home *** CD-ROM | disk | FTP | other *** search
/ High Voltage Shareware / high1.zip / high1 / DIR31 / TBAV611.ZIP / TBAV.DOC < prev    next >
Text File  |  1994-03-01  |  316KB  |  7,801 lines

  1.  
  2.  
  3.      SECTION 0. INTRODUCTION
  4.           1. How to use the manual . . . . . . . . . . . . . . . . .     0 - 1
  5.           2. Overview of the TBAV utilities  . . . . . . . . . . . .     0 - 1
  6.  
  7.      SECTION I. INSTALLING TBAV
  8.           1. How to install TBAV   . . . . . . . . . . . . . . . . .     I - 1
  9.                1.1 Initial installation  . . . . . . . . . . . . . .     I - 1
  10.                1.2 Windows . . . . . . . . . . . . . . . . . . . . .     I - 4
  11.           2. Configuration . . . . . . . . . . . . . . . . . . . . .     I - 6
  12.           3. TbSetup . . . . . . . . . . . . . . . . . . . . . . . .     I - 8
  13.                3.1. The Purpose of TbSetup . . . . . . . . . . . . .     I - 8
  14.                3.2. How to use TbSetup . . . . . . . . . . . . . . .     I - 8
  15.                3.3. Command line options . . . . . . . . . . . . . .    I - 13
  16.                3.4. While executing  . . . . . . . . . . . . . . . .    I - 15
  17.           4. TbDriver  . . . . . . . . . . . . . . . . . . . . . . .    I - 18
  18.                4.1. Purpose of TbDriver  . . . . . . . . . . . . . .    I - 18
  19.                4.2. Command line options . . . . . . . . . . . . . .    I - 18
  20.                4.3. Language support . . . . . . . . . . . . . . . .    I - 20
  21.           5. System maintenance  . . . . . . . . . . . . . . . . . .    I - 22
  22.           6. Network maintenance . . . . . . . . . . . . . . . . . .    I - 24
  23.                6.1. Using DOS REPLACE  . . . . . . . . . . . . . . .    I - 24
  24.                6.2. Using PkUnZip  . . . . . . . . . . . . . . . . .    I - 24
  25.  
  26.      SECTION II. ANTI-VIRUS STRATEGY
  27.           1. Protection against viruses  . . . . . . . . . . . . . .    II - 1
  28.                1.1. Introduction . . . . . . . . . . . . . . . . . .    II - 1
  29.                1.2. Basic precautions  . . . . . . . . . . . . . . .    II - 1
  30.           2. What to do when a virus strikes . . . . . . . . . . . .    II - 6
  31.                2.1. Detection of viruses . . . . . . . . . . . . . .    II - 6
  32.                2.2. Recovering from viruses  . . . . . . . . . . . .    II - 7
  33.  
  34.      SECTION III. USING THE TBAV UTILITIES
  35.           1. TbScan  . . . . . . . . . . . . . . . . . . . . . . .     III - 1
  36.                1.1. The Purpose of TbScan  . . . . . . . . . . . .     III - 1
  37.                1.2. How to use Tbscan  . . . . . . . . . . . . . .     III - 2
  38.                1.3. Command line options . . . . . . . . . . . . .    III - 11
  39.                1.4. The scanning process . . . . . . . . . . . . .    III - 17
  40.           2. TbScanX . . . . . . . . . . . . . . . . . . . . . . .    III - 22
  41.                2.1. The Purpose of TbScanX . . . . . . . . . . . .    III - 22
  42.                2.2. How to use TbScanX . . . . . . . . . . . . . .    III - 22
  43.                2.3. Command line options . . . . . . . . . . . . .    III - 23
  44.                2.4. While scanning . . . . . . . . . . . . . . . .    III - 26
  45.           3. TbCheck . . . . . . . . . . . . . . . . . . . . . . .    III - 27
  46.                3.1. The Purpose of TbCheck . . . . . . . . . . . .    III - 27
  47.                3.2. How to use TbCheck . . . . . . . . . . . . . .    III - 27
  48.                3.3. Command line options . . . . . . . . . . . . .    III - 28
  49.                3.4. While checking . . . . . . . . . . . . . . . .    III - 30
  50.                3.5. Testing TbCheck  . . . . . . . . . . . . . . .    III - 30
  51.           4. TbClean . . . . . . . . . . . . . . . . . . . . . . .    III - 32
  52.                4.1. The Purpose of TbClean . . . . . . . . . . . .    III - 32
  53.                4.2. How to use TbClean . . . . . . . . . . . . . .    III - 33
  54.                4.3. Command line options . . . . . . . . . . . . .    III - 35
  55.                4.4. The cleaning process . . . . . . . . . . . . .    III - 36
  56. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                  CONTENTS
  57.  
  58.  
  59.           5. Ongoing virus prevention: TbMon . . . . . . . . . . .    III - 40
  60.                5.1. TbMem  . . . . . . . . . . . . . . . . . . . .    III - 42
  61.                5.2. TbFile . . . . . . . . . . . . . . . . . . . .    III - 45
  62.                5.3. TbDisk . . . . . . . . . . . . . . . . . . . .    III - 48
  63.           6. TBAV Tools  . . . . . . . . . . . . . . . . . . . . .    III - 53
  64.                6.1. TbUtil . . . . . . . . . . . . . . . . . . . .    III - 53
  65.                6.2. TbLog  . . . . . . . . . . . . . . . . . . . .    III - 61
  66.  
  67.      SECTION IV. ADVANCED USER INFORMATION
  68.           1. Memory requirements . . . . . . . . . . . . . . . . . .    IV - 1
  69.           2. TbSetup . . . . . . . . . . . . . . . . . . . . . . . .    IV - 3
  70.                2.1. Anti-Vir.Dat design considerations . . . . . . .    IV - 3
  71.                2.2. Format of TbSetup.Dat  . . . . . . . . . . . . .    IV - 3
  72.                2.3. TBAV site installation . . . . . . . . . . . . .    IV - 5
  73.           3. TbScan  . . . . . . . . . . . . . . . . . . . . . . . .    IV - 7
  74.                3.1. Heuristic scanning . . . . . . . . . . . . . . .    IV - 7
  75.                3.2. Integrity checking . . . . . . . . . . . . . . .    IV - 8
  76.                3.3. Program validation . . . . . . . . . . . . . . .    IV - 9
  77.                3.4. The algorithms . . . . . . . . . . . . . . . . .    IV - 9
  78.                3.5. The TbScan.Lng file  . . . . . . . . . . . . .     IV - 10
  79.                3.6. The TBAV.MSG file  . . . . . . . . . . . . . .     IV - 11
  80.           4. TbClean . . . . . . . . . . . . . . . . . . . . . . .     IV - 12
  81.           5. TbGensig  . . . . . . . . . . . . . . . . . . . . . .     IV - 15
  82.                5.1 The Purpose of TbGenSig . . . . . . . . . . . .     IV - 15
  83.                5.2 Defining signatures . . . . . . . . . . . . . .     IV - 15
  84.                5.3 Keywords  . . . . . . . . . . . . . . . . . . .     IV - 18
  85.                5.4 Wildcards . . . . . . . . . . . . . . . . . . .     IV - 21
  86.  
  87.      Appendix A. TBAV messages
  88.  
  89.      Appendix B. TbScan - Heuristic flag descriptions
  90.  
  91.      Appendix C. Solving incompatibility problems
  92.  
  93.      Appendix D. Batch file handling
  94.  
  95.      Appendix E. Virus naming
  96. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION 0
  97.  
  98.  
  99. SECTION 0. INTRODUCTION
  100.  
  101.  
  102. 1. How to use the manual
  103.  
  104.      Congratulations! By purchasing the ThunderBYTE Anti-Virus utilities you
  105.      have taken the basic step in building a massive anti-viral safety wall
  106.      around your precious computer system. Setting up the appropriate defen-
  107.      se, using the TBAV utilities, is a 'personal matter'. Therefore, we
  108.      highly recommend to read this manual thoroughly, so you are well aware
  109.      of all different kinds of security measures you may take. 
  110.  
  111.      This manual consists of four main sections. Section I instructs you how
  112.      to install the TBAV utilities on your hard disk(s), including some
  113.      useful hints on customized initialization. Section II gives an instruc-
  114.      tion on how to prevent viruses from infecting your computer system(s)
  115.      and directions on how to handle when you actually have been struck by a
  116.      computer virus.
  117.  
  118.      In section III, both purpose and functionality of all TBAV utilities are
  119.      described. For those who want to know more about the subject, some
  120.      'advanced user information' on the ThunderBYTE Anti-Virus utilities is
  121.      presented in section IV. 
  122.  
  123.      You may use the TBAV manual as a reference manual, via an extensive
  124.      index and appendices referring to the TBAV error messages. 
  125.  
  126. =>   Note that a complete reading of the manual is indispensible in order to
  127.      become familiar with the many facets of ThunderBYTE Anti-Virus, to know
  128.      what steps can - and must - be taken to ensure adequate protection and
  129.      to be fully prepared for a complete recovery, if and when disaster
  130.      strikes. 
  131.  
  132.  
  133. 2. Overview of the TBAV utilities
  134.  
  135.      What is ThunderBYTE Anti-Virus?
  136.  
  137.      ThunderBYTE Anti-Virus (TBAV) is a comprehensive toolkit designed to
  138.      protect against - and recover from - computer viruses. While TBAV
  139.      focuses heavily on numerous ways to prevent a virus infection, the
  140.      package would not be complete without various cleaner programs to purge
  141.      a system, in the unlikely event that a virus manages to slip through.
  142.      The package therefore consists of a number of programs each of which
  143.      help you to prevent viruses to do their destructive jobs. Here is a
  144.      quick overview. 
  145.  
  146.  
  147.      Collecting software information: TbSetup
  148.  
  149.      TbSetup is a program that collects information from all software found
  150.      on your system. The information will be put in files named Anti-Vir.Dat.
  151.  
  152.                                        0 - 1
  153. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION 0
  154.  
  155.  
  156.      The information maintained in these files can be used for integrity
  157.      checking, program validation, and to clean infected files.
  158.  
  159.  
  160.      Enable memory resident TBAV utilities: TbDriver
  161.  
  162. ~    TbDriver does not provide much protection against viruses by itself, but
  163.      must be loaded in advance to enable the memory resident ThunderBYTE
  164.      Anti-Virus utilities, such as TbScanX, TbCheck, TbMem, TbFile and TbDisk
  165.      to perform properly. It also provides basic protection against ANSI
  166.      bombs and 'stealth' viruses.
  167.  
  168.  
  169.      Scanning for viruses: TbScan
  170.  
  171.      TbScan is both a very fast signature scanner and a so-called heuristic
  172.      scanner. Besides its blazing speed it has many configuration options. It
  173.      can detect mutants of viruses, it can bypass stealth type viruses, etc.
  174.      The signature file used by TbScan is a coded 'TbScan.Sig' file, which
  175.      can be updated by yourself in case of emergency.  TbScan is able to
  176.      disassemble files. This makes it possible to detect suspicious instruc-
  177.      tion sequences and to detect yet unknown viruses. This generic detecti-
  178.      on, named heuristic analysis, is a technique that makes it possible to
  179.      detect about 90% of all viruses by searching for suspicious instruction
  180.      se-quences rather than using any signature. For that purpose TbScan
  181.      contains a real disassembler and code analyzer.
  182.  
  183.      Another feature of TbScan is the integrity checking it performs when it
  184.      finds the Anti-Vir.Dat files generated by TbSetup. 'Integrity checking'
  185.      means that TbScan will check that every file being scanned matches the
  186.      information maintained in the Anti-Vir.Dat files. If a virus infects a
  187.      file, the maintained information will not match the now changed file
  188.      anymore, and TbScan will inform you about this. 
  189.  
  190.      TbScan performs an integrity check automatically, and it does not have
  191.      the false alarm rate other integrity checkers have. The goal is to
  192.      detect viruses and not to detect configuration changes!
  193.  
  194.  
  195.      Automatic scanning: TbScanX
  196.  
  197.      TbScanX is the memory resident version of TbScan. This signature scanner
  198.      remains resident in memory and automatically scans those files which are
  199.      being executed, copied, de-archived, downloaded, etc. TbScanX does not
  200.      require much memory. It can swap itself into expanded, XMS, or high
  201.      memory, using only 1Kb of conventional memory.
  202.  
  203.  
  204.      Check while loading: TbCheck
  205.  
  206.      TbCheck is a memory resident integrity checker. This program remains
  207.      resident in memory and checks automatically every file just before it is
  208.  
  209.                                        0 - 2
  210. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION 0
  211.  
  212.  
  213.      being executed. TbCheck uses a fast integrity checking method, consuming
  214.      only 400 bytes of memory. It can be configured to reject files with
  215.      incorrect checksums, and/or to reject files that do not have a corres-
  216.      ponding Anti-Vir.Dat record.
  217.  
  218.  
  219.      Restoring infected boot-sector, CMOS and partition tables: TbUtil
  220.  
  221.      Some viruses copy themselves into the hard disk's partition table, which
  222.      makes them far more difficult to remove than bootsector viruses. Perfor-
  223.      ming a low-level format is an effective, but rather drastic measure.
  224.      TbUtil offers a more convenient alternative by making a precautionary
  225.      back-up of uninfected partition tables and the boot sector. If an
  226.      infection occurs, the TbUtil back-up can be used as a verifying tool and
  227.      as a means to restore the original (uninfected) partition table and
  228.      bootsector without the need for a destructive disk format. The program
  229.      can also restore the CMOS configuration for you. If a back-up of your
  230.      partition table is not available, TbUtil will try to create a new
  231.      partition table anyway, again avoiding the need for a low-level format. 
  232.  
  233.      Another important feature of TbUtil is the option to replace the parti-
  234.      tion table code with new code offering greater resistance to viruses.
  235.      The TbUtil partition code is executed before the boot sector gains
  236.      control, enabling it to check this sector in a clean environment. The
  237.      TbUtil partition code performs a CRC calculation on the master boot
  238.      sector just before the boot sector code is activated and issues a
  239.      warning if the boot sector has been modified. The TbUtil partition code
  240.      also checks and reports changes in the RAM lay-out. These checks are
  241.      carried out whenever the computer is booted from the hard disk.
  242.  
  243.      It should be noted that boot sector verification is imperative before
  244.      allowing the boot sector code to execute. A virus could easily become
  245.      resident in memory during boot-up and hide its presence. TbUtil offers
  246.      total security at this stage by being active before the boot sector is
  247.      executed. Obviously, TbUtil is far more convenient than the traditional
  248.      strategy of booting from a clean DOS diskette for an undisturbed inspec-
  249.      tion of the boot sector.
  250.  
  251.  
  252.      Reconstructing infected files: TbClean
  253.  
  254.      TbClean is a generic file cleaning utility. It uses the Anti-Vir.Dat
  255.      files generated by TbSetup to enhance file cleaning and/or to verify the
  256.      results. TbClean can however also work without these files. It disassem-
  257.      bles and emulates the infected file and uses this analysis to recon-
  258.      struct the original file.
  259.  
  260.  
  261.      Resident safeguard: TbMon
  262.  
  263.      TbMon is a set of memory resident anti-virus utilities, consisting of
  264.      TbMem, TbFile and TbDisk. Most other resident anti-virus products offer
  265.  
  266.                                        0 - 3
  267. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION 0
  268.  
