5. Отложенное удаление файла

Отложенное удаление файла применяется автоматически сканером для удаления известных вредоносных программ. Отложенное удаление позволяет удалять файлы запущенных приложений, загруженных DLL или файлы, открытые с монопольным доступом.

AVZ выполняет отложенное удаление в два этапа:

1. Делается попытка удаления файла обычным способом. Если эта попытка успешна и файл удаляется, то отложенное удаление не применяется

2. Если удаление файла на шаге 1 было неуспешным, то файл регистрируется для отложенного удаления.

Имя файла можно ввести вручную, скопировать через буфер обмена или выбрать в диалоговом окне, которое вызывается при нажатии кнопки в правой части поля для ввода имени файла. В случае нажатия кнопки "ОК" выводится диалоговое окно с настройками параметров удаления файла.

Поддерживаются два режима удаления:

1. Обычное удаление указанного файла (производится при выборе опции "Удаление файлов"). Этот режим не рекомендуется применять

2. Удаление файла и эвристическая чистка ссылок на файл в системе. В этом режиме кроме удаления файла производится автоматическая зачистка автозапуска и ряда ключей реестра, в которых мог быть зарегистрирован удаляемый файл (Winlogon, регистрация CLSID, расширения Internet Explorer и проводника и т.п.). Подобная очистка производится автоматически и делает удаление более корректным.

Меню «Сервис»: диспетчеры и менеджеры avz

В меню Сервис расположено большинство инструментов, составляющих AVZ как антивирусный пакет. Функционально они позволяют либо просто просматривать те или иные точки системы, либо также и управлять ими. В основном все встроенные инструменты имеют сходный интерфейс, который мы и опишем в этом разделе.

1. Общие характеристики диспетчеров и менеджеров avz

Все встроенные утилиты подключены к базе безопасных объектов AVZ. Опознанные по ней файлы выделяются в списках компонентов зеленым цветом, неизвестные файлы – черным цветом. Ряд диспетчеров подключен также к антируткиту и AVZPM; маскируемые или скрытые файлы выделяются в них красным цветом.

Большинство менеджеров позволяют производить какие-либо действия с объектами. Некоторые из них функционала управления не содержат, либо он ограничен; эти утилиты обеспечивают преимущественно просмотр определенной точки системы.

Фактически любой менеджер содержит следующие кнопки:

- «Обновить». Менеджеры отображают состояние системы на момент их вызова и не производят динамического обновления списков объектов (кроме случаев удаления объектов, завершения процессов и подобных действий непосредственно из самого менеджера). В связи с этим для обновления списка может применяться эта кнопка.

или - «Удалить» или «Завершить процесс». В большинстве менеджеров присутствует эта кнопка; она позволяет либо удалить из системы выделенный объект в списке, либо – в Диспетчере процессов – завершить работающий процесс.

- «Сохранить». Кнопка выводит данные менеджера в удобный для чтения HTML-протокол.

- «Копировать в карантин» и «Копировать в карантин все файлы, не опознанные как безопасные». Внешне кнопки одинаковы; обращайтесь к всплывающей подсказке, а также помните, что «Копировать в карантин» стоит в ряду первой. «Копировать в карантин» помещает копию выделенного в списке файла в папку Quarantine (принципы работы карантина см. выше). Внутренние настройки AVZ запрещают карантин файлов, опознанных как безопасные, поэтому при выделении «зеленого» элемента списка кнопка становится неактивна. Кнопка «Копировать в карантин все файлы, не опознанные как безопасные» осуществляет ту же операцию для всех «черных» элементов списка (т.е. не распознанных по базе безопасных).

- «Включить элемент» и «Выключить элемент». Еще одна неразлучная пара кнопок, но, в отличие от двух предыдущих, они взаимно исключают друг друга и не могут быть активны одновременно. «Выключение» элемента делает неактивной его прописку в реестре, предотвращая его последующий запуск; впоследствии при желании элемент можно «включить» вновь. Описанная выше кнопка «Удалить», напротив, уничтожает запись в реестре без возможности восстановления.

- «Снять дамп». Специфичная кнопка, характерная для некоторых менеджеров. C ее помощью можно произвести дампирование выделенного объекта, т.е. сохранить содержимое загруженного в оперативную память модуля на диск в виде файла.

- «Восстановить значение по умолчанию». Функция менеджера автозапуска. Эта кнопка доступна для системных ключей реестра, которые запрещены к удалению внутренними настройками AVZ в силу их необходимости для нормального функционирования системы. Тем не менее, malware может записывать себя в эти ключи для скрытого запуска; в таких случаях в процессе уничтожения следов вредоносного ПО вместо удаления инфицированного ключа применяется восстановление его исходного значения с помощью этой кнопки.