scanactvm
Действия, выполняемые OfficeScan при сканировании, зависят от типа вируса или вредоносной программы, а также от типа сканирования. Например, при обнаружении «троянского коня» (тип вируса или вредоносной программы) во время сканирования вручную (тип сканирования), программа OfficeScan лечит зараженный файл (или выполняет действие).
Для получения информации о различных типах вирусов и вредоносных программ см. Вирусы и вредоносные программы.
Против вирусов и вредоносных программ программа OfficeScan может выполнять следующие действия.
|
Действие |
Описание |
|
Программа OfficeScan удаляет зараженный файл. |
|
|
Программа OfficeScan переименовывает, а затем перемещает зараженный файл во временную папку карантина на клиентском компьютере, которая находится в <папке установки клиента>\Suspect. После этого клиент OfficeScan отправляет помещенные в карантин файлы в указанную папку карантина. Для получения дополнительной информации см. Папка карантина. Папка карантина по умолчанию находится на сервере OfficeScan в папке <Папка установки сервера>\PCCSRV\Virus. Программа OfficeScan шифрует помещенные в карантин файлы, отправляемые в эту папку. Для восстановления каких-либо помещенных в карантин файлов используйте инструмент VSEncrypt. Для получения информации о пользовании этим инструментом см. Блок настройки сервера. |
|
|
OfficeScan лечит зараженный файл, прежде чем разрешить к нему полный доступ. Если файл невозможно вылечить, OfficeScan выполняет одно из приведенных ниже действий: поместить на карантин, удалить, переименовать, пропустить. Чтобы настроить второе действие, перейдите на вкладку Сетевые компьютеры > Управление клиентами > Параметры > {Тип сканирования} > Действие. Это действие можно выполнять над всеми типами злонамеренных кодов, кроме вероятных вирусов и вредоносных программ. |
|
|
OfficeScan изменяет расширение файла на «vir». Файл нельзя открыть, если не установлена его связь с определенным приложением. Вирус или вредоносная программа может запускаться при открытии переименованного зараженного файла. |
|
|
Программа OfficeScan может использовать это действие при сканировании только в случае обнаружения какого-либо типа вируса во время сканирования вручную, по расписанию или по требованию. Программа OfficeScan не может использовать это действие во время сканирования в режиме реального времени, поскольку невыполнение никакого действия при обнаружении попытки открыть или запустить зараженный файл может позволить запуститься вирусу или вредоносной программе. Все остальные действия могут использоваться во время сканирования в режиме реального времени. |
|
|
Это действие можно выполнять только во время сканирования в реальном времени. При попытке открытия или выполнения зараженного файла OfficeScan сразу же блокирует это действие. Пользователи могут вручную удалить зараженный файл. |
Различные типы вирусов и вредоносных программ требуют использования различных действий при сканировании. Настройка действий при сканировании может оказаться сложной задачей, и для ее выполнения необходимо обладать знаниями о вирусах и вредоносных программах. Для решения этих проблем программа OfficeScan использует ActiveAction.
ActiveAction — это набор предварительно настроенных действий при сканировании на наличие вирусов и вредоносных программ. Компания Trend Micro рекомендует использовать функцию ActiveAction, если пользователь не обладает достаточными знаниями о действиях при сканировании или не может принять решение о том, какое действие подходит для конкретного типа вирусов или вредоносных программ.
Преимущества использования функции ActiveAction:
Функция ActiveAction использует действия при сканировании, которые рекомендует Trend Micro. Пользователь освобождается от необходимости самостоятельной настройки действий при сканировании.
Создатели вирусов постоянно меняют методы, с помощью которых вирусы и вредоносные программы атакуют компьютеры. Параметры ActiveAction обновляются для обеспечения защиты от новейших угроз и методов атак вирусов и вредоносных программ.
Функция ActiveAction недоступна при сканировании на наличие шпионских и нежелательных программ.