  269.  
  270.      you the choice to invoke them before the network is loaded and losing
  271.      the protection after the logon procedure, or to load the anti-viral
  272.      software AFTER the logon to the network, resulting in a partially
  273.      unprotected system. The ThunderBYTE Anti-Virus utilities however recog-
  274.      nize the network software and take appropriate actions to ensure their
  275.      functionality.
  276.  
  277.  
  278.      Controlling memory: TbMem
  279.  
  280. ~    TbMem detects attempts from programs to remain resident in memory, and
  281.      ensures that no program can remain resident in memory without permis-
  282.      sion. Since most viruses remain resident in memory, this is a powerful
  283.      weapon against all such viruses, known or unknown. Permission informa-
  284.      tion is maintained in the Anti-Vir.Dat files. TbMem also protects your
  285.      CMOS memory against unwanted modifications.
  286.  
  287.  
  288.      Preventing infection: TbFile
  289.  
  290.      TbFile detects attempts from programs to infect other programs. It also
  291.      guards read-only attributes, detects illegal time-stamps, etc. It will
  292.      make sure that no virus succeeds in infecting programs.
  293.  
  294.  
  295.      Protecting the disk: TbDisk
  296.  
  297.      TbDisk is a disk guard program which detects attempts from programs to
  298.      write directly to disk (without using DOS), attempts to format, etc.,
  299.      and makes sure that no malicious program will succeed in destroying your
  300.      data. This utility also traps tunneling and direct calls into the BIOS
  301.      code. Permission information about the rare programs that write directly
  302.      and/or format the disk is maintained in the Anti-Vir.Dat files.
  303.  
  304.  
  305.      Define your own signatures (in case of an emergency): TbGensig
  306.  
  307.      Since TBAV is distributed with an up-to-date, ready-to-use signature
  308.      file, you do not really need to maintain a signature file yourself. If,
  309.      however, you want to define your own virus signatures, you will need the
  310.      TbGensig utility. You can use either published signatures or define your
  311.      own ones if you are familiar with the structure of software.
  312.  
  313.  
  314.      Remove infected files: TbDel
  315.  
  316.      The DOS 'DEL' command does not actually erase a file. It simply changes
  317.      the first filename character in the directory listing and frees up the
  318.      space by changing the disk's internal location tables. TbDel is a small
  319.      program with just one but important purpose: it replaces every single
  320.      byte in a file with zero characters before deleting it. The entire
  321.      contents are therefore obliterated and totally unrecoverable.
  322.  
  323.                                        0 - 4
  324. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  325.  
  326.  
  327. SECTION I. INSTALLING TBAV
  328.  
  329.  
  330. 1. How to install TBAV 
  331.  
  332.  
  333.      System requirements
  334.  
  335.      The ThunderBYTE Anti-Virus utilities can be executed on any IBM or
  336.      compatible PC with at least 1 Mb disk space. The TBAV utilities need 256
  337.      Kb free internal memory and require DOS 3. However, DOS 5 or a later
  338.      version is recommended. The TBAV utilities are compatible with networks,
  339.      Windows, DR-DOS, etc. 
  340.  
  341.  
  342. 1.1 Initial installation
  343.  
  344.      You can install the TBAV utilities either by using the installation
  345.      procedure (which is explained below) or by a fully customized TBAV
  346.      installation (which is explained in sections  I - 3 and II).
  347.  
  348.      Insert the TBAV installation diskette in the diskette drive.
  349.  
  350.      Type:
  351.           A: or B:
  352.  
  353.      Type:
  354.           install C:\TBAV <Enter>
  355.  
  356.  
  357.           +---------------------------------------+
  358.           |    F1  First time installation        |
  359.           |    F2  Update installation            |
  360.           |    F3  About....                      |
  361.           |    F4  Exit....                       |
  362.           +---------------------------------------+
  363.  
  364.      Since this is the first time you install the TBAV package you choose the
  365.      first option by pressing <Enter> or <F1>.
  366.  
  367.  
  368.      ----- [ Please select Drive to install TBAV to: ]-----           
  369.          You need at least 1024 KB of available space to install TBAV !
  370.  
  371.                C:     3581952 
  372.                D:    21291008
  373.  
  374.  
  375.      Toggle to the disk on which the TBAV utilities must be installed. TBAV
  376.      Install displays the amount of free disk space of each available disk.
  377.  
  378.  
  379.  
  380.                                        I - 1
  381. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  382.  
  383.  
  384.      Next, TBAV Install will prompt you for the TBAV directory. The default
  385.      directory is \TBAV:
  386.  
  387.  
  388.      -----[ Please select Directory to install TBAV to: ]-----
  389.           [C:\TBAV                                      ] 
  390.  
  391.  
  392.      If the specified directory does not exist, the installation pro-gram
  393.      will create it. Subsequently, the TBAV files are copied onto your hard
  394.      disk.
  395.  
  396.      +-----------------------------------------------------------+
  397.      |    The documentation for TBAV is compressed into a file.  |
  398.      |    The documentation-file will now be self-extracted.     |
  399.      |    Press any key when ready....                           |
  400.      |                                                           |
  401.      |                                                           |
  402.      |         Inflating: c:/tbav/TBSCAN.DOC    -AV              |
  403.      |         Inflating: c:/tbav/TBSCANX.DOC   -AV              |
  404.      |         Inflating: c:/tbav/TBCLEAN.DOC   -AV              |
  405.      +-----------------------------------------------------------+
  406.  
  407.      The packed text files are copied onto your hard disk and inflated. After
  408.      copying all files, TbSetup is loaded, which will generate or update the
  409.      Anti-Vir.Dat file of the TBAV directory.
  410.  
  411.  
  412.      +-----------------------------------------------------------+
  413.      |    TbSetup will now generate or update the Anti-Vir.Dat   |
  414.      |         file of the directory C:\TBAV                     |
  415.      |              Press any key when ready...                  |
  416.      +-----------------------------------------------------------+
  417.  
  418.      The ThunderBYTE Anti-Virus utilities are copied to the destination
  419.      directory. The installation program helps you to setup the utilities in
  420.      their most standard and non-customized way. After reading the manual
  421.      thoroughly, you can configure the package to suit your own personal
  422.      needs.
  423.  
  424.      +-----------------------------------------------------------+
  425.      | This installation program helps you to setup the utilities|
  426.      |         in their most standard and non-customized way.    |
  427.      |              Do you want to continue ? (Y/N)              |
  428.      +-----------------------------------------------------------+
  429.  
  430.      If 'No', TBAV Install will not prompt you for placing the memory resi-
  431.      dent TBAV utilities in the autoexec.bat file, nor for creating the Anti-
  432.      Vir.Dat files. If yes, TBAV Install backs up your original Autoexec.Bat
  433.      file and appends a call to the tbstart.bat file. For easy access of the
  434.      TBAV utilities it is recomended to put them into your PATH environment
  435.      variable. Your Autoexec.Bat file now looks like this:
  436.  
  437.                                        I - 2
  438. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  439.  
  440.  
  441.           @ECHO OFF
  442.           PATH C:\TBAV
  443.  
  444.           call C:\TBAV\tbstart.bat
  445.  
  446.      Subsequently, TbSetup will process the indicated drive to generate the
  447.      Anti-Vir.Dat files. You may need to repeat this process for other
  448.      drives. Consult the relevant section for more information!
  449.  
  450.  
  451.      The TBAV package contains some utilities that can be instal-
  452.      led in the memory of your PC. For each of these utilities you can
  453.      indicate whether the installation program must add them to the
  454.      Tbstart.bat file:
  455.  
  456.           TBSCANX is a memory resident virus scanner.
  457.                     Do you want to install it ? (Y/N)
  458.  
  459.           TBCHECK is a memory resident integrity checker.
  460.                Do you want to install it ? (Y/N)
  461.  
  462.           TBMEM is a resident memory guard.
  463.                Do you want to install it ? (Y/N
  464.  
  465.           TBFILE is a resident file guard.
  466.                Do you want to install it ? (Y/N)
  467.  
  468.  
  469.      If you answer the subsequent question with Yes, TBAV will scan your
  470.      system for viruses automatically once every day:
  471.  
  472.           Do you want the system to be scanned automatically
  473.                for viruses every day ? (Y/N)
  474.  
  475.  
  476.      The installation program will write the indicated configuration values
  477.      in the 'tbstart.bat' file, which is located in the Thunder-BYTE directo-
  478.      ry you specified before, eg.:
  479.  
  480.           C:\TBAV\tbdriver
  481.           C:\TBAV\tbscanx
  482.           C:\TBAV\tbcheck
  483.           C:\TBAV\tbmem
  484.           C:\TBAV\tbfile
  485. ~         C:\TBAV\tbscan /once /alldrives
  486.  
  487.      Finally, you can force the TBAV utilities to scan your disk right away.
  488.  
  489.      It is very likely that some of the TBAV utilities are going to display
  490.      messages when you reboot and continue using the computer as you normally
  491.      would. Some programs perform operations that are monitored by the TBAV
  492.      utilities, so TBAV must first 'learn' which programs need proper permis-
  493.  
  494.                                        I - 3
  495. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  496.  
  497.  
  498.      sion. Execute some of the programs you use regularly and at each rele-
  499.      vant query respond with 'Y' to authorize or 'N' to deny permission. TBAV
  500.      will remember the settings and not bother you again. Reboot the computer
  501.      at the end of this test run. 
  502.  
  503.      The TBAV utilities are now ready to monitor the system and will issue a
  504.      warning if something suspicious - or worse - is about to happen. They
  505.      will also warn you if any new file contains a possible virus - well
  506.      before it can do any harm.
  507.  
  508.  
  509. 1.2 Windows
  510.  
  511.      When used under Windows, the utilities remain active in every DOS box,
  512.      without interfering with the operation of adjacent windows. All TBAV
  513.      utilities may be loaded in a graphics DOS box inside Windows, providing
  514.      trouble-free support using a no-nonsense interface.
  515.  
  516.      There are a number of good reasons for this TBAV package design strate-
  517.      gy, at the risk of alienating Windows fans expecting ornate GUI applica-
  518.      tions. A Windows based scanner may look prettier, but offers no added
  519.      functionality. On the contrary, a graphics interface requires more
  520.      system resources, inflates program size, performs more sluggishly and
  521.      puts a penalty on overall reliability. 
  522.  
  523.      Also, consider what happens if one of the Windows executables becomes
  524.      infected. From that point onwards Windows may very well refuse to work
  525.      altogether and simply hang the computer. Your Windows based scanner will
  526.      not do you much good at this point - just when you need it most, you
  527.      can't start it up in order to find out what went wrong. 
  528.  
  529.      And what about another dilemma. In order to be able to cope with stealth
  530.      viruses you must power down and reboot from a clean DOS diskette prior
  531.      to scanning or checking - but have you ever tried to boot Windows 3.1
  532.      from a diskette? 
  533.  
  534.  
  535.      TBAV menu and command syntax
  536.  
  537.      You can activate most of the TBAV utilities from within the TBAV menu,
  538.      by loading:
  539.  
  540.           cd\tbav
  541.           tbav
  542.  
  543.      In order to execute the utilities automatically, all TBAV drivers and
  544.      utilities may be executed from the DOS prompt. In a systemized setup,
  545.      however, the drivers should be installed and activated in your Con-
  546.      fig.Sys, with a device= or install= directive, or in the TbStart.Bat
  547.      file as a TSR. Similarly, most utilities can be started automatically -
  548.      in the case of TbScan restricted to once a day - in the TbStart.Bat
  549.  
  550.  
  551.                                        I - 4
  552. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  553.  
  554.  
  555.      file. The two exceptions are TbClean and TbDel, which should be executed
  556.      only from the DOS prompt and (TbClean) from within the TBAV menu.
  557.  
  558.      All commands for ThunderBYTE Anti-Virus can be used with command line
  559.      switches or options to control special features. The options may either
  560.      be written out in full, or abbreviated to their one- or two-letter
  561.      mnemonic to shorten the command line. Throughout this manual the exam-
  562.      ples are given with options in verbose, unabbreviated form for clarity.
  563.      Options must be separated by spaces. They do not need a preceding switch
  564.      character, but you may use the customary slash or hyphen switch charac-
  565.      ters if you wish.
  566.  
  567.      The standard command line syntax for all ThunderBYTE Anti-Virus commands
  568.      is:
  569.  
  570.           command [<path>] [<filename>] [<option>] ... [<suboption>] ...
  571.  
  572.      You may review the correct syntax for any command, including a complete
  573.      option list, with the command followed by the word 'help' or a question
  574.      mark, as in:
  575.  
  576.           tbcheck ?
  577.  
  578.      The same on-line help is provided whenever the command is issued with an
  579.      invalid option.
  580.  
  581.      The examples, presented in this manual assume that all utilities were
  582.      installed in the default \TBAV directory.
  583.  
  584.  
  585.      Create a recovery diskette!
  586.  
  587.      It is highly recommended to make a recovery diskette. The example setups
  588.      assume you have created such a recovery diskette (see the instructions
  589.      in section II). 
  590.  
  591.  
  592.  
  593.  
  594.  
  595.  
  596.  
  597.  
  598.  
  599.  
  600.  
  601.  
  602.  
  603.  
  604.  
  605.  
  606.  
  607.  
  608.                                        I - 5
  609. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  610.  
  611.  
  612. 2. Configuration
  613.  
  614.      The choices you made when installing the TBAV utilities may need some
  615.      tuning, for instance by appending options to the loading command. This
  616.      tuning can be done by editing the TBSTART.BAT file, which automatically
  617.      loads the memory resident utilities. 
  618.  
  619. =>   If suitable, you may write the relevant commands in the Config.Sys file
  620.      instead. Do not forget to specify the .EXE extension in the Config.Sys
  621.      file!
  622.  
  623.      Below, some basic hints are presented, to customize the initial settings
  624.      to suit your own needs. After initializing and rebooting your system for
  625.      the first time afterwards, TBAV will need your response in the initial
  626.      'learning' stage.
  627.  
  628.  
  629.      TBAV menu configuration
  630.  
  631.      The TBAV menu allows some configuration, as well.
  632.  
  633. ~    +----Main menu-----+
  634.      |  Confi+----------TBAV configuration----------+
  635.      |  TbSet|v Use colors                          |
  636.      |  TbSca|  Save configuration to TBAV.INI      |
  637.      |  TbUti|  File view utility                   |
  638.      |  TbCLe|v Wait after program execution        |
  639.      |  TBAV |  Show command line before executing  |
  640.      |  Docum|v Edit path string before scanning    |
  641.      |  Regis+--------------------------------------+
  642.      |  Quit and save   |
  643.      |  eXit (no save)  |
  644.      +------------------+
  645.  
  646.      You can activate the configuration options by toggling to the relevant
  647.      choice and pressing <Enter>.
  648.  
  649.  
  650.      Use colors
  651.  
  652.      If disabled, TBAV will be displayed in monochrome mode, which is conve-
  653.      nient for use on laptop computers.
  654.  
  655.  
  656.      Save configuration to TBAV.INI
  657.  
  658.      All configuration values, set within the TBAV menu, are saved in the
  659.      'TBAV.INI' file, once you have selected this option. The next time you
  660.      load the TBAV utilities the configuration values in the current TBAV.INI
  661.      file will be valid. These values apply to the TBAV menu itself and the
  662.      utilities TbSetup, TbScan and TbClean. Although you may edit the TBAV.I-
  663.      NI file manually, it is recommended to let the TBAV menu shell generate
  664.  
  665.                                        I - 6
  666. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  667.  
  668.  
  669.      it. By default, the contents of the TBAV.INI file is only valid while
  670.      using the TBAV menu shell. You may, however, enable the "Use TBAV.INI
  671.      file" options (or specify the 'UseIni' switches in the TBAV.INI file
  672.      itself) for each of the utilities mentioned above. Doing so, the confi-
  673.      guration, saved in the TBAV.INI file will also be valid when TbSetup,
  674.      TbScan or TbClean are loaded from the command line. Be careful, since
  675.      options specified in the TBAV.INI file can not be undone on the command
  676.      line. TBAV will create a TBAV.INI file when enabling this option for the
  677.      first time. In this file all valid configuration switches are listed.
  678.      The disabled switches are preceded by a semicolon.
  679.  
  680.  
  681.      File view utility
  682.  
  683.      TbSetup and TbScan generate a datafile and a logfile respectively. By
  684.      default, you can view these files from the TBAV menu using an internal
  685.      file view utility. By using this option you are able to attach your
  686.      favorite external file view utility. Enter the complete path and the
  687.      file name, including the extension.
  688.  
  689.  
  690.      Wait after program execution
  691.  
  692.      By enabling this option, TBAV will display the message:
  693.      "Press any key to return to the TBAV utilities" after executing an
  694.      external utility.
  695.  
  696.  
  697. ~    Show command line before executing
  698.  
  699.      Enabling this option will force TBAV to display the DOS command which
  700.      will load the external utility. This option comes in handy in order to
  701.      see the command(s) you specified before. After pressing <Enter> TBAV
  702.      will execute the DOS commands.
  703.  
  704.  
  705. ~    Edit path string before scanning
  706.  
  707.      If enabled, you are prompted to edit or confirm the path to be scanned
  708.      after you have selected "Start scanning".
  709.  
  710.  
  711.  
  712.  
  713.  
  714.  
  715.  
  716.  
  717.  
  718.  
  719.  
  720.  
  721.  
  722.                                        I - 7
  723. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  724.  
  725.  
  726. 3. TbSetup
  727.  
  728.  
  729. 3.1. The Purpose of TbSetup
  730.  
  731.      TbSetup is an indispensible tool, adding support to the rest of the
  732.      ThunderBYTE Anti-Virus utilities, even though it does not take an active
  733.      part in actual virus detection or cleaning itself. TbSetup organizes
  734.      control and recovery information giving extra power to the other utili-
  735.      ties. The information is gathered, mainly from program files, into a
  736.      single reference file called Anti-Vir.Dat, one each per directory. The
  737.      nature of Anti-Vir.Dat files will be explained more fully at the end of
  738.      this chapter.
  739.  
  740.      Although the ThunderBYTE utilities can work perfectly well without the
  741.      Anti-Vir.Dat files it is highly recommended to have TbSetup generate
  742.      these files. The Anti-Vir.Dat files can be used for several purposes:
  743.  
  744.      Integrity checking. TbScan and the memory resident TbCheck program will
  745.      perform an integrity check while scanning if it can detect the Anti-
  746.      Vir.Dat file. If a file gets infected by a virus, the information in the 
  747.      Anti-Vir.Dat file will not match the actual file contents, and TbScan
  748.      and TbCheck will inform you that the file has been changed. 
  749.  
  750.      The TbSetup program recognizes some files that need special treatment.
  751.      An example of such a file is a disk image file of a network remote boot
  752.      disk. - Such a file that actually represents a complete disk - should be
  753.      scanned completely, and for all viruses. TbSetup will put a mark in the
  754.      Anti-Vir.Dat file to make sure that TbScan scans the complete file for
  755.      all viruses.
  756.  
  757.      Once a file is infected, TbClean will reconstruct the original file. The
  758.      information in the Anti-Vir.Dat file will be of great help to TbClean.
  759.      Some infected programs can only be cured if there is information about
  760.      the program in the Anti-Vir.Dat file.
  761.  
  762.      TbCheck (a tiny resident integrity checker) has no purpose if there are
  763.      no Anti-Vir.Dat files on your system.
  764.  
  765.      The resident TBAV utilities need the Anti-Vir.Dat files to maintain
  766.      permission information. Without Anti-Vir.Dat files you can not get rid
  767.      of false alarms other than by disabling a complete feature.
  768.  
  769.  
  770. 3.2. How to use TbSetup
  771.  
  772.      This is the one program where the rule applies: The less you use the
  773.      program, the better your protection against viruses! Why? Keep in mind
  774.      that an Anti-Vir.Dat file stores vital information needed to detect a
  775.      virus, as well as data for subsequent recovery and for cleaning. But
  776.      consider what would happen if you were to execute TbSetup after a virus
  777.      entered the system: the information in the Anti-Vir.Dat file would be
  778.  
  779.                                        I - 8
  780. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  781.  
  782.  
  783.      'updated' to the state of the infected file, wiping out all traces of
  784.      data needed to reconstruct the file of the original, uninfected state.
  785.      Never use TbSetup when there is the slightest evidence of a virus in
  786.      your system. Once the Anti-Vir.Dat files have been generated as part of
  787.      the initial setup, any subsequent usage of TbSetup should be confined to
  788.      directories with new or changed program files.
  789.  
  790.      Please note that the Anti-Vir.Dat directory entries will have the
  791.      attribute 'hidden' and therefore do not show up when you use standard
  792.      directory commands. You can see the filenames only with the help of
  793.      special utilities.
  794.  
  795. ~    You may load TbSetup either from the DOS command line or from the TBAV
  796.      menu. For the initial installation you can use option 'AllDrives':
  797.  
  798.           TbSetup AllDrives
  799.  
  800. ~    You may also specify which drives and paths should be processed. To
  801.      setup disks C: and D: you should enter:
  802.  
  803.           TbSetup C:\ D:\
  804.  
  805.      When no filename has been specified but a drive and/or path instead, the
  806.      specified path will be used as top-level path. All its sub-directories
  807.      will be processed too. When a filename has been specified only the
  808.      specified path will be processed. Sub-directories will not be processed.
  809.  
  810.  
  811.      Wildcards in the filename are allowed.
  812.  
  813.      When executed from the DOS command line, the 'newonly' option can be
  814.      used to prevent existing information from being overwritten. 
  815.      To help you remember that TbSetup needs to be executed again, the next
  816.      time you execute TbScan it will display either a small 'c' after the
  817.      file to indicate a new file or a capital 'C' if a file has simply been
  818.      changed.
  819.  
  820.      Example:
  821.      You add a new file TEST.EXE to your directory C:\FOO.
  822.  
  823.           TbSetup C:\FOO\TEST.EXE
  824.  
  825.  
  826.      Example:
  827.      You install a new product in a new directory C:\NEW.
  828.  
  829.           TbSetup C:\NEW
  830.  
  831.  
  832.      When using the DOS command you may append a number of loading options.
  833.      These options are presented in section 3.3. of this chapter.
  834.  
  835.  
  836.                                        I - 9
  837. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  838.  
  839.  
  840.      The 'TbSetup' menu
  841.  
  842.  
  843.      +----Main menu-----+
  844.      |  Confi+------TbSetup menu------+
  845.      |  TbSet|  Start TbSetup         |
  846. ~    |  TbSca|  Options menu         >|
  847.      |  TbUti|  Flags menu           >|
  848.      |  TbCLe|  Data file path/name   |
  849.      |  TBAV |  View data file        |
  850.      |  Docum+------------------------+
  851.      |  Register TBAV   |
  852.      |  Quit and save   |
  853.      |  eXit (no save)  |
  854.      +------------------+
  855.  
  856.  
  857.      Data file path/name 
  858.  
  859.      TbSetup will search for 'special' files in a file named TbSetup.Dat.
  860.      After selecting this option 'datfile' you can specify another path or
  861.      filename that contains a list of 'special' files. Option format: Datfile
  862.      [=<filename>]
  863.  
  864.      Example:            
  865.           TbSetup Datfile = c:\tbav\tbsetup.dat
  866.  
  867.  
  868. ~    +----Main menu-----+
  869.      |  Confi+------TbSetup menu------+
  870.      |  TbSet|  Start+-------TbSetup options--------------+
  871.      |  TbSca|  Optio|  Use TBAV.INI file                 |
  872.      |  TbUti|  Flags|  Prompt for pause                  |
  873.      |  TbCLe|  Data |  Only new files                    |
  874.      |  TBAV |  View |  Remove Anti-Vir.Dat files         |
  875.      |  Docum+-------|  Test mode (don't change anything) |
  876.      |  Register TBAV|v Hide Anti-Vir.Dat files           |
  877.      |  Quit and save|  Make executables readonly         |
  878.      |  eXit (no save|  Clear readonly attributes         |
  879.      +---------------|v Sub-Directory scan                |
  880.                      +------------------------------------+
  881.  
  882.  
  883.      Use TBAV.INI file
  884.  
  885.      By enabling this option, the TbSetup configuration values, saved in the
  886.      TBAV.INI file, will also be valid when loading TbSetup from the command
  887.      line. Be careful, since options specified in the TBAV.INI file can not
  888.      be undone on the command line. See chapter I-2 ('Configuration').
  889.  
  890.  
  891.  
  892.  
  893.                                       I - 10
  894. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  895.  
  896.  
  897.      Prompt for pause
  898.  
  899.      When you enter option 'pause' TbSetup will stop after it has processed
  900.      the contents of one window. This gives you the possibility to examine
  901.      the results.
  902.  
  903.  
  904.      Only new files 
  905.  
  906.      If you want to add new files to the Anti-Vir.Dat database, but prevent
  907.      the information of changed files from being updated use option 'newon-
  908.      ly'. Updating the information of changed files is dangerous because if
  909.      the files are infected, the information to detect and cure the virus
  910.      will be overwritten. Option 'newonly' prevents the information from
  911.      being overwritten but it still allows information of new files to be
  912.      added to the database.
  913.  
  914.  
  915.      Remove Anti-Vir.Dat files 
  916.  
  917.      If you want to stop using the ThunderBYTE utilities you do not have to
  918.      remove all the Anti-Vir.Dat files yourself. By using this option TbSetup
  919.      will neatly remove all Anti-Vir.Dat files from your system.
  920.  
  921.  
  922. ~    Test mode (Don't change anything)
  923.  
  924.      If you want to see the effect of an option without the risk that somet-
  925.      hing is activated you do not want, use option 'test'. If that option is
  926.      specified the program will behave as it would normally, but it will not
  927.      change or update anything on your hard disk.
  928.  
  929.  
  930.      Hide Anti-Vir.Dat files 
  931.  
  932.      The Anti-Vir.Dat files are normally not visual in a directory listing.
  933.      If you prefer to have normal - i.e. visible - files disable this option. 
  934. =>   Note that this option only applies for new Anti-Vir.Dat files.
  935.  
  936.  
  937.      Make executables read-only 
  938.  
  939.      As TbFile guards the read-only attribute permanently it is highly
  940.      recommended to make all executable files read-only to prevent any
  941.      modifications on these files. TbSetup will do the job if you enable
  942.      option 'read-only'. Files that should not be made read-only are recogni-
  943.      zed by TbSetup.
  944.  
  945.  
  946.  
  947.  
  948.  
  949.  
  950.                                       I - 11
  951. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  952.  
  953.  
  954.      Clear read-only attributes 
  955.  
  956.      This option can be used to reverse the operation of option 'read-only'.
  957.      If you enable this option all read-only attributes of all executable
  958.      files will be cleared.
  959.  
  960.  
  961.      Sub-Directory scan 
  962.  
  963.      By default TbSetup will search sub-directories for executable files,
  964.      unless a filename (wildcards allowed!) has been specified. If you
  965.      disable this option, TbSetup will not process sub-directories.
  966.  
  967.  
  968. ~    +----Main menu-----+
  969.      |  Confi+-----TbSetup menu------+
  970.      |  TbSet|  Start+-----TbSetup flags------+
  971.      |  TbSca|  Optio|v Use normal flags      |
  972.      |  TbUti|  Flags|  Set flags manually    |
  973.      |  TbCLe|  Data |  Reset flags manually  |
  974.      |  TBAV |  View |  Define flags         >|
  975.      |  Docum+-------+------------------------+
  976.      |  Register TBAV   |
  977.      |  Quit and save   |
  978.      |  eXit (no save)  |
  979.      +------------------+
  980.  
  981.  
  982.      Set flags manually 
  983.  
  984.      This option is for advanced users only. With this option you can manual-
  985.      ly set permission flags in the Anti-Vir.Dat record. This option requires
  986.      a hexadecimal bitmask for the flags to set. For information about the
  987.      bitmask consult the TbSetup.Dat file. 
  988.  
  989.      Option format: Set =<flags>
  990.  
  991.      Example: 
  992.           Set = 0001
  993.  
  994.  
  995.      Reset flags manually 
  996.  
  997.      This option is for advanced users only. With this option you can manual-
  998.      ly reset permission flags or prevent flags to be set in the Anti-Vir.Dat
  999.      record. This option requires a hexadecimal bitmask for the flags to
  1000.      reset.  For information about the bit mask consult the TbSetup.Dat file.
  1001.      Option format: Reset =<flags>
  1002.  
  1003.      Example:
  1004.           Reset = 0001
  1005.  
  1006.  
  1007.                                       I - 12
  1008. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  1009.  
  1010.  
  1011. ~    +----Main menu-----+
  1012.      |  Confi+-----TbSetup menu------+
  1013.      |  TbSet|  Start+-----TbSetup flags------+
  1014.      |  TbSca|  Optio|v Use n+--Define flags to be changed--+
  1015.      |  TbUti|  Flags|  Set f|  0001: Heuristic analysis    |
  1016.      |  TbCLe|  Data |  Reset|  0002: Checksum changes      |
  1017.      |  TBAV |  View |  Defin|  0004: Disk image File       |
  1018.      |  Docum+-------+-------|  0008: Readonly sensitive    |
  1019.      |  Register TBAV   |    |  0010: TSR program           |
  1020.      |  Quit and save   |    |  0020: Direct disk access    |
  1021.      |  eXit (no save)  |    |  0040: Attribute modifier    |
  1022.      +------------------+    |  8000: Interrupt rehook      |
  1023.                              +------------------------------+
  1024.  
  1025. 3.3. Command line options
  1026.  
  1027.      TbSetup allows options to be specified on the command line.  TbSetup
  1028.      recognizes option short-keys and option words. The words are easier to
  1029.      memorize, and they will be used in this manual for convenience. The
  1030.      syntax is as follows:
  1031.  
  1032.           TbSetup [<path>][<filename>]... [<options>]...
  1033.  
  1034.  
  1035.      option parameter      short  explanation
  1036.      ----------------------------------------------------------------
  1037.      help                  he   help
  1038.      pause                 pa   enable 'Pause' prompt
  1039.      mono                  mo   force monochrome
  1040.      nosub                 ns   skip sub-directories
  1041.      newonly               no   do not update changed records
  1042. ~    alldrives             ad   process all local fixed drives
  1043. ~    allnet                an   process all network drives
  1044.      remove                rm   remove Anti-Vir.Dat files
  1045.      test                  te   do not create / change anything
  1046.      nohidden              nh   do not make Anti-Vir.Dat files hidden 
  1047.      readonly              ro   set read-only attribute on executables
  1048.      nordonly              nr   remove / do not set read-only attribute
  1049.      set     =<flags>      se   set flags
  1050.      reset   =<flags>      re   reset flags / do not set flags
  1051.      datfile [=<filename>] df   data file to be used
  1052.  
  1053.  
  1054.      help (he)
  1055.      If you specify this option, TbSetup displays the contents of the TBSE-
  1056.      TUP.HLP file (if available) in the home directory of TbSetup.  If you
  1057.      specify the '?' option you will get the summarized help info as listed
  1058.      above.
  1059.  
  1060.  
  1061.  
  1062.  
  1063.  
  1064.                                       I - 13
  1065. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  1066.  
  1067.  
  1068.      pause (pa)
  1069.      When you specify 'pause' TbSetup will stop after it has processed the
  1070.      contents of one window. This gives you the possibility to examine the
  1071.      results.
  1072.  
  1073.      mono (mo)
  1074.      This option forces TbSetup to refrain from using colors in the screen
  1075.      output. This might enhance the screen output on some LCD screens or
  1076.      color-emulating monochrome systems.
  1077.  
  1078.      nosub (ns)
  1079.      By default TbSetup will search sub-directories for executable files,
  1080.      unless a filename (wildcards allowed!) has been specified. If you
  1081.      specify this option, TbSetup will not process sub-directories.
  1082.  
  1083.      newonly (no)
  1084.      If you want to add new files to the Anti-Vir.Dat database, but prevent
  1085.      the information of changed files from being updated, use option 'newon-
  1086.      ly'. Updating the information of changed files is dangerous because if
  1087.      the files are infected, the information to detect and cure the virus
  1088.      will be overwritten. Option 'newonly' prevents the information from
  1089.      being overwritten but it still allows information of new files to be
  1090.      added to the database.
  1091.  
  1092. ~    alldrives (ad)
  1093.      If you want TbSetup to process all local non-removable drives you can
  1094.      specify this option. Except for the initial execution, it isn't a good
  1095.      idea to use this option.
  1096.  
  1097. ~    allnet (an)
  1098.      If you want TbSetup to process all network drives you can specify this
  1099.      option. Except for the initial execution, it isn't a good idea to use
  1100.      this option.
  1101.  
  1102.      remove (rm)
  1103.      If you want to stop using the ThunderBYTE utilities you do not have to
  1104.      remove all the Anti-Vir.Dat files yourself. By using this option TbSetup
  1105.      will neatly remove all Anti-Vir.Dat files from your system.
  1106.  
  1107.      test (te)
  1108.      If you want to see the effect of an option without the risk that somet-
  1109.      hing is activated you do not want, use option 'test'. If that option is
  1110.      specified the program will behave as it would normally, but it will not
  1111.      change or update anything on your
  1112.      hard disk.
  1113.  
  1114.      nohidden (nh)
  1115.      The Anti-Vir.Dat files are normally not visual in a directory listing.
  1116.      If you prefer to have normal - i.e. visible - files specify this option.
  1117. =>   Note that this option only applies for new Anti-Vir.Dat files.
  1118.  
  1119.      readonly (ro)
  1120.  
  1121.                                       I - 14
  1122. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  1123.  
  1124.  
  1125.      As TbFile guards the read-only attribute permanently it is highly
  1126.      recommended to make all executable files read-only to prevent any
  1127.      modifications on these files. TbSetup will do the job if you enable
  1128.      option 'read-only'. Files that should not be made read-only are recogni-
  1129.      zed by TbSetup.
  1130.  
  1131.      nordonly (nr)
  1132.      This option can be used to reverse the operation of option 'read-only'.
  1133.      If you enable this option all read-only attributes of all executable
  1134.      files will be cleared.
  1135.  
  1136.      set (se)
  1137.      This option is for advanced users only. With this option you can manual-
  1138.      ly set permission flags in the Anti-Vir.Dat record. This option requires
  1139.      a hexadecimal bitmask for the flags to set. For information about the
  1140.      bitmask consult the TbSetup.Dat file. 
  1141.      Option format: Set =<flags>
  1142.  
  1143.      Example:
  1144.           Set = 0001
  1145.  
  1146.      reset (re)
  1147.      This option is for advanced users only. With this option you can manual-
  1148.      ly reset permission flags or prevent flags to be set in the Anti-Vir.Dat
  1149.      record. This option requires a hexadecimal bitmask for the flags to
  1150.      reset.  For information about the bit mask consult the TbSetup.Dat file.
  1151.      Option format: Reset =<flags>
  1152.  
  1153.      Example:
  1154.           Reset = 0001
  1155.  
  1156.      datfile (df)
  1157.      After the datfile option you can specify the name of the data file to be
  1158.      used.
  1159.  
  1160.  
  1161. 3.4. While executing
  1162.  
  1163.      TbSetup divides the screen into three windows: an information window
  1164.      displaying data file comments across the top of the screen, a scanning
  1165.      window on the left and a status window on the right.
  1166.  
  1167.      The lower left window lists the names of the files being processed,
  1168.      along with file specific information:
  1169.  
  1170.  
  1171.      TEST.EXE 01234  12AB23CD   Added    * 0001
  1172.      |        |      |          |        | |
  1173.      |        |      |          |        | |
  1174.      |        |      |          |        | 'flags' set for this file
  1175.      |        |      |          |        indicates 'special' file
  1176.      |        |      |          action performed
  1177.  
  1178.                                       I - 15
  1179. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  1180.  
  1181.  
  1182.      |        |      32-bit CRC (checksum)
  1183.      |        file size in hexadecimal number
  1184.      name of file in process
  1185.  
  1186.  
  1187.      Do not be concerned if the information flies too fast for you to read,
  1188.      or if it puzzles you. You will probably never need these details anyway.
  1189.  
  1190.      The scanning window has an 'action performed' field indicating whether
  1191.      an entry in the Anti-Vir.Dat was added, changed or updated:
  1192.  
  1193.      Added
  1194.      There was no previous entry for this file in the Anti-Vir.Dat record. A
  1195.      new entry has been added.
  1196.  
  1197.      Changed
  1198.      There was an existing entry, but the file has been changed. The Anti-
  1199.      Vir.Dat information has been updated.
  1200.  
  1201.      Updated
  1202.      There was an Anti-Vir.Dat record and the file was found to be unchanged.
  1203.      TbSetup did, however, change some of the program's permission flags, on
  1204.      account of an entry in the TbSetup.Dat file, or in compliance with a
  1205.      'Set' or 'Reset' option. 
  1206.  
  1207.      The process may be aborted by pressing Ctrl-Break.
  1208.  
  1209.  
  1210.      Purpose of the TbSetup.Dat file
  1211.  
  1212.      Although the ThunderBYTE utilities perform well on almost every file
  1213.      without extra help, there are some files that need particular attention.
  1214.      TbSetup uses information collected in a special data file, TbSetup.Dat,
  1215.      to flag such files in the Anti-Vir.Dat file. The other ThunderBYTE
  1216.      utilities then use that information to determine how such a 'special'
  1217.      file should be treated:
  1218.  
  1219.  
  1220.      Examples of such files:
  1221.  
  1222.      Some programs maintain configuration information inside the executable
  1223.      file (EXE, COM) itself. Whenever you change the configuration of these
  1224.      programs, the executable file will change as well, along with its
  1225.      checksum. The new checksum will not match the one stored in the TbSe-
  1226.      tup.Dat file anymore. Since some ThunderBYTE utilities use this checksum
  1227.      information to verify integrity or cleanup results, they need to 'know'
  1228.      when a file's checksum is not a fixed item and should be allowed to
  1229.      change.
  1230.  
  1231.      TbScan can use generic detection methods such as 'heuristic' analysis to
  1232.      detect unknown viruses. Since heuristic analysis implies inevitable
  1233.  
  1234.  
  1235.                                       I - 16
  1236. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  1237.  
  1238.  
  1239.      false alarms when a file looks like a virus, TbScan may have to decide
  1240.      not to do a heuristic analysis on such a program.
  1241.  
  1242.      Some of the ThunderBYTE utilities guard the read-only attribute and make
  1243.      sure that it can be removed only with the user's explicitpermission. A
  1244.      few programs, however, refuse to run properly with the read-only attri-
  1245.      bute set.
  1246.  
  1247.      TbScan's default scanning method performs perfectly well with just about
  1248.      any file, but there are some that need special analysis. Such a file is
  1249.      the Novell NET$DOS.SYS file, not a device driver - as the filename
  1250.      extension suggests - but a disk image of the bootable disk. It should be
  1251.      scanned completely and for all signatures, including COM and BOOT.
  1252.  
  1253.      The resident monitoring utilities of the TBAV package detect all sorts
  1254.      of virus-specific behaviour. Some programs, even though they may act
  1255.      like a virus, are still perfectly normal and should be permitted to be
  1256.      executed without TBAV interference.
  1257.  
  1258.      You need not be concerned to find that a few files will be excluded from
  1259.      heuristic analysis. Those files will still be scanned the conventional
  1260.      way for signatures and all the rest. Furthermore, no heuristic exclusion
  1261.      will be granted unless a file matches exactly with the entry in the
  1262.      TbSetup.Dat file - including its name, size and the 32-bit CRC checksum.
  1263.      This eliminates security holes effectively: if a listed file is already
  1264.      infected, its checksum won't match the 32-bit CRC in the TbSetup.Dat
  1265.      file and the exclusion will not apply. By the same token, if a program
  1266.      is infected at a later date, the result would be a change in at least
  1267.      one of its characteristics; the record in the Anti-Vir.Dat file will not
  1268.      match any longer and the file will be subject to full heuristic analysis
  1269.      like any other.
  1270.  
  1271.  
  1272.  
  1273.  
  1274.  
  1275.  
  1276.  
  1277.  
  1278.  
  1279.  
  1280.  
  1281.  
  1282.  
  1283.  
  1284.  
  1285.  
  1286.  
  1287.  
  1288.  
  1289.  
  1290.  
  1291.  
  1292.                                       I - 17
  1293. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  1294.  
  1295.  
  1296. 4. TbDriver
  1297.  
  1298. 4.1. Purpose of TbDriver
  1299.  
  1300. ~    TbDriver does not provide much protection against viruses by itself, but
  1301.      must be loaded in advance to enable the memory resident ThunderBYTE
  1302.      Anti-Virus utilities, such as TbScanX, TbCheck, TbMem, TbFile and
  1303.      TbDisk, to perform properly. It is the source for some of the routines
  1304.      these utilities have in common, including support to generate the pop-up
  1305.      window routines, driving the translation unit which enables the possibi-
  1306.      lity of displaying messages in your native language, and support for
  1307.      networks.
  1308.  
  1309. ~    In addition, TbDriver also contains basic protection against 'Stealth'
  1310.      viruses and against ANSI bombs.
  1311.  
  1312.  
  1313.      How to use TbDriver
  1314.  
  1315.      Loading TbDriver must be loaded before (one of) the other memory TbDri-
  1316.      ver resident TBAV utilities. For loading instructions, please consult
  1317.      the following pages.
  1318.  
  1319. =>   If you want protection against ANSI-bombs, you should load TbDriver
  1320.      AFTER the ANSI driver.
  1321.  
  1322.      In normal situations it is not necessary to use the 'net' option of
  1323.      TbDriver.
  1324.  
  1325.      If you install TbDriver on a machine that is booted from a boot ROM,
  1326.      specify the message file with the drive and path where it can be found
  1327.      AFTER the machine has booted. The default message file will not be
  1328.      accessible anymore after the machine has booted.
  1329.  
  1330.  
  1331. 4.2. Command line options
  1332.  
  1333.      Tbdriver allows loading options to be specified on the command line. A
  1334.      filename specification will be treated as a language file specification.
  1335.      The upper three options are always available, the other options are only
  1336.      available if TbDriver is not already memory resident.
  1337.  
  1338.  
  1339.  
  1340.  
  1341.  
  1342.  
  1343.  
  1344.  
  1345.  
  1346.  
  1347.  
  1348.  
  1349.                                       I - 18
  1350. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  1351.  
  1352.  
  1353.      option  parameter    short explanation
  1354.      -------------------- ----- ---------------------------
  1355.  
  1356.      help                 ?     display this helpscreen
  1357.      net                  n     force LAN support
  1358.      remove               r     remove TbDisk from memory
  1359.      mode    =<m|c>       m     override video mode
  1360.  
  1361.      noavok  =<drives>    o     assume permission when AV record is missing
  1362.      quiet                q     do not display activity
  1363.      secure               s     do not allow permission updates
  1364.      notunnel             t     do not detect tunneling
  1365. ~    nofilter             f     do not filter dangerous ANSI codes
  1366. ~    nostack              ns    do not install a stack
  1367.  
  1368.  
  1369.      help (?)
  1370.      If you specify this option TbDriver will show you the valid command line
  1371.      options as listed above.
  1372.  
  1373.      net (n)
  1374.      TbDriver cooperates well with most networks; in normal situations option
  1375.      'net' will not be needed at all. It should be used only if all of the
  1376.      following conditions are true: A connection to a Novell network is made,
  1377.      and TbDriver.Exe is started before the logon command was used, and there
  1378.      is no valid Anti-Vir.Dat record in the directory where the NET?.COM
  1379.      program resides, or after the NET?.COM file has been renamed.
  1380.  
  1381.      remove (r)
  1382.      This option disables TbDriver and will try to remove the resident part
  1383.      of its code from memory in an attempt to restore this memory space back
  1384.      to the system. Unfortunately, this can work only if TbDriver was loaded
  1385.      last. An attempt to remove a TSR after another TSR has been started will
  1386.      simply leave a useless gap in memory and could disrupt the interrupt
  1387.      chain. TbDriver checks whether it is safe to remove its resident code;
  1388.      if not, it will simply disable itself. 
  1389.  
  1390.      mode (m)
  1391.      On dual video systems TbDriver will use the currently active screen. It
  1392.      may be forced to use the alternate screen with option 'mode=m' for
  1393.      monochrome, or 'mode=c' for color systems.
  1394.  
  1395. ~    noavok (o)
  1396.      This option is not recommended for normal usage. You may need it in
  1397.      order to grant permission automatically for programs without an Anti-
  1398.      Vir.Dat record. Option 'noavok' requires a parameter specifying the
  1399.      drives to which the default permission applies. If, for example, you do
  1400.      not want a message from TbMem when a TSR without Anti-Vir.Dat record is
  1401.      executed from drive E: and F:, you could specify 'noavok=ef' on the
  1402.      TbDriver command line. If you do want to exclude network drives you
  1403.      should specify an asterisk (*). So, if you want to grant permission for
  1404.  
  1405.  
  1406.                                       I - 19
  1407. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  1408.  
  1409.  
  1410.      all files without Anti-Vir.Dat records on drive A:, your ramdisk F: and
  1411.      your remote network drives, specify 'noavok=af*'.
  1412.  
  1413.      quiet (q)
  1414.      Some resident TBAV utilities display an activity status. TbScanX, for
  1415.      instance, displays a rectangle with "*Scanning*" in the upper left
  1416.      corner of your screen while scanning a file. You can disable this with
  1417.      the 'quiet' option when TbDriver is loaded.
  1418.  
  1419.      secure (s)
  1420.      Some ThunderBYTE utilities are able to store permission flags in the
  1421.      Anti-Vir.Dat files. If you don't want these flags to be changed, specify
  1422.      this option. It has no effect on flags that are already set, so the
  1423.      option 'secure' may be used after installing new programs or packages.
  1424.  
  1425.      notunnel (t)
  1426.      TbDriver normally detects tunneling attempts on the part of viruses.
  1427.      'Tunneling' is a technique viruses apply to determine the location of
  1428.      the DOS system code in memory, and to use that address to communicate
  1429.      with DOS directly. This will inactivate all TSR programs, including
  1430.      resident anti-virus software. TbDriver is able to detect 'tunneling'
  1431.      attempts, and informs you about this. Some other anti-virus products
  1432.      also rely on tunneling techniques to bypass resident viruses, causing
  1433.      false alarms. If you are currently executing other anti-viral products,
  1434.      option 'notunnel' will disable tunneling detection.
  1435.  
  1436. ~    nofilter (f)
  1437.      The original ANSI driver has a feature to assign text strings to keys.
  1438.      Years ago, people used this feature to assign - for instance - the F10
  1439.      key to the text 'DIR /W'. This reprogramming can simply be done with
  1440.      embedded ANSI codes in text files. Typing such a file with the DOS
  1441.      'type' command is enough to reprogram the keys. Today, almost nobody
  1442.      uses this feature anymore, but it is still there. Some ill-minded people
  1443.      however use this feature to make a text file which reprograms - for
  1444.      instance - the Enter key to execute the text 'Del *.*', or worse...
  1445.      Such a text file is called an ANSI-bomb. TbDriver protects you against
  1446.      ANSI-bombs by filtering out the keyboard reprogramming codes. All other
  1447.      ANSI codes will pass without interference. If you don't want this
  1448.      protection, or if you want to use this obsolete ANSI feature you can
  1449.      specify option 'nofilter'.
  1450.  
  1451. ~    nostack (ns)
  1452.      By default, TbDriver maintains a stack for the resident TBAV utilities.
  1453.      For most systems however this isn't necessary. If you specify option
  1454.      'nostack' TbDriver will use the application stack, saving a few hundred
  1455.      bytes of memory. However, if the system hangs or becomes unstable, you
  1456.      should discontinue use of this option.
  1457.  
  1458.  
  1459.  
  1460.  
  1461.  
  1462.  
  1463.                                       I - 20
  1464. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  1465.  
  1466.  
  1467. 4.3. Language support
  1468.  
  1469.      The optional filename specification is used to determine where the
  1470.      language file can be found. TbDriver retrieves pop-up window messages
  1471.      from a TBDRIVER.LNG file, which it expects to find in its own home
  1472.      directory. The default English language file is TBDRIVER.LNG, which may
  1473.      be replaced by a file in your local language. You can order separate
  1474.      language support packages at your local ThunderBYTE dealer, or download
  1475.      the language file from a ThunderBYTE support BBS. Please refer to page
  1476.      I-38 for further details. To load a localized language file, either
  1477.      rename it to the default original, or specify the full path and filename
  1478.      following the command. You may also switch to another language by
  1479.      calling TbDriver again with a different message file. This will not take
  1480.      up any extra memory.
  1481.  
  1482.  
  1483.  
  1484.  
  1485.  
  1486.  
  1487.  
  1488.  
  1489.  
  1490.  
  1491.  
  1492.  
  1493.  
  1494.  
  1495.  
  1496.  
  1497.  
  1498.  
  1499.  
  1500.  
  1501.  
  1502.  
  1503.  
  1504.  
  1505.  
  1506.  
  1507.  
  1508.  
  1509.  
  1510.  
  1511.  
  1512.  
  1513.  
  1514.  
  1515.  
  1516.  
  1517.  
  1518.  
  1519.  
  1520.                                       I - 21
  1521. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  1522.  
  1523.  
  1524. 5. System maintenance
  1525.  
  1526.      All systems need maintenance and so do the TBAV utilities. As new
  1527.      viruses emerge, TbScan's signature file must be updated to avert new
  1528.      dangers. You may either get the latest signature file from your local
  1529.      ThunderBYTE dealer or download the file from one of our support Bulletin
  1530.      Board Systems.
  1531.  
  1532.      Whenever you add, update or replace programs on your system, be sure to
  1533.      use TbSetup to generate or update their fingerprints in the Anti-Vir.Dat
  1534.      files. Sometimes you will want to create a new recovery diskette. When
  1535.      you install a new version of DOS, the bootsector will be different.
  1536.      Changing the configuration of your hard disks may affect the partition
  1537.      tables and the CMOS setup. You should prepare a new recovery diskette
  1538.      after all system modifications.
  1539.  
  1540.  
  1541.      Updates
  1542.  
  1543.      The ThunderBYTE Anti-Virus utilities are updated at frequent intervals.
  1544.      Subscription to the ThunderBYTE update service (at your local dealer)
  1545.      guarantees delivery of each new update. You may download new revisions
  1546.      any time from any ThunderBYTE support BBS. Or check with a local bulle-
  1547.      tin board regularly, as many of them offer updated versions of our
  1548.      software.
  1549.  
  1550.      The standard complete release is issued in an archive named:
  1551.      TBAVxxx.ZIP, where 'xxx' stands for the three-digit version number. The
  1552.      archive extension may vary on local bulletin boards using a different
  1553.      archive method. To minimize download costs we also distribute smaller
  1554.      upgrade archives with only the files that have been changed since the
  1555.      previous official release. Upgrade archives have a 'U' in the filename,
  1556.      such as  TBAVUxxx.ZIP.
  1557.  
  1558.      In order to maintain the highest reliability, the Dutch and US Thunder-
  1559.      BYTE support sites issue regular beta releases, also containing only the
  1560.      files that have been changed. Beta versions can be identified by a 'B'
  1561.      in the filename, such as TBAVBxxx.ZIP.
  1562.  
  1563.      The resident ThunderBYTE Anti-Virus utilities are also available in
  1564.      processor optimized formats. These processor optimized versions, named
  1565.      TBAVXxxx.ZIP, are for registered users only. You can purchase these
  1566.      versions via your local ThunderBYTE dealer.
  1567.  
  1568.  
  1569.      Distribution of the signature file
  1570.  
  1571.      The signature file (TBSCAN.SIG) is updated frequently. It will be
  1572.      distributed via the ThunderBYTE dealers and via several Bulletin Board
  1573.      Systems. The BBS file is stored in an archive called TBSG###%.ZIP (### =
  1574.      release sequence number, % = sub-release eg. TBSG604b.ZIP). Most Bulle-
  1575.      tin Board Systems will get a fresh copy of this file within 48 hours
  1576.  
  1577.                                       I - 22
  1578. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  1579.  
  1580.  
  1581.      after the master copy has been updated at Thunderbyte support BBS in The
  1582.      Netherlands. The most recent signature files can also be obtained from
  1583.      any other Thunderbyte support BBS.
  1584.  
  1585.  
  1586.      Language support
  1587.  
  1588.      The ThunderBYTE Anti-Virus utilities currently support several langua-
  1589.      ges, by means of separate language files. Check your local ThunderBYTE
  1590.      dealer for the availability of the TBAV support file in your language.
  1591.  
  1592.  
  1593.  
  1594.  
  1595.  
  1596.  
  1597.  
  1598.  
  1599.  
  1600.  
  1601.  
  1602.  
  1603.  
  1604.  
  1605.  
  1606.  
  1607.  
  1608.  
  1609.  
  1610.  
  1611.  
  1612.  
  1613.  
  1614.  
  1615.  
  1616.  
  1617.  
  1618.  
  1619.  
  1620.  
  1621.  
  1622.  
  1623.  
  1624.  
  1625.  
  1626.  
  1627.  
  1628.  
  1629.  
  1630.  
  1631.  
  1632.  
  1633.  
  1634.                                       I - 23
  1635. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  1636.  
  1637.  
  1638. 6. Network maintenance
  1639.  
  1640.      The signature file TbScan.Sig should be replaced frequently. This can be
  1641.      a lot of work if you want to update all work stations on a network
  1642.      manually. Fortunately, there are several possibilities to do this job
  1643.      automatically.
  1644.  
  1645.  
  1646. 6.1. Using DOS REPLACE
  1647.  
  1648.      Maintain a directory \TBAV_UPD\ on a public server drive. Any new
  1649.      version of the TBAV utilities or any new signature file TbScan.Sig
  1650.      should be placed it in this directory.
  1651.  
  1652.      The work stations should execute a batch file automatically after users
  1653.      log in on the network. This batch file should contain the following
  1654.      lines:
  1655.  
  1656.           rem Update the anti-virus product if a new one is available.
  1657.           replace x:\tbav_upd\*.* c:\tbav /u /r
  1658.  
  1659.      'Replace' is a standard DOS utility. It copies the files specified by
  1660.      the first parameter ONLY if they are newer than the files specified in
  1661.      the second parameter.
  1662.  
  1663.      Make sure the 'replace' command is in the current path, and that the
  1664.      specified paths are valid for your configuration. The 'x', used in the
  1665.      above example, denotes the drive specification.
  1666.  
  1667.      Thus, you only have to update one drive with the new signature file or
  1668.      anti-virus software, and all workstations will update themselves as soon
  1669.      as they log in! You can also add the /S option if you want REPLACE to
  1670.      scan all directories on the workstations' drives for matching files.
  1671.      Please consult the DOS manual for more details.
  1672.  
  1673. =>   Note: Do not forget to execute TbSetup on the new utilities in the
  1674.      x:\tbav_upd directory, thus ensuring that the REPLACE command also
  1675.      copies the new Anti-Vir.Dat file.
  1676.  
  1677.  
  1678. 6.2. Using PkUnZip
  1679.  
  1680.      Maintain a directory \TBAV_UPD\ on a public server drive. Any new
  1681.      version of the TBAV distribution archive should be placed in this
  1682.      directory.
  1683.  
  1684.      The work stations should execute a batch file automatically after users
  1685.      log in on the network. This batch file should contain the following
  1686.      lines:
  1687.  
  1688.           rem Update the anti-virus product if a new one is available.
  1689.           PkUnZip -n -o x:\tbav_upd\TBAV???.ZIP c:\tbav
  1690.  
  1691.                                       I - 24
  1692. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                 SECTION I
  1693.  
  1694.  
  1695. =>   Make sure the file PkUnZip.Exe is in the current path, and that the
  1696.      paths specified are valid for your configuration.
  1697.  
  1698.      Following this procedure, the 'PkUnZip' command will only come into
  1699.      action when you just updated the ZIP files in the x:\tbav_upd directory.
  1700.      Now you only have to update one drive with the new anti-virus software,
  1701.      and all workstations will update themselves as soon as they log in!
  1702.  
  1703.  
  1704.  
  1705.  
  1706.  
  1707.  
  1708.  
  1709.  
  1710.  
  1711.  
  1712.  
  1713.  
  1714.  
  1715.  
  1716.  
  1717.  
  1718.  
  1719.  
  1720.  
  1721.  
  1722.  
  1723.  
  1724.  
  1725.  
  1726.  
  1727.  
  1728.  
  1729.  
  1730.  
  1731.  
  1732.  
  1733.  
  1734.  
  1735.  
  1736.  
  1737.  
  1738.  
  1739.  
  1740.  
  1741.  
  1742.  
  1743.  
  1744.  
  1745.  
  1746.  
  1747.  
  1748.                                       I - 25
  1749. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION II
  1750.  
  1751.  
  1752. SECTION II. ANTI-VIRUS STRATEGY
  1753.  
  1754. 1. Protection against viruses
  1755.  
  1756. 1.1. Introduction
  1757.  
  1758.      Maintaining a reliable safety system implies that you will be active in
  1759.      taking measures to protect your system from virus infection, since some
  1760.      viruses can hide themselves perfectly once resident in memory. At least
  1761.      once every a week you should boot from a clean and write-protected
  1762.      diskette and execute TbScan.
  1763.  
  1764.      The tightness of your safety system very much depends on the amount of
  1765.      time you want to invest to let the safety measures take place and the
  1766.      vitality of the appropriate computer system. For use on a stand alone
  1767.      computer containing low risk data, in an environment with little exchan-
  1768.      ge of computer software, a daily scan will appear to be sufficient.
  1769.  
  1770.      For company use however, in a network environment where diskettes are
  1771.      exchanged frequently, where disks contain highly vulnerable information,
  1772.      where a network going 'down' means the loss of an extensive amount of
  1773.      money, protection must be as tight as the organisation can practically
  1774.      handle.
  1775.  
  1776.      Considering the above, a simple instruction on how to use the -highly
  1777.      flexible - TBAV utilities cannot be given. It all depends on your own
  1778.      demands and possibilities.
  1779.  
  1780.      Therefore, you are advised to study this manual thoroughly so you will
  1781.      be able to determine your own safety measures. To prevent viruses from
  1782.      doing any harm you should at least under-take the activities as presen-
  1783.      ted below. 
  1784.  
  1785.  
  1786. 1.2. Basic precautions
  1787.  
  1788.      1. Install TBAV on your hard disk
  1789.  
  1790.      You may customize the installation to suit your own needs. Make sure you
  1791.      use TbSetup to maintain recovery information of all executable files of
  1792.      your system! Please refer to the installation section (I) of this
  1793.      manual. 
  1794.  
  1795.      In the following examples it is assumed that all utilities are copied in
  1796.      the (default) directory named TBAV. For all example setups it is requi-
  1797.      red that TbSetup has been executed. If your system has more hard disks
  1798.      or disk partitions you should repeat the TbSetup invocation for every
  1799.      drive or partition.
  1800.  
  1801.      The example setups assume you have created a recovery diskette.
  1802.  
  1803.  
  1804.  
  1805.                                       II - 1
  1806. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION II
  1807.  
  1808.  
  1809.      The example setups outlined below are just intended to give you some
  1810.      ideas about the use of the TBAV utilities, and these examples are not
  1811.      intended as a full featured protection setup!
  1812.  
  1813.  
  1814.      2. Prepare a recovery diskette
  1815.  
  1816.      You will absolutely need a clean recovery diskette in order to be able
  1817.      to get rid of a virus at all later on. Take a few minutes to prepare one
  1818.      now well ahead of a possible future contamination when it would be too
  1819.      late. 
  1820.  
  1821.      Take a new, empty diskette, put it in drive A:, go to your DOS directory
  1822.      and execute the following commands:
  1823.  
  1824.           Format A: /S 
  1825.           Copy SYS.COM A:
  1826.  
  1827.      Now return to the TBAV directory, eg.:
  1828.  
  1829.           CD \TBAV
  1830.  
  1831.      Execute the MakeResc batch file:
  1832.  
  1833.           makeresc A:
  1834.  
  1835.      The MakeResc batch file will create a reliable recovery diskette by
  1836.      creating or copying the following files.
  1837.  
  1838.      -    A backup of the bootsector, partition sector and CMOS configu-
  1839.           ration.
  1840.  
  1841.      -    A Config.Sys file, containing:
  1842.  
  1843.           Files=20
  1844.           Buffers=20
  1845.           Device=TbDriver.Exe
  1846.           Device=TbCheck.Exe FullCRC
  1847.  
  1848.      -    An Autoexec.Bat file, containing:
  1849.  
  1850.           @echo off
  1851.           echo off
  1852.           PATH=A:\
  1853.           TBAV
  1854.           Cls
  1855.           Echo Warning!!!
  1856.           Echo If you suspect a virus, do NOT execute anything
  1857.           Echo from the hard disk!
  1858.  
  1859.  
  1860.  
  1861.  
  1862.                                       II - 2
  1863. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION II
  1864.  
  1865.  
  1866.      -    The following files:
  1867.  
  1868.           TBAV.EXE
  1869.           TBAV.LNG
  1870.           TBSCAN.EXE
  1871.           TBSCAN.LNG
  1872.           TBSCAN.SIG
  1873.           TBDRIVER.EXE
  1874.           TBDRIVER.LNG
  1875.           TBCHECK.EXE
  1876.           TBCLEAN.EX
  1877.           TBUTIL.EXE
  1878.           TBUTIL.LNG
  1879.  
  1880.      Copy to the diskette any other utilities that could come in handy in an
  1881.      emergency situation, including a simple editor to edit Config.Sys and
  1882.      AutoExec.Bat files. If your hard disk needs special device drivers to
  1883.      unlock added features, such as DoubleSpace or Stacker, copy the approp-
  1884.      riate drivers to the recovery diskette and install them in the Con-
  1885.      fig.Sys file on drive A:, taking care to avoid statements that will
  1886.      access the hard disk. Be sure to check the instructions in the device
  1887.      driver's manual for the correct procedures.
  1888.  
  1889.      Make the disk write protected. Label the diskette 'Recovery' together
  1890.      with a short of the PC the diskette belongs to. Store the diskette in a
  1891.      safe place. Use it only in case of an emergency, so make a copy if you
  1892.      need a similar diskette for general purposes.
  1893.  
  1894.  
  1895.      3. Keep shady software out
  1896.  
  1897.      Many companies do not allow employees to install or execute unauthorized
  1898.      software. Or perhaps you wish to keep family members from invading your
  1899.      computer with haphazard games and sundry software. TBAV provides a
  1900.      watchdog function that can help to enforce this. First you will need to
  1901.      add the following lines to the Config.Sys file:
  1902.  
  1903.           Device=C:\TBAV\TbDriver.Exe
  1904.           Device=C:\TBAV\TbCheck.Exe secure
  1905.  
  1906.      If you have installed the TBAV Utilities using the TBAV installation
  1907.      program, you can - instead of editing the CONFIG.SYS file - adjust the
  1908.      TBSTART.BAT file, appending the 'secure' option to the TbCheck command:
  1909.  
  1910.           C:\TBAV\TbDriver
  1911.           C:\TBAV\TbCheck secure
  1912.  
  1913.      Execute TbSetup on the system:
  1914.  
  1915.           TbSetup C:\
  1916.  
  1917.  
  1918.  
  1919.                                       II - 3
  1920. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION II
  1921.  
  1922.  
  1923.      Reboot the system by pressing <Ctrl>-<Alt>-<Del>. From now on, TbCheck
  1924.      will put an effective clamp on any user who tries to execute software
  1925.      which has not been duly authorized first by TbSetup. Whenever someone is
  1926.      trying to execute an unknown program, TBAV will display the following
  1927.      message:
  1928.  
  1929.  
  1930.      +---------- TBAV interception ---------+
  1931.      |                WARNING!              |
  1932.      | The requested program (GAME.EXE)     |
  1933.      | is not authorized and can not be     |
  1934.      | executed.                            |
  1935.      | Execution cancelled! Press any key...|
  1936.      +--------------------------------------+
  1937.  
  1938.  
  1939.      4. Restrict user access
  1940.  
  1941. ~    Most of the TBAV utilities are interactive. They need to communicate
  1942.      with a knowledgable user in order to establish appropriate action in
  1943.      ambiguous situations. Many companies, however, insist that the system
  1944.      operator be the sole authority allowed to communicate with TBAV and so
  1945.      avoid wrong decisions on the part of possibly inept employees. That is
  1946.      why most of TBAV utilities support the option 'secure'. When this option
  1947.      is specified, all user interaction with any of the TBAV utilities is
  1948.      suspended. In other words, users will never be queried for permission to
  1949.      allow questionable operations, avoiding erroneous decisions which may
  1950.      well result in irreparable havoc. This option will also prevent the user
  1951.      from disabling or unloading the TBAV utilities.
  1952.  
  1953.  
  1954.      5. Never use 'strange' diskettes to boot
  1955.  
  1956.      Only boot from your hard disk or from your original DOS diskette. NEVER
  1957.      use someone else's disk to boot from. Should you have a hard disk, make
  1958.      certain that you have opened the door to your floppy drive before
  1959.      resetting or booting your PC.
  1960.  
  1961.  
  1962.      6. Use ChkDsk frequently
  1963.  
  1964.      Use the DOS program ChkDsk frequently (without the /F switch). ChkDsk is
  1965.      able to detect some viruses, because such viruses change the disk
  1966.      structure in an incorrect manner, causing disk errors in the process.
  1967.      Look out for changes in the behaviour of your software or your PC. Any
  1968.      change in their behaviour is suspect, unless you know its cause. Some
  1969.      highly suspicious symptoms are:
  1970.  
  1971.      -    The amount of available memory space has decreased.
  1972.  
  1973.      -    Programs need more time to execute.
  1974.  
  1975.  
  1976.                                       II - 4
  1977. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION II
  1978.  
  1979.  
  1980.      -    Programs do not operate as they used to, or cause the system to
  1981.           crash or reboot after some time.
  1982.  
  1983.      -    Data disappears or gets damaged.
  1984.  
  1985.      -    The size of one or more programs has increased.
  1986.  
  1987.      -    The screen behaves strangely, or unusual information is displayed.
  1988.  
  1989.      -    ChkDsk detects many errors.
  1990.  
  1991.  
  1992.  
  1993.  
  1994.  
  1995.  
  1996.  
  1997.  
  1998.  
  1999.  
  2000.  
  2001.  
  2002.  
  2003.  
  2004.  
  2005.  
  2006.  
  2007.  
  2008.  
  2009.  
  2010.  
  2011.  
  2012.  
  2013.  
  2014.  
  2015.  
  2016.  
  2017.  
  2018.  
  2019.  
  2020.  
  2021.  
  2022.  
  2023.  
  2024.  
  2025.  
  2026.  
  2027.  
  2028.  
  2029.  
  2030.  
  2031.  
  2032.  
  2033.                                       II - 5
  2034. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION II
  2035.  
  2036.  
  2037. 2. What to do when a virus strikes
  2038.  
  2039.  
  2040. 2.1. Detection of viruses
  2041.  
  2042.      The first thing to do when you become aware that your system may have
  2043.      been infected is to back up all important files immediately. Use fresh
  2044.      backup media and do not overwrite a previous back up set. You may need
  2045.      the previous set to replace lost or contaminated files. Label the new
  2046.      backup as unreliable, as some of the files may be infected.
  2047.  
  2048.      As soon as you become aware of a virus infection it is imperative that
  2049.      you boot only from a reliable, write protected recovery system diskette.
  2050.  
  2051.  
  2052.      Know the symptoms 
  2053.  
  2054.      Next, execute TbScan for an indication about what is wrong, or boot from
  2055.      a recovery diskette and compare its system files with those on the hard
  2056.      disk to check for changes. During this test you should take care to stay
  2057.      logged on to your system diskette. 
  2058.  
  2059.      TbScan will report the virus name if the virus is known, or give a
  2060.      summary of file changes if the virus cannot be identified:
  2061.  
  2062. ~         TbScan alldrives logname=lpt1 log
  2063.  
  2064.      Also execute TbUtil to check the bootsector, partition code and the CMOS
  2065.      configuration.
  2066.  
  2067.           TbUtil compare
  2068.  
  2069.      Do not execute any program on your hard disk to prevent a virus from
  2070.      invading the system's memory and possibly masking the test results.
  2071.      TbCheck will warn you if you accidentially try to execute an infected or
  2072.      unauthorized program on your hard disk.
  2073.  
  2074.      Please bear in mind that it is in the nature of a file virus to infect
  2075.      as many programs as possible over a short period. You'll hardly find
  2076.      only a few infected programs on a hard disk that is in constant use. A
  2077.      TbScan virus alert flagging a mere one percent of the files on a hard-
  2078.      worked system is probably just a false alarm that has nothing to do with
  2079.      a real virus.
  2080.  
  2081.      If the file compare test indicates that all of them are still the same,
  2082.      you know at least that you are not dealing with a file virus. 
  2083.      Avoid using the same copy of the TbScan program on another system after
  2084.      discovering a virus. TbScan performs a sanity check when it fires up.
  2085.      Unfortunately there is no way to make software 100% virus-resistant. A
  2086.      sanity check does not work if a 'stealth' type of virus is involved. A
  2087.      stealth virus can hide itself completely when a self-check is being
  2088.      performed. Do note that we are not dealing with a TbScan bug here. The
  2089.  
  2090.                                       II - 6
  2091. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION II
  2092.  
  2093.  
  2094.      failure to detect stealth viruses is common to all software performing a
  2095.      sanity check. Therefore, we recommend to keep a clean version of TbScan
  2096.      on a write-protected diskette. Use this diskette to check other machines
  2097.      once you have found a virus in your own system.
  2098.  
  2099.  
  2100.      Identify the characteristics
  2101.  
  2102.      Viruses come in many different guises and have their own peculiarities.
  2103.      It is extremely important to know at the earliest possible stage which
  2104.      particular kind of virus you are dealing with. That will give you at
  2105.      least some indication of the nature and the amount of the damage it may
  2106.      have caused already. Some viruses infect only executable files that can
  2107.      easily be reinstalled or replaced from a clean source. Others swap some
  2108.      random bytes anywhere on the hard disk, which could affect data files as
  2109.      well, although the results may not be noticeable for some time. Then
  2110.      there are those that damage the hard disk partition table or file
  2111.      allocation table, while some of the even nastier ones, the multipartite
  2112.      viruses, operate in more than one area.
  2113.  
  2114.      Whatever you do, don't panic! An inexperienced user, reacting in confu-
  2115.      sion, can often create more havoc than the virus itself, such as eradi-
  2116.      cating important data in no time. While an instant reformat may get rid
  2117.      of the virus, it will definitely destroy all your recent work as well.
  2118.  
  2119.      Once isolated the virus, either contact your support BBS, consult
  2120.      literature on virus problems, or get in touch with a virus expert. 
  2121.  
  2122.  
  2123. 2.2. Recovering from viruses
  2124.  
  2125.      While recovering from a virus infection it is particularly important to
  2126.      boot only from a clean write-protected system diskette. That is the only
  2127.      way to keep a virus out of the system's memory. Never execute a program
  2128.      from the hard disk.
  2129.  
  2130.      Restore the master boot sector and the DOS system files on the hard
  2131.      disk, using the SYS command on the system diskette. If the bootsector or
  2132.      partition code contains a virus, you may also use TbUtil to get rid of
  2133.      it by restoring clean sectors:
  2134.  
  2135.           TbUtil restore
  2136.  
  2137.      Many modern hard disks, notably IDE or AT drives using advanced prefor-
  2138.      matting methods, are low-level formatted by the supplier, ready for
  2139.      partitioning and a DOS format. Do not try to low-level format these
  2140.      drives yourself. It is always better to back up the partition table with
  2141.      a utility such as TbUtil, which restores the partition table for you
  2142.      without reformatting.
  2143.  
  2144.      If the virus has been identified as a file virus, it will be safest to
  2145.      remove the infected files (by using TbDel) and to copy or reinstall all
  2146.  
  2147.                                       II - 7
  2148. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION II
  2149.  
  2150.  
  2151.      executables from a clean source. A virus cleaning utility, such as
  2152.      TbClean, won't always be able to fully restore the original program code
  2153.      and should be used only as a last resort, such as when you don't have a
  2154.      reliable backup. It may be necessary to replace data files as well if
  2155.      the virus is known to cause damage in that area. 
  2156.  
  2157.      After reassuring yourself that the system is absolutely clean again, run
  2158.      a careful check on all diskettes and backups to remove every single
  2159.      trace of the virus. Keep in mind that it takes only one infected disket-
  2160.      te to cause the same trouble all over again. 
  2161.  
  2162.  
  2163.  
  2164.  
  2165.  
  2166.  
  2167.  
  2168.  
  2169.  
  2170.  
  2171.  
  2172.  
  2173.  
  2174.  
  2175.  
  2176.  
  2177.  
  2178.  
  2179.  
  2180.  
  2181.  
  2182.  
  2183.  
  2184.  
  2185.  
  2186.  
  2187.  
  2188.  
  2189.  
  2190.  
  2191.  
  2192.  
  2193.  
  2194.  
  2195.  
  2196.  
  2197.  
  2198.  
  2199.  
  2200.  
  2201.  
  2202.  
  2203.  
  2204.                                       II - 8
  2205. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  2206.  
  2207.  
  2208. SECTION III. USING THE TBAV UTILITIES
  2209.  
  2210.  
  2211. 1. TbScan
  2212.  
  2213. 1.1. The Purpose of TbScan
  2214.  
  2215.      TbScan is a virus scanner: it has been specifically developed to detect
  2216.      viruses, Trojan Horses and other such threats to your valuable data.
  2217.      Most viruses consist of a unique sequence of instructions, called a
  2218.      signature. Hence through checking for the appearance of such signatures
  2219.      in a file we can find out whether or not a program has been infected.
  2220.      Scanning all program files for the signatures of all known viruses helps
  2221.      you to find out quickly whether or not your system has been infected
  2222.      and, if so, by which virus. 
  2223.  
  2224.  
  2225.      Fast Scanning
  2226.  
  2227.      TbScan is the fastest scanner on the market today, therefore it invites
  2228.      users to invoke it from within their AUTOEXEC.BAT file every morning.
  2229.      Thanks to its design, TbScan will not slow down if the number of signa-
  2230.      tures increases. It doesn't matter whether you scan a file for 10 or a
  2231.      1000 signatures.
  2232.  
  2233.      TbScan checks itself on invocation. If it detects that it has been
  2234.      infected it aborts with an error. This minimizes the risk of transfer-
  2235.      ring a virus by the TbScan program itself and infecting your system.
  2236.  
  2237.      Heuristic Scanning
  2238.  
  2239.      TbScan can detect yet unknown viruses. The built-in disassembler is able
  2240.      to detect suspicious instruction sequences and abnormal program lay-
  2241.      outs. This feature is called 'heuristic scanning' and it is partially
  2242.      enabled by default. Heuristic scanning is performed on files and boots-
  2243.      ectors. 
  2244.  
  2245. =>   Note that virus scanners can only tell you whether or not your system
  2246.      has been infected and if so, if any damage has already been done. By
  2247.      that time only a non-infected backup or a recovery program such as
  2248.      TbClean can properly counter a virus infection.
  2249.  
  2250.  
  2251.      Scan Scheduling
  2252.  
  2253.      Every PC owner should use a virus scanner frequently. At least one
  2254.      should do to avoid damage caused by a virus. It is highly recommended to
  2255.      devise your own schedule for a regular scan of your system. Creating a
  2256.      special TbScan boot diskette is also recommended in this respect.
  2257.  
  2258.  
  2259.  
  2260.  
  2261.                                       III - 1
  2262. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  2263.  
  2264.  
  2265.      The following scan sessions (listed in order of preference) are recom-
  2266.      mended:
  2267.  
  2268.      Execute TbScan from a write-protected bootable diskette once a week.
  2269.      Boot from this diskette before invoking the scanner. Booting from a
  2270.      diskette is the only way to make sure that no stealth virus will become
  2271.      resident in memory.
  2272.  
  2273.      Invoke a daily scan. You can invoke TbScan with the  'once' option from
  2274.      within the autoexec.bat file to perform the daily scan session automati-
  2275.      cally. It is not necessary to boot from the bootable TbScan diskette to
  2276.      perform the daily scan.
  2277.  
  2278.      Scan new diskettes.
  2279.  
  2280.  
  2281. 1.2. How to use Tbscan
  2282.  
  2283.      For daily use you can activate TbScan by loading the program from the
  2284.      DOS commandline (eg. in the autoexec.bat file), or via the TBAV menu.
  2285.      For weekly use, when scanning from the TbScan diskette, you could use
  2286.      the DOS command. The TbScan DOS options are listed in section 1.3. of
  2287.      this chapter.
  2288.  
  2289.  
  2290.      The 'TbScan' menu
  2291.  
  2292. ~    +----Main menu-----+
  2293.      |  Confi+----TbScan menu-----+
  2294.      |  TbSet|  Start scanning   >|
  2295.      |  TbSca|  Options menu     >|
  2296.      |  TbUti|  Advanced options >|
  2297.      |  TbCle|  If virus found   >|
  2298.      |  TBAV |  Log file menu    >|
  2299.      |  Docum|  View log file     |
  2300.      |  Regis+--------------------+
  2301.      |  Quit and save   |
  2302.      |  eXit (no save)  |
  2303.      +------------------+
  2304.  
  2305.  
  2306.      View log file
  2307.  
  2308.      If one of the log file options is activated (see below) you can study
  2309.      the log file using this option. 
  2310.  
  2311.  
  2312.  
  2313.  
  2314.  
  2315.  
  2316.  
  2317.  
  2318.                                       III - 2
  2319. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  2320.  
  2321.  
  2322.      The 'Path' menu
  2323.  
  2324. ~    +----Main menu-----+
  2325.      |  Confi+----TbScan menu-----+
  2326.      |  TbSet|  Start+---------Path menu----------+
  2327.      |  TbSca|  Optio|  Specified files/paths     |
  2328.      |  TbUti|  Advan|  Current directory         |
  2329.      |  TbCle|  If vi|  Diskette in drive A:      |
  2330.      |  TBAV |  Log f|  Diskette in drive B:      |
  2331.      |  Docum|  View |  All fixed Drives          |
  2332.      |  Regis+-------|  All fixed Local drives    |
  2333.      |  Quit and save|  All fixed Network drives  |
  2334.      |  eXit (no save+----------------------------+
  2335.      +------------------+
  2336.  
  2337.  
  2338. ~    Specified files/paths
  2339.  
  2340.      This option will always present you with a prompt at which you can
  2341.      specify the drives, paths, or even files you want to scan. You can
  2342.      specify multiple path specifications separated by spaces. The field is
  2343.      initialized with the last path you scanned before you saved your confi-
  2344.      guration.
  2345.  
  2346.  
  2347. ~    Current directory
  2348.  
  2349.      Select this option if you want to scan the directory on your system from
  2350.      where you called the TBAV menu shell.
  2351.  
  2352.  
  2353. ~    Diskette in drive A: (or B:)
  2354.  
  2355.      If you want to scan multiple diskettes, you may wish to activate the
  2356.      'repeat' option of TbScan. See the 'TbScan options' menu for more
  2357.      information.
  2358.  
  2359.  
  2360. ~    All fixed drives
  2361.  
  2362.      This will cause all available drives (except the removable ones) to be
  2363.      scanned completely. Depending on the settings in the TBAV configuration
  2364.      menu you will be prompted to confirm the selected drives.
  2365.  
  2366.  
  2367. ~    All fixed Local drives
  2368.  
  2369.      If you are connected to a network, you probably don't want to scan the
  2370.      entire network always. With this option you just scan the drives which
  2371.      reside in your machine. Depending on the settings in the TBAV configura-
  2372.      tion menu you will be prompted to confirm the selected drives.
  2373.  
  2374.  
  2375.                                       III - 3
  2376. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  2377.  
  2378.  
  2379. ~    All fixed Network drives
  2380.  
  2381.      With this option you can scan all network drives. Depending on the
  2382.      settings in the TBAV configuration menu you will be prompted to confirm
  2383.      the selected drives.
  2384.  
  2385.  
  2386.  
  2387.      The 'TbScan options' menu
  2388.  
  2389. ~    +----Main menu-----+
  2390.      |  Confi+------TbScan menu------+
  2391.      |  TbSet|  Start+-----TbScan options------+
  2392.      |  TbSca|  Optio|  Use TBAV.INI file      |
  2393.      |  TbUti|  Advan|  Prompt for pause       |
  2394.      |  TbCLe|  If vi|  Quick scan             |
  2395.      |  TBAV |  Log f|  Non-executable scan    |
  2396.      |  Docum|  View |  Maximum Compatibility  |
  2397.      |  Regis+-------|v Bootsector scan        |
  2398.      |  Quit and save|v Memory scan            |
  2399.      |  eXit (no save|  HMA scan forced        |
  2400.      +---------------|v Upper memory scan      |
  2401.                      |v Sub-Directory scan     |
  2402.                      |  Repeat scanning        |
  2403.                      |v Abort on Ctrl-Break    |
  2404.                      |v Fast scrolling         |
  2405.                      +-------------------------+
  2406.  
  2407.  
  2408.      Use TBAV.INI file
  2409.  
  2410.      TbScan searches for a file named TBAV.INI in the TbScan directory. By
  2411.      enabling this option, the TbScan configuration values, saved in the
  2412.      TBAV.INI file, will also be valid when loading TbScan from the command
  2413.      line. Be careful, since options specified in the TBAV.INI file can not
  2414.      be undone on the command line. See chapter I-2 ('Configuration').
  2415.  
  2416.  
  2417.      Prompt for pause
  2418.  
  2419.      When you activate the 'pause' option TbScan will stop after it has
  2420.      checked the contents of one window. This gives you the possibility to
  2421.      examine the results without having to consult a log file afterwards.
  2422.  
  2423.  
  2424.      Quick scan
  2425.  
  2426.      TbScan will use the Anti-Vir.Dat files to check for file changes since
  2427.      the last time. Only if a file has been changed (CRC change) or is not
  2428.      yet listed in Anti-Vir.Dat it will be scanned. Normally TbScan will
  2429.      always scan files.
  2430.  
  2431.  
  2432.                                       III - 4
  2433. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  2434.  
  2435.  
  2436.      Non-executable scan 
  2437.  
  2438.      With this option TbScan will scan non-executable files (files without
  2439.      extension COM, EXE, SYS or BIN) too. If TbScan finds out that such a
  2440.      file does not contain anything that can be executed by the processor the
  2441.      file will be 'skipped'. Otherwise the file will be searched for COM, EXE
  2442.      and SYS signatures. TbScan however will not perform heuristic analysis
  2443.      on non-executable files. Since viruses normally do not infect non-
  2444.      executable files it is not necessary to scan non-executable files too.
  2445.      We even recommend not to use this option unless you have a good reason
  2446.      to scan all files.
  2447.  
  2448.      Once again: a virus needs to be executed to perform what it is program-
  2449.      med to do, and since non-executable files will not be executed a virus
  2450.      in such a file can not do anything. For this reason viruses do not even
  2451.      try to infect such files. Some viruses however will write to non-execu-
  2452.      table files as a result of 'incorrect' programming. If so, these non-
  2453.      executable files will never harm other program or data files, but do
  2454.      contain corrupted data.
  2455.  
  2456.  
  2457.      Maximum compatibility 
  2458.  
  2459.      If you select this option, TbScan attempts to be more compatible with
  2460.      your system. Use this option if the program does not behave as you would
  2461.      expect, or even halts the system. This option will slow down the scan-
  2462.      ning process. Therefore, it should only be used if necessary. 
  2463. =>   Note that this option does not affect the results of a scan.
  2464.  
  2465.  
  2466.      Bootsector scan 
  2467.  
  2468.      Enabling this option will force TbScan to scan the bootsector as well.
  2469.  
  2470.  
  2471.      Memory scan 
  2472.  
  2473.      Enabling this option will force TbScan to scan the memory of the PC.
  2474.  
  2475.  
  2476.      HMA scan forced 
  2477.  
  2478.      TbScan detects the presence of an XMS-driver, and scans HMA automa-
  2479.      tically. If you have an HMA-driver which is not compatible with the XMS
  2480.      standard you can use the 'HMA' option to force TbScan to scan HMA.
  2481.  
  2482.  
  2483.      Upper memory scan 
  2484.  
  2485.      By default TbScan identifies RAM beyond the DOS limit and scans that
  2486.      too. This means that video memory and the current EMS pages are scanned
  2487.  
  2488.  
  2489.                                       III - 5
  2490. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  2491.  
  2492.  
  2493.      by default. You can use this option to enable the scanning of non-DOS
  2494.      memory.
  2495.  
  2496.  
  2497.      Subdirectory scan 
  2498.  
  2499.      By default TbScan will search sub-directories for executable  files,
  2500.      unless a filename (wildcards allowed!) is specified. If you disable this
  2501.      option, TbScan will not scan sub-directories.
  2502.  
  2503.  
  2504.      Repeat scanning
  2505.  
  2506.      This option is very useful if you want to check a large amount of
  2507.      diskettes. TbScan does not return to DOS after checking a disk, but it
  2508.      prompts you to insert another disk in the drive.
  2509.  
  2510.  
  2511. ~    Abort on Ctrl-Break
  2512.  
  2513.      You can disable this option if you don't want to be able to abort TbScan
  2514.      with Ctrl-Break.
  2515.  
  2516.  
  2517. ~    Fast scrolling
  2518.  
  2519.      TbScan shows the processed file in a scrolling window. There are two
  2520.      methods of scrolling: fast scrolling where the files are displayed on
  2521.      top of the previous ones if the window becomes filled, and the conventi-
  2522.      onal slow method of scrolling where the files at the bottom 'push up'
  2523.      the previous ones. By default TbScan uses the faster but less attractive
  2524.      method of scrolling.
  2525.  
  2526.  
  2527.      The 'TbScan advanced options' menu
  2528.  
  2529. ~    +----Main menu-----+
  2530.      |  Confi+------TbScan menu------+
  2531.      |  TbSet|  Start+------TbScan advanced options-----+
  2532.      |  TbSca|  Optio|  High heuristic sensitivity      |
  2533.      |  TbUti|  Advan|v Auto heuristic sensitivity      |
  2534.      |  TbCLe|  If vi|  Low heuristic sensitivity       |
  2535.      |  TBAV |  Log f|  Extract signatures              |
  2536.      |  Docum|  View |  Configure executable extensions |
  2537.      |  Regis+-------+----------------------------------+
  2538.      |  Quit and save   |                      
  2539.      |  eXit (no save)  |
  2540.      +------------------+
  2541.  
  2542.  
  2543.  
  2544.  
  2545.  
  2546.                                       III - 6
  2547. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  2548.  
  2549.  
  2550. ~    High heuristic sensitivity 
  2551.  
  2552.      TbScan always performs a heuristic scan on the files being processed.
  2553.      However, only if a file is very probably infected with a virus, TbScan
  2554.      will report the file as being infected. If you use option 'heuristic',
  2555.      TbScan is somewhat more sensitive. In this mode 90% of the new, unknown,
  2556.      viruses will be detected without any signature, but some false alarms
  2557.      may occur. Consult also section 'Heuristic scanning' of this chapter
  2558.      (3.1).
  2559.  
  2560.  
  2561. ~    Auto heuristic sensitivity 
  2562.  
  2563.      TbScan automatically adjusts the heuristic detection level after a virus
  2564.      has been found. This provides you maximum detection capabilities in case
  2565.      you need it, while the amount of false alarms due to heuristics remains
  2566.      small in normal situations. In other words: as soon as a virus has been
  2567.      found, TbScan will anticipate and proceed as if 'high heuristic sensiti-
  2568.      vity' has been selected.
  2569.  
  2570.  
  2571. ~    Low heuristic sensitivity
  2572.  
  2573.      In this mode TbScan will almost never issue a false alarm. However still
  2574.      about 50% of the new unknown viruses will be detected.
  2575.  
  2576.  
  2577.      Extract signatures 
  2578.  
  2579.      This option is available to registered users only. See the chapter
  2580.      'TbGensig' (IV-5) on how to use the option 'extract'.
  2581.  
  2582.  
  2583. ~    Configure executable extensions
  2584.  
  2585.      By default, TbScan only scans file with a filename extension which
  2586.      indicates that the file is a program file. Viruses which do not infect
  2587.      executable code simply do not exist. Files with the extension EXE, COM,
  2588.      BIN, SYS, OV? are considered to be executable. 
  2589.  
  2590.      However, there are some additional files which have an internal layout
  2591.      that makes them suitable for infection by viruses. Although it is not
  2592.      likely that you will ever execute most of these files, you may want to
  2593.      scan them anyway.
  2594.  
  2595.      Some filename extensions that may indicate an executable format are:
  2596.      .DLL.SCR.MOD.CPL.00?.APP
  2597.      The first four extensions indicate Windows executable files. They
  2598.      normally display "This program requires Microsoft Windows" when you try
  2599.      to execute them, so you probably won't run these files often under DOS.
  2600.      Even when they are infected by a DOS virus they are not likely a threat
  2601.      since you don't execute them. Therefore TbScan does not scan them by
  2602.  
  2603.                                       III - 7
  2604. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  2605.  
  2606.  
  2607.      default. To make TbScan scan these files by default, select this option
  2608.      and fill out the extensions you want to have scanned. The question mark
  2609.      as wildcard is allowed.
  2610.  
  2611.      Warning! Be careful about which extensions you specify: scanning a non-
  2612.      executable file causes unpredicatble results, and may result in false
  2613.      alarms.
  2614.  
  2615.  
  2616.      The 'If virus found' menu
  2617.  
  2618.      In this menu, you can configure the actions TbScan should take, if
  2619.      detecting a virus.
  2620.  
  2621.  
  2622. ~    +----Main menu-----+
  2623.      |  Confi+------TbScan menu------+
  2624.      |  TbSet|  Start+--What if a virus is found?--+
  2625.      |  TbSca|  Optio|v Present action menu        |
  2626.      |  TbUti|  Advan|  Just continue (log only)   |
  2627.      |  TbCLe|  If vi|  Delete infected file       |
  2628.      |  TBAV |  Log f|  Kill infected file         |
  2629.      |  Docum|  View |  Rename infected file       |
  2630.      |  Regis+-------+-----------------------------+
  2631.      |  Quit and save   |
  2632.      |  eXit (no save)  |
  2633.      +------------------+
  2634.  
  2635.  
  2636.      Present action menu
  2637.  
  2638.      If TbScan detects a virus, the program will display a menu containing
  2639.      the possible actions to be taken: just continu, delete or rename the
  2640.      infected file.
  2641.  
  2642.  
  2643.      Just continue (log only) 
  2644.  
  2645.      If TbScan detects an infected file it prompts the user to delete or
  2646.      rename the infected file, or to continue without action. If you select
  2647.      this option, TbScan will always continue. We highly recommend you to use
  2648.      a log file in such situations, as a scanning operation does not make
  2649.      much sense without the return messages being read (see 'Command line
  2650.      options').
  2651.  
  2652.  
  2653.      Delete infected file 
  2654.  
  2655.      If TbScan detects a virus in a file it prompts the user to delete or
  2656.      rename the infected file, or to continue without action. If you specify
  2657.      the 'delete' option, TbScan will delete the infected file automatically,
  2658.      without prompting the user first. Use this option if you have determined
  2659.  
  2660.                                       III - 8
  2661. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  2662.  
  2663.  
  2664.      it is a virus infection. Make sure that you have a clean back-up, and
  2665.      that you really want to get rid of all infected files at once.
  2666.  
  2667.  
  2668. ~    Kill infected file
  2669.  
  2670.      This option is nearly the same as the 'delete' option. However, with the
  2671.      DOS 'undelete' program you can recover a deleted file, but if a file has
  2672.      been deleted with the 'kill' option, recovery is not possible anymore.
  2673.  
  2674.  
  2675.      Rename infected file 
  2676.  
  2677.      If TbScan detects a file virus it prompts the user to delete or rename
  2678.      the infected file, or to continue without action. If you select the
  2679.      'rename' option, TbScan will rename the infected file automatically,
  2680.      without prompting the user first. By default, the first character of the
  2681.      file extension will be replaced by the character 'V'. An .EXE file will
  2682.      be renamed to .VXE, and a .COM file to .VOM. This prevents the infected
  2683.      programs from being executed, spreading the infection. At the same time
  2684.      they can be kept for later examination and repair.
  2685.  
  2686.  
  2687.  
  2688.      The 'TbScan LOG' menu
  2689.  
  2690. ~    +----Main menu-----+
  2691.      |  Confi+------TbScan menu------+
  2692.      |  TbSet|  Start+-------TbScan LOG menu-------+
  2693.      |  TbSca|  Optio|  Log file path/name         |
  2694.      |  TbUti|  Advan|  Output to log file         |
  2695.      |  TbCLe|  If vi|  Specify log-level         >|
  2696.      |  TBAV |  Log f|  Append to existing log     |
  2697.      |  Docum|  View |  No heuristic descriptions  |
  2698.      |  Regis+-------+-----------------------------+
  2699.      |  Quit and save   |
  2700.      |  eXit (no save)  |
  2701.      +------------------+
  2702.  
  2703.  
  2704.      Log file path/name 
  2705.  
  2706.      With option logname you can specify the name of the log file to be used.
  2707.      TbScan will create the file in the current directory unless you specify
  2708.      a path and filename after selecting this option. If the log file already
  2709.      exists, it will be overwritten. If you want to print the results, you
  2710.      can specify a printer device name rather than a filename (logname=lpt1).
  2711. =>   Note: you have to combine this option with option 'log'. 
  2712.  
  2713.  
  2714.  
  2715.  
  2716.  
  2717.                                       III - 9
  2718. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  2719.  
  2720.  
  2721.      Output to logfile 
  2722.  
  2723.      When you use this option, TbScan creates a log file. The log file lists
  2724.      all infected program files, specifying heuristic flags (see: appendix B)
  2725.      and complete pathnames.
  2726.  
  2727.  
  2728.      Append to existing log 
  2729.  
  2730.      If you use this option, TbScan will not overwrite an existing log file
  2731.      but append the new information to it. If you use this option often, it
  2732.      is recommended to delete or truncate the log file once in a while to
  2733.      avoid unlimited growth.
  2734. =>   Note: you have to combine this option with option 'log'. 
  2735.  
  2736.  
  2737.      No heuristic descriptions 
  2738.  
  2739.      If you enable this option TbScan will not specify the descrip-tions of
  2740.      the heuristic flags in the log file. The heuristic flag descriptions are
  2741.      listed in appendix B.
  2742.  
  2743.  
  2744.      The 'LOG level' menu
  2745.  
  2746. ~    +----Main menu-----+
  2747.      |  Confi+------TbScan menu------+
  2748.      |  TbSet|  Start+-------TbScan LOG menu-------+
  2749.      |  TbSca|  Optio|  Log f+--------Log-level menu--------+
  2750.      |  TbUti|  Advan|  Outpu|  0: Log only infected files  |
  2751.      |  TbCLe|  If vi|  Speci|v 1: Log summary too          |
  2752.      |  TBAV |  Log f|  Appen|  2: Log suspected too        |
  2753.      |  Docum|  View |  No he|  3: Log all warnings too     |
  2754.      |  Regis+-------+-------|  4: Log clean files too      |
  2755.      |  Quit and save   |    +------------------------------+
  2756.      |  eXit (no save)  |
  2757.      +------------------+
  2758.  
  2759.  
  2760.      Loglevel 
  2761.  
  2762.      These levels determine what kind of file information will be stored in
  2763.      the log file. The default log level is 1. You may select one of five log
  2764.      levels:
  2765.  
  2766.      0    Log only infected files. If there are no infected files do not
  2767.           create or change the log file.
  2768.  
  2769.      1    Log summary too. Put a summary and timestamp in the log file. Put
  2770.           only infected files in the log file.
  2771.  
  2772.  
  2773.  
  2774.                                      III - 10
  2775. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  2776.  
  2777.  
  2778.      2    Log suspected too. Same as loglevel=1, but now also 'suspected'
  2779.           files are logged. Suspected files are files that would trigger the
  2780.           heuristic alarm if option 'heuristic' had been specified.
  2781.  
  2782.      3    Log all warnings too. Same as loglevel=2, but all files that have a
  2783.           warning character printed behind the filename will be logged too.
  2784.  
  2785.      4    Log clean files too. All files being processed will be put into the
  2786.           log file.
  2787.  
  2788.  
  2789. 1.3. Command line options
  2790.  
  2791.      When loaded from the DOS command line, Tbscan recognizes option short-
  2792.      keys and option words. The words are easier to memorize, and they will
  2793.      be used in this manual for convenience. TbScan searches for a file named
  2794.      TBAV.INI in the TbScan directory. 
  2795.  
  2796.      If the keyword 'UseIni' is specified in the [TbScan] section of the
  2797.      TBAV.INI file, the options will also be valid when TbScan is invoked
  2798.      from the command line. Be careful, as options specified in the TBAV.INI
  2799.      file can not be undone on the command line.
  2800.  
  2801.  
  2802.  
  2803.  
  2804.  
  2805.  
  2806.  
  2807.  
  2808.  
  2809.  
  2810.  
  2811.  
  2812.  
  2813.  
  2814.  
  2815.  
  2816.  
  2817.  
  2818.  
  2819.  
  2820.  
  2821.  
  2822.  
  2823.  
  2824.  
  2825.  
  2826.  
  2827.  
  2828.  
  2829.  
  2830.  
  2831.                                      III - 11
  2832. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  2833.  
  2834.  
  2835.      option parameter        short  explanation
  2836.      -----------------------------------------------------------------
  2837.      help                    he     help 
  2838.      pause                   pa     enable 'Pause' prompt
  2839.      mono                    mo     force monochrome
  2840.      quick                   qs     quick scan (uses Anti-Vir.Dat)
  2841.      allfiles                af     scan non-executable files too
  2842. ~    alldrives               ad     scan all local non-removable drives
  2843. ~    allnet                  an     scan all network drives
  2844.      heuristic               hr     enable heuristic alerts
  2845.      extract                 ex     extract signature (registered only)
  2846.      once                    oo     only once a day
  2847. ~    slowscroll              ss     enable conventional (slow) scrolling
  2848.      secure                  se     user abort not allowed (reg. only)
  2849.      compat                  co     maximum-compatibility mode
  2850.      ignofile                in     ignore no-file-error
  2851. ~    old                     ol     disable "this program is old" message
  2852.      noboot                  nb     skip bootsector check
  2853.      nomem                   nm     skip memory check
  2854.      hma                     hm     force HMA scan
  2855.      nohmem                  nh     skip UMB/HMA scan
  2856.      nosub                   ns     skip sub-directories
  2857.      noautohr                na     auto heuristic level adjust
  2858.      repeat                  rp     scan multiple diskettes
  2859.      batch                   ba     batch mode. No user input
  2860.      delete                  de     delete infected files
  2861. ~    kill                    ki     kill infected files
  2862.      log                     lo     output to logfile
  2863.      append                  ap     log file append mode
  2864.      expertlog               el     no heuristic descriptions in log 
  2865.  
  2866.      logname  =<filename>    ln     set path/name of log file
  2867.      loglevel =<0..4>        ll     set log level
  2868. ~    wait     =<0...255>     wa     amount of timerticks to wait
  2869.      rename   [=<text-mask>] rn     rename infected files
  2870. ~    exec     =.<ext-mask>   ee     specify executable extensions
  2871.  
  2872.  
  2873.      You can find an explanation on most of the command line options at the
  2874.      similar menu descriptions presented above. 
  2875.  
  2876.      help (he)
  2877.      If you specify this option TbScan will display the help as listed above.
  2878.  
  2879.      pause (pa)
  2880.      When you activate the 'pause' option TbScan will stop after it has
  2881.      checked the contents of one window. This gives you the possibility to
  2882.      examine the results without having to consult a log file afterwards.
  2883.  
  2884.  
  2885.  
  2886.  
  2887.  
  2888.                                      III - 12
  2889. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  2890.  
  2891.  
  2892.      mono (mo)
  2893.      This option forces TbScan to refrain from using colors in the screen
  2894.      output. This might enhance the screen output on some LCD screens or
  2895.      color-emulating monochrome systems.
  2896.  
  2897.      quick (qs)
  2898.      TbScan will use the Anti-Vir.Dat files to check for file changes since
  2899.      the last time only. Only if a file has been changed (CRC change) or is
  2900.      not yet listed in Anti-Vir.Dat it will be scanned. Normally TbScan will
  2901.      always scan files.
  2902.  
  2903.      allfiles (af)
  2904.      With this option TbScan will scan non-executable files (files without
  2905.      extension COM, EXE, SYS or BIN) too. If TbScan finds out that such a
  2906.      file does not contain anything that can be executed by the processor the
  2907.      file will be 'skipped'. Otherwise the file will be searched for COM, EXE
  2908.      and SYS signatures. TbScan however will not perform heuristic analysis
  2909.      on non-executable files.
  2910.  
  2911.      Since viruses normally do not infect non-executable files it is not
  2912.      necessary to scan non-executable files too. We even recommend not to use
  2913.      this option unless you have a good reason to scan all files. Once again:
  2914.      a virus needs to be executed to perform what it is programmed to do, and
  2915.      since non-executable files will not be executed a virus in such a file
  2916.      can not do anything. For this reason viruses do not even try to infect
  2917.      such files. Some viruses however will write to non-executable files as a
  2918.      result of 'incorrect' programming. If so, these non-executable files
  2919.      will never harm other program or data files, but do contain corrupted
  2920.      data.
  2921.  
  2922. ~    alldrives (ad)
  2923.      This option causes TbScan to scan all local non-removabe disks.
  2924.  
  2925. ~    allnet (an)
  2926.      This option causes TbScan to scan all network drives.
  2927.  
  2928.      heuristic (hr)
  2929.      TbScan always performs a heuristic scan on the files being processed.
  2930.      However, only if a file is very probably infected with a virus, TbScan
  2931.      will report the file as being infected. If you use option 'heuristic',
  2932.      TbScan is somewhat more sensitive. In this mode 90% of the new, unknown,
  2933.      viruses will be detected without any signature, but some false alarms
  2934.      may occur. Consult also section 'Heuristic scanning' of this chapter
  2935.      (3.1). 
  2936.  
  2937.      extract (ex)
  2938.      This option is available to registered users only. See the chapter
  2939.      'TbGensig' (IV-5) on how to use the option 'extract'. 
  2940.  
  2941.      once (oo)
  2942.      If you specify this option TbScan will 'remember' after its scan that is
  2943.      has been executed that day, and that it should not be executed again the
  2944.  
  2945.                                      III - 13
  2946. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  2947.  
  2948.  
  2949.      same day with this particular option set. This option is very useful if
  2950.      you incorporate it in your AUTOEXEC.BAT file in combination with a list
  2951.      file:
  2952.           TbScan @Everyday.Lst once rename
  2953.  
  2954.      TbScan will now scan the list of files and/or paths specified in the
  2955.      file EVERYDAY.LST during the first boot-up of the day. 
  2956.  
  2957.      If the systems boots more often that day, TbScan will then return to DOS
  2958.      immediately.  This option does not interfere with the regular use of
  2959.      TbScan. If you invoke TbScan without the 'once' option it will always be
  2960.      executed, regardless of a previous run with the 'once' option set.
  2961.  
  2962. =>   Note that if TbScan cannot write to TBSCAN.EXE because it has been
  2963.      flagged 'read-only' or is located on a write-protected diskette, the
  2964.      'once' option will fail and the scanner will be executed without it.
  2965.  
  2966. ~    slowscroll (ss)
  2967.      If you specify this option, TbScan will scroll the files in the files
  2968.      window conventionally. This method is slower but looks nicer.
  2969.  
  2970.      secure (se)
  2971.      This option is available to registered users only. If this option is
  2972.      specified it is no longer possible to cancel TbScan by pressing Ctrl-
  2973.      Break, or to respond to a virus alert window.
  2974.  
  2975.      compat (co)
  2976.      If you select this option, TbScan attempts to be more compatible with
  2977.      your system. Use this option if the program does not behave as you would
  2978.      expect, or even halts the system. This option will slow down the scan-
  2979.      ning process. Therefore, it should only be used if necessary. 
  2980.      Note that this option does not affect the results of a scan.
  2981.  
  2982.      ignofile (in)
  2983.      If this option is specified and no files can be found, TbScan will not
  2984.      display the 'no files found' message, nor does it exit with errorlevel
  2985.      1. This option might be useful for automatic contents scanning.
  2986.  
  2987. ~    old (ol)
  2988.      This option suppresses the message which appears if TbScan is 6 months
  2989.      old.
  2990.  
  2991.      noboot (nb)
  2992.      If you specify this option TbScan will not scan the bootsector.
  2993.  
  2994.      nomem (nm)
  2995.      If you specify this option TbScan will not scan the memory of the PC for
  2996.      viruses.
  2997.  
  2998.  
  2999.  
  3000.  
  3001.  
  3002.                                      III - 14
  3003. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  3004.  
  3005.  
  3006.      hma (hm)
  3007.      TbScan detects the presence of an XMS-driver, and scans HMA automa-
  3008.      tically. If you have an HMA-driver which is not compatible with the XMS
  3009.      standard you can use the 'HMA' option to force TbScan to scan HMA.
  3010.  
  3011.      nohmem (nh)
  3012.      By default TbScan identifies RAM beyond the DOS limit and scans that
  3013.      too. This means that video memory and the current EMS pages are scanned
  3014.      by default. You can use this option to disable the scanning of non-DOS
  3015.      memory.
  3016.  
  3017.      nosub (ns)
  3018.      By default TbScan will search sub-directories for executable  files,
  3019.      unless a filename (wildcards allowed!) is specified. If you enable this
  3020.      option, TbScan will not scan sub-directories.
  3021.  
  3022.      noautohr (na)
  3023.      TbScan automatically adjusts the heuristic detection level after a virus
  3024.      has been found. This provides you maximum detection capabilities in case
  3025.      you need it, while the amount of false alarms due