie in der hierarchischen Liste auf den Stations- bzw. Gruppennamen. In der Toolbar klicken Sie auf Scannen. In der Toolbar wählen Sie in der geöffneten Liste den Punkt Dr.Web Enterprise Scanner für Windows. Im Fensterbereich rechts öffnet sich das Einstellungsfenster des Scanners. Diese Parameterliste ermöglicht, dass nur die Grundparameter des Enterprise Scanners, die zu Einstellungsgruppen Allgemein, Aktionen und Ausgeschlossene Pfade gehören, konfiguriert werden.

Allgemein

Das Häkchen bei Heuristische Analyse ist standardmäßig gesetzt; dabei versucht der Scanner, unbekannte Viren mit Hilfe der heuristischen Analyse zu entdecken. In diesem Modus sind Fehlauslösungen des Scanners möglich.

Das Häkchen bei Überprüfung der Archive ist standardmäßig gesetzt. Schreibt vor, dass der Scanner nach Viren in den Dateien, die zu Dateiarchiven verpackt sind, sucht.

Das Häkchen bei Überprüfung der E-Mail-Dateien ist standardmäßig gesetzt. Schreibt vor, dass die Postfähcer überprüft werden.

Das Häkchen bei Laufende Programme und Module prüfen (Gestartete Vorgänge bei Enterprise Scanner) ist standardmäßig gesetzt. Schreibt vor, dass die im Arbeitsspeicher gestartete Vorgänge überprüft werden.

Das Häkchen bei Überprüfung der Autostart-Dateien ist standardmäßig gesetzt. Schreibt vor, dass die beim Start des Betriebssystems automatisch gestartete Dateien überprüft werden.

Das Häkchen bei Boot-Sektoren prüfen ist standardmäßig gesetzt. Schreibt vor, dass der Scanner die Boot-Sektoren überprüft werden. Es werden sowohl die Boot-Sektoren der logischen Laufwerke als auch die Haupt-Boot-Sektoren der physikalischen Laufwerke überprüft.

Das Häkchen bei Unterverzeichnisse sacnnen (fehlt beim Enterprise Scanner) ist standardmäßig gesetzt. Es wird bei Festlegung des Scanpfades verwendet und schreibt vor, dass der Scanner nicht nur Dateien sondern auch alle verschachtelten Unterverzeichnisse nach dem festgelegten Pfad überprüft.

Wenn die Einstellungen des Scanners über den Verwaltungsmenüpunkt Dr.Web Scanner für Windows konfiguriert werden, sind folgende Parameter verfügbar:

Das Häkchen bei HOSTS-Systemdatei schützen schreibt vor, dass der Status von HOSTS-Systemdatei überprüft wird. Diese Datei wird vom Betriebssystem zur Erleichterung des Internetzugangs verwendet: zur Übersetzung von Textnamen mancher Websites in entsprechende IP-Adressen. Die Änderung der HOSTS-Datei kann durch Schadprogramme verursacht werden.

Der Punkt Scannen definiert den Prüfungsmodus. In der Klappliste wählen Sie eine der Varianten:

Alle Dateien - zum Scannen aller Dateien unabhängig von ihren Namen und Namenserweiterungen.

Nach Maske - zum Scannen nur von den Dateien, deren Namen und Erweiterungen zur Liste, die im Bereich Liste der Masken festgelegt wird, gehören.

Nach Typ - zum Scannen nur von den Dateien, deren Erweiterungen zur Liste, die im Bereich Liste der Erweiterungen festgelegt wird, gehören.

Das Häkchen bei Aktion bestätigen schreibt vor, dass der Benutzer die Nachrichten über Ereignisse und Anforderungen zur Bestätigung von Aktionen des Scanners empfängt.

Das Häkchen bei Abfrage für das Scannen der folgenden Diskette wird bei Überprüfung der Wechseldatenträger (Magnetplattenspeicher (Disketten), CD/DVD-Disks, flash-Speicher) verwendet und schreibt vor, dass eine Anforderung für Verbindung (Wechsel des laufenden Datenträgers) und Überprüfung des nächsten Datenträgers ausgegeben wird.

Wenn die Einstellungen des Scanners über den Punkt in der Toolbar konfiguriert werden, wählen Sie eine der zwei vorhandenen Optionen:

1.System scannen.

Für den Enterprise Scanner legen Sie in der Variante System scannen fest, welche Systemlaufwerke zu überprüfen sind:

setzen Sie ein Häkchen bei Festplatten zur Überprüfung von Festplatten (Winchester-Platte usw.);

setzen Sie ein Häkchen bei Wechseldatenträger zur Überprüfung aller Wechselmedien, wie z.B.: Magnetplattenspeicher (Disketten), CD/DVD-Disks, flash-Speicher usw.

In diesem Modus kann die Liste Ausgeschlossene Pfade festgelegt werden (die Festlegung der Pfade wird unten beschrieben).

2.Pfade scannen.

In der Option Pfade scannen legen Sie die Liste der zu überprüfenden Pfade fest (deren Festlegung wird unten beschrieben).

Beim Enterprise Scanner für Windows sind auch folgende Optionen verfügbar:

Das Häkchen bei BurstScan-Technologie schreibt vor, dass diese Technologie, mit der das Scannen auf den modernen Systemen mit Mehrkernprozessoren wesentlich schneller ausgeführt wird, verwendet wird.

Per Default gesetztes Häkchen bei Scannen mit niedriger Priorität ermöglicht, dass die Belastung des Scanners auf vorhandene Systemressourcen reduziert wird. Dabei können andere Prozesse über höhere Priorität beim Ausführen als bei deaktivierter Einstellung verfügen. Dies wird durch dynamische Änderung von Prioritäten der Scanthreads erreicht.

Das Häkchen bei Container scannen schreibt vor, dass der Scanner die Dateicontainer unterschiedlicher Typen überprüft.

Die Liste Aktionen nach der Prüfung schreibt vor, dass die festgelegte Aktion gleich nach dem Ende des Scannes automatisch ausgeführt wird: herunterfahren, neu starten, in bestimmten Modus wechseln bzw. keine Aktionen mit dem Rechner des Benutzers ausführen.

Das Häkchen bei Netzwerkverbindung während der Prüfung deaktivieren ermöglicht, dass der Rechner keine Verbindung zum lokalen Netzwerk und zum Internet für die Scandauer hat.

Im Bereich Einschränkungen sind folgende Einstellungen verfügbar:

Maximale Prüfungszeit - maximale Zeit in Millisekunden, innerhalb von der das Objekt überprüft wird. Nach Ablauf dieser Zeit wird die Überprüfung des Objektes abgebrochen.

Maximale Rekursionstiefe - wenn die Verschachtelungstiefe des Archivs den angegebenen Wert übersteigt, wird die Prüfung nur bis zur angegebenen Verschachtelungsebene ausgeführt.

Maximale Archivgröße - wenn die Archivgröße den angegebenen Wert übersteigt, wird weder Entpackung noch Überprüfung ausgeführt.

Maximale Kompressionsrate - wenn der Scanner feststellt, dass der Komprimierungsfaktor des Archivs den angegebenen Wert übersteigt, wird weder Entpackung noch Überprüfung ausgeführt.

Maximale Größe von extrahierten Dateien (KB) - wenn der Scanner feststellt, dass die Archivgröße nach Entpackung den angegebenen Wert (in Kilobytes) übersteigen wird, wird weder Entpackung noch Überprüfung ausgeführt.

Schwelle der Kompressionsprüfung - minimale Dateigröße innerhalb des Archivs, ab welcher die Prüfung des Komprimierungsfaktors ausgeführt wird.

Aktionen

In der Parametergruppe Aktionen wird die Reaktion von Antivirus auf Entdeckung der infizierten oder verdächtigen Dateien, Schadprogramme sowie der infizierten Archive festgelegt.

Folgende Aktionen sind für entdeckte Objekte verfügbar:

Desinfizieren - den Status des Objektes vor seiner Infizierung wiederherstellen. Wenn die Desinfizierung unmöglich ist, wird die für nicht desinfizierbare Objekte festgelegte Einstellung verwendet.

Diese Aktion ist nur für die mit einem bekannten desinfizierbaren Virus infizierten Objekte verfügbar, ausgenommen Trojaner und infizierte Dateien innerhalb der geteilten Objekte (Archive, E-Mail-Dateien bzw. Dateicontainer).