В следующей таблице указаны действия, которые функция ActiveAction применяет к каждому типу вирусов или вредоносных программ:
|
Рекомендуемые компанией Trend Micro действия против |
|
Тип вируса |
Сканирование в режиме реального времени |
Сканирование вручную/Сканирование по расписанию /Сканирование по требованию |
||
|
|
Первое действие |
Второе действие |
Первое действие |
Второе действие |
|
Программа-шутка |
Поместить на карантин |
Удалить |
Поместить на карантин |
Удалить |
|
Программа «троянский конь» |
Поместить на карантин |
Удалить |
Поместить на карантин |
Удалить |
|
Вирус |
Лечить |
Поместить на карантин |
Лечить |
Поместить на карантин |
|
Тестовый вирус |
Запретить доступ |
----- |
Пропустить |
----- |
|
Упаковщик |
Поместить на карантин |
----- |
Поместить на карантин |
----- |
|
Другие |
Лечить |
Поместить на карантин |
Лечить |
Поместить на карантин |
|
Вероятный вирус или вредоносная программа |
Запрет доступа или |
----- |
Пропуск или настроенное |
----- |
В отношении вероятных вирусов и вредоносных программ действием по умолчанию является «Запретить доступ» во время сканирования в режиме реального времени и «Пропустить» во время сканирования вручную, сканирования по расписанию и сканирования по требованию. Если эти действия не являются предпочитаемыми, их можно заменить на карантин, удаление или переименование.
Выберите этот параметр, если необходимо выполнять одно и то же действие для всех типов вирусов и вредоносных программ, за исключением вероятных вирусов и вредоносных программ. Если в качестве первого действия выбрано «Лечить», то выберите второе действие, выполняемое программой OfficeScan в том случае, если лечение было неуспешным. Если в качестве первого действия выбрано не «Лечить», второе действие настроить нельзя.
Если в качестве первого действия выбрано «Лечить», программа OfficeScan выполняет второе действие при обнаружении вероятного вируса или вредоносной программы.
Вручную выберите действие при сканировании, выполняемое для каждого типа вирусов или вредоносных программ.
Для всех типов вирусов и вредоносных программ, кроме вероятных вирусов и вредоносных программ, доступны все действия при сканировании. Если в качестве первого действия выбрано «Лечить», то выберите второе действие, выполняемое программой OfficeScan в том случае, если лечение было неуспешным. Если в качестве первого действия выбрано не «Лечить», второе действие настроить нельзя.
Для вероятных вирусов и вредоносных программ доступны все действия при сканировании, за исключением «Лечить».
Если для зараженного файла выбрано действие «Поместить на карантин», клиент OfficeScan шифрует файл и перемещает его во временную папку карантина, находящуюся в <папке установки сервера>\SUSPECT, а затем отправляет файл в указанную папку карантина.
В дальнейшем при необходимости получения доступа к зашифрованным файлам, помещенным в карантин, их можно восстанавливать. Для получения дополнительной информации см. Восстановление зашифрованных файлов.
Примите папку карантина по умолчанию, которая находится на компьютере-сервере OfficeScan. Эта папка хранится в формате URL и содержит имя узла или IP-адрес сервера.
Если сервер управляет как клиентами, использующими адреса IPv4, так и клиентами, использующими адреса IPv6, следует использовать имя узла, чтобы все клиенты могли отправлять на сервер помещенные в карантин файлы.
Если у сервера есть только адрес IPv4 или он идентифицирован адресом IPv4, то отправлять помещенные в карантин файлы на такой сервер могут только клиенты, использующие исключительно адреса IPv4, и клиенты, использующие два стека.
Если у сервера есть только адрес IPv6 или он идентифицирован адресом IPv6, то отправлять помещенные в карантин файлы на такой сервер могут только клиенты, использующие исключительно адреса IPv6, и клиенты, использующие два стека.
Также можно указать альтернативную папку карантина, введя ее расположение в формате URL-адреса, пути UNC или полного пути к файлу. Клиенты должны быть способны подключаться к такой альтернативной папке. Например, альтернативная папка должна иметь адрес IPv6, если она будет получать помещенные в карантин файлы от клиентов, использующих два стека или исключительно адреса IPv6. Trend Micro рекомендует назначать альтернативную папку, использующую два стека, идентифицировать ее именем узла и использовать путь UNC при указании папки.