Entfernen - infizierte Objekte löschen.

In Quarantäne - infizierte Objekte ins Quarantäne-Verzeichnis verschieben.

Umbenennen - infizierte Objekte gemäß der im Feld Template für Umbenennung festgelegten Regel umbenennen.

Benachrichtigen - nur eine Benachrichtigung über Virenfund ausgeben (über die Konfiguration des Benachrichtigungsmodus s. P. Benachrichtigungen konfigurieren).

Ignorieren - das Objekt ohne Ausführung jeglicher Aktionen und ohne Benachrichtigung überspringen.

Aktionen des Scanners für entdeckte schädliche Objekte

Aktion

Objekt

Adware

Infizierte Container

Infiziert

Verdächtig

Nicht desinfizierbar

Desinfizieren

 

 

+/*

 

 

Entfernen

+

+

+

+

+

In Quarantäne

+

+/*

+

+

+/*

Umbenennen

+

+

+

+

+

Benachrichtigen

+/*

+

+

+/*

+

Ignorieren

+

 

 

 

 

Symbole

+

Aktion ist für diesen Typ der Objekte erlaubt

+/*

Aktion ist als Default-Reaktion für diesen Typ der Objekte festgelegt

Zur Festlegung von Aktionen für entdeckte schädliche Objekte dienen folgende Einstellungen:

Im Feld Template für Umbenennung wird die Maske der Erweiterung angegeben, welche umbenannte Objekte erhalten, wenn die Aktion Umbenennen für sie bei ihrer Entdeckung ausgeführt wurde. Per Default wird die Variante #?? angeboten, d.h. das erste Erweiterungszeichen wird durch das # Zeichen ersetzt. Diese Maske kann geändert werden, es ist aber nicht empfehlenswert, standardmäßige Erweiterungen (EXE, COM, BAT, DOC, PAS, BAS u a.m.) als Ersatz zu verwenden.

Die Klappliste Adware legt die Reaktion des Scanners bei Entdeckung von diesem Typ der Malware fest.

 

Wenn die Aktion Ignorieren für Adware festgelegt wird, werden keine Aktionen ausgeführt: im Vergleich zur aktivierten Option Notifizieren erhält der Benutzer beim Virenfund keine Benachrichtigung.

 

Ähnlich wie bei Adware wird die Reaktion des Scanners bei Entdeckung der sonstigen Malware festgelegt, z. B.:

Dialer;

Scherzprogramme;

Riskware;

Hackertools.

Die Klappliste Neustart legt den Neustartmodus des Rechners nach dem Beenden des Scanvorganges fest.

Die Klappliste Infizierte Container legt die Reaktion des Scanners bei Entdeckung einer infizierten oder verdächtigen Datei innerhalb des Dateiarchivs oder -Containers fest. Die Reaktion wird für das ganze Archiv konfiguriert.

Die Klappliste Infiziert legt die Reaktion des Scanners bei Entdeckung einer Datei, die mit einem bekannten Virus infiziert ist, fest.

Die Klappliste Verdächtig legt die Reaktion des Scanners bei Entdeckung einer Datei, die vermutlich mit einem Virus infiziert ist (Auslösung des heuristischen Analysators), fest.

 

Beim Scannen, welches das Installationsverzeichnis des Betriebssystems miteinschliesst, ist es empfehlenswert, die Reaktion Notifizieren für verdächtige Dateien auszuwählen.

 

Die Klappliste Nicht desinfizierbar definiert die Reaktion des Scanners bei Entdeckung einer Datei, die mit einem bekannten nicht desinfizierbaren Virus infiziert ist (sowie auch wenn der Desinfizierungsversuch fehlgeschlagen ist).

Das Häkchen bei Entfernung der Archive aktivieren ermöglicht das Löschen der gefundenen infizierten Archive und E-Mail-Dateien. Wenn dieses Häkchen gesetzt ist, so werden die unten angeordneten Klapplisten Infizierte Archive und Infizierte E-Mail-Dateien die Aktion Entfernen beinhalten. Wenn das Häkchen entfernt ist, sind nur die Aktionen In Quarantäne (standardmäßig für Archive), Umbenennen und Notifizieren (standardmäßig für E-Mail-Dateien) verfügbar.

Ausgeschlossene Pfade und Ausgeschlossene Dateien

Bei Bearbeitung von Listen der ausgeschlossenen Pfade und Dateien:

Geben Sie erforderlichen Pfad bzw. Datei in der Zeile Ausgeschlossene Pfade oder Ausgeschlossene Dateien ein.

Um eine neue Zeile der Liste hinzuzufügen, klicken Sie auf und in geöffneter Zeile geben Sie erforderlichen Pfad ein.

Um ein Element aus der Liste zu entfernen, klicken Sie auf bei entsprechender Zeile.

Die Liste der ausgeschlossenen Objekte kann Elemente folgender Typen beinhalten:

1.Direkter Pfad des auszuschließenden Objektes in expliziter Form. Dabei:

Das Zeichen \ bzw. / – das ganze Laufwerk, auf dem das Installationsverzeichnis von Windows untergebracht ist, von der Überprüfung ausnehmen,

Pfad, der mit dem Zeichen \ endet – dieses Verzeichnis wird von der Prüfung ausgenommen,

Pfad, der mit dem Zeichen \ nicht endet – jegliches Unterverzeichnis, dessen Pfad mit der angegebenen Zeile beginnt, wird von der Prüfung ausgenommen.

Zum Beispiel: C:\Windows - Dateien im Verzeichnis C:\Windows und alle seine Unterverzeichnisse nicht überprüfen.

2.Masken der Objekte, die von der Prüfung ausgenommen werden. Bei der Festlegung von Masken können die Zeichen ? und * verwendet werden.

Zum Beispiel: C:\Windows\*\*.dll - alle Dateien mit der dll-Erweiterung, die in allen Unterverzeichnissen des Verzeichnisses C:\Windows untergebracht sind, nicht überprüfen.

3.Regulärer Ausdruck. Die Pfade können durch reguläre Ausdrücke festgelegt werden. Jegliche Datei, deren vollständiger Name (mit dem Pfad) dem regulären Ausdruck entspricht, wird auch von der Prüfung ausgenommen.

 

Vor dem Starten der Virenprüfung machen Sie sich mit den Anweisungen zur Nutzung der Antivirensoftware auf den Rechnern unter Windows Server 2003, Windows 2000 und Windows XP vertraut. Den Artikel mit erforderlichen Informationen finden Sie unter http://support.microsoft.com/kb/822158/ru. Dieser Artikel soll dazu beitragen, um die Leistungsfähigkeit des Systems zu optimieren.

 

Reguläre Ausdrücke, die zum Schreiben der ausgeschlossenen Pfade verwendet werden, haben folgende Syntax:

qr{Ausdruck}Flags

Meistens wird das i-Zeichen als Flag verwendet. Dieser Flag bedeutet "Groß- und Kleinschreibung nicht berücksichtigen".

Beispiele zum Eintragen der ausgeschlossenen Pfade und Dateien mit Hilfe der regulären Ausdrücke:

qr{\\pagefile\.sys$}i — Swap-Dateien von Windows NT nicht überprüfen,

qr{\\notepad\.exe$}i — Dateien notepad.exe nicht überprüfen,

qr{^C:}i — auf dem Laufwerk C nichts überprüfen,

qr{^.:\\WINNT\\}i — in den Verzeichnissen WINNT auf allen Laufwerken nichts überprüfen,

qr{(^C:)|(^.:\\WINNT\\)}i — zwei oben beschriebene Fälle vereinigen,

qr{^C:\\dir1\\dir2\\file\.ext$}i — Datei c:\dir1\dir2\file.ext nicht überprüfen,

qr{^C:\\dir1\\dir2\\(.+\\)?file\.ext$}i — Datei file.ext nicht überprüfen, wenn sie sich im Verzeichnis c:\dir1\dir2 und seinen Unterverzeichnissen befindet,

qr{^C:\\dir1\dir2\\}i — Verzeichnis c:\dir1\dir2 und seine Unterverzeichnisse nicht überprüfen,

qr{dir\\[^\\]+}i — Unterverzeichnis dir, das sich im jeglichen Verzeichnis befindet, nicht überprüfen; die Unterverzeichnisse werden zwar überprüft,

qr{dir\\}i — Unterverzeichnis dir, das sich im jeglichen Verzeichnis befindet, sowie seine Unterverzeichnisse nicht überprüfen.

Die Nutzung der regulären Ausdrücke ist kurz im Anhang K beschrieben.

Die Links zu näheren Beschreibungen von Syntax der regulären Ausdrücke siehe P. Links.

Erweiterungsliste (beim Aufruf von Einstellungen über Verwaltungsmenü)

Der Bereich Liste der Erweiterungen ist nur aktiv, wenn die Option Nach Typen im Punkt Scannen des Bereiches Allgemein ausgewählt ist. Dabei werden nur die Dateien, deren Erweiterungen zu dieser Liste gehören, gescannt.

Bei Änderung von Liste der Erweiterungen klicken Sie auf , um neue Elemente der Liste hinzuzufügen, bzw. auf , um vorhandene Elemente er Liste zu entfernen.

Bei Elementen von Liste der Erweiterungen können spezielle Zeichen * und ? verwendet werden. Standardmäßig wird die Erweiterungsliste von ausführbaren Dateien und Archivdateien gespeichert. Zur Wiederherstellung der Default-Liste klicken Sie auf .

Liste der Masken (beim Aufruf von Einstellungen über Verwaltungsmenü)

Der Bereich Liste der Masken ist nur aktiv, wenn die Option Nach Maske im Punkt Scannen des Bereiches Allgemein ausgewählt ist. Dabei werden nur die Dateien, deren Namen und Erweiterungen zu dieser Liste gehören, gescannt.

Bei Änderung von Liste der Masken klicken Sie auf , um neue Elemente der Liste hinzuzufügen, bzw. auf , um vorhandene Elemente er Liste zu entfernen.

Bei Elementen von Liste der Erweiterungen können spezielle Zeichen * und ? verwendet werden. Standardmäßig wird die Liste von ausführbaren Dateien und Archivdateien gespeichert. Zur Wiederherstellung der Default-Liste klicken Sie auf .

Sonstiges (ausgenommen den Enterprise Scanner)

Im Bereich Sonstiges werden zusätzliche Parameter des Scanners angegeben:

Das Häkchen bei Festplatte zur Erstellung der Swap-Datei verwenden schreibt vor, dass die Festplatte zur Erstellung der Swap-Datei verwendet wird, damit Mangel an Arbeitsspeicher, der vom Scanner bei Überprüfung der Daten von großem Volumen (große Archive usw.) verwendet wird, verhindert wird.

Das Häkchen bei Zugriffsdatum wiederherstellen schreibt vor, dass das Datum des letzten Zugriffs auf die Datei nach dem Scannen wiederhergestellt wird (durch das Datum vor Beginn des Scannens ersetzen).

Das Häkchen bei Einstellungen automatisch speichern schreibt vor, dass die Konfigurationseinstellungen des Scanners nach dem Beenden der laufenden Sitzung automatisch gespeichert werden.

In der Liste Scanpriorität wird die Priorität der Scanthreads festgelegt. Wählen Sie eine der Optionen:

ruhend - es ist nicht empfehlenswert, diese Prioritätsebene auszuwählen, damit der Betrieb des Scanners nicht verlangsamt und, dementsprechend, die Scandauer wesentlich erhöht wird,

niedrig,

niedriger als normal,

normal - empfohlene Scanpriorität,

höher als normal,

höchst,

zeitkritisch - es ist nicht empfehlenswert, diese Prioritätsebene auszuwählen, damit starke Belastung des Betriebssystems durch den Scanner während des Scannens vermieden wird.

Log

Im Bereich Log können Sie die Führung der Protokolldatei für den Scanner festlegen. Dafür setzen Sie ein Häkchen bei Protokoll in der Datei speichern und legen Sie erforderliche Parameter für Protokollführung fest.

Töne (beim Aufruf von Einstellungen über Verwaltungsmenü)

Im Bereich Töne können Sie die Wiedergabe der Audiodateien für Ereignisse bestimmter Typen konfigurieren. Dafür setzen Sie ein Häkchen bei Töne abspielen und legen Sie die Namen der Audiodateien in den Feldern, die den bestimmten Ereignissen entsprechen, fest.