В следующей таблице приведены инструкции по использованию URL-адреса, пути UNC и полного пути к файлу.
|
Папка карантина |
|
Папка карантина |
Принятый формат |
Пример |
Примечания |
|
Папка на компьютере-сервере OfficeScan |
URL |
http:// |
Это папка по умолчанию. Настройте параметры для этой папки, например размер папки карантина. Для получения дополнительной информации см. Диспетчер карантина. |
|
Путь UNC |
\\<osceserver>\ |
||
|
Папка на другом компьютере-сервере OfficeScan (при наличии в сети других серверов OfficeScan) |
URL
|
http://
|
Убедитесь, что клиенты могут подключаться к этой папке. В случае указания неправильной папки клиент OfficeScan удерживает помещенные в карантин файлы в папке SUSPECT до указания правильной папки карантина. В журналах вирусов и вредоносных программ, хранимых на сервере, записывается результат сканирования «Невозможно отправить файл в указанную папку карантина». При использовании пути UNC убедитесь, что доступ к папке карантина открыт для группы «Все», и что этой группе присвоены права на чтение и запись. |
|
Путь UNC |
\\<osceserver2>\ |
||
|
Другой компьютер в сети |
Путь UNC |
\\<имя_ |
|
|
Другая папка на клиентском компьютере |
Полный путь |
C:\temp |
Если программа OfficeScan настроена на лечение зараженного файла, сначала может создаваться резервная копия такого файла. Это позволит восстановить файл, если он понадобится в будущем. Программа OfficeScan шифрует файл резервной копии с целью предотвращения его открытия, а затем сохраняет его в <папку установки клиента>\Backup.
Для получения информации о восстановлении зашифрованных файлов резервной копии см. Восстановление зашифрованных файлов.
Службы Damage Cleanup Services очищают компьютеры от файловых и сетевых вирусов, а также от остатков вирусов и червей (троянских программ, записей в реестре, вирусных файлов).
Клиент запускает службы Damage Cleanup Services до или после сканирования на наличие вирусов и вредоносных программ, в зависимости от типа сканирования.
Во время выполнения сканирования вручную, сканирования по расписанию или сканирования по требованию клиент сначала запускает службы Damage Cleanup Services, а затем приступает к сканированию на наличие вирусов и вредоносных программ. Во время сканирования на наличие вирусов и вредоносных программ клиент может снова запустить службы Damage Cleanup Services, если требуется лечение.
Во время сканирования в режиме реального времени клиент сначала выполняет сканирование на наличие вирусов и вредоносных программ, а затем запускает службы Damage Cleanup Services, если требуется лечение.
Можно выбрать тип лечения, который будут применять службы Damage Cleanup Services.
Стандартное лечение. В процессе стандартного лечения клиент выполняет следующие действия:
находит и удаляет существующие троянские программы;
удаляет процессы, созданные троянскими программами;
восстанавливает системные файлы, которые были изменены троянскими программами;
удаляет файлы и приложения, загруженные троянскими программами.
Расширенное лечение. Помимо действий, выполняемых при стандартном лечении, клиент также останавливает деятельность поддельных программ безопасности, также известных как FakeAV. Кроме того, клиент использует правила расширенного лечения, чтобы заблаговременно обнаруживать и останавливать приложения, которые проявляют признаки поведения FakeAV.
Обеспечивая упреждающую защиту, расширенное лечение также приводит к возникновению большого количества ложных тревог.
Службы Damage Cleanup Services не выполняют лечение вероятных вирусов и вредоносных программ, если не выбран параметр Запускать лечение при обнаружении вероятного вируса или вредоносной программы. Этот параметр может быть выбран, только если в качестве действия в отношении вероятных вирусов и вредоносных программ не выбран пропуск или запрет доступа. Например, если клиент во время сканирования в режиме реального времени обнаруживает вероятный вирус или вредоносную программу и выбранным действием является помещение в карантин, то клиент сначала помещает зараженный файл в карантин, а затем при необходимости запускает лечение. Тип лечения (стандартное или расширенное) зависит от выбора пользователя.
Если во время сканирования в режиме реального времени или сканирования по расписанию программа OfficeScan обнаруживает вирус или вредоносную программу, то на экране может отображаться уведомление, информирующее пользователя о факте такого обнаружения.
Для изменения отображаемого уведомления перейдите на вкладку Уведомления > Уведомления пользователя клиента > Вирусы/вредоносные программы.
Если во время сканирования в режиме реального времени или сканирования по расписанию программа OfficeScan обнаруживает вероятный вирус или вредоносную программу, то на экране может отображаться уведомление, информирующее пользователя о факте такого обнаружения.
Для изменения отображаемого уведомления перейдите на вкладку Уведомления > Уведомления пользователя клиента > Вирусы/вредоносные программы.
См. также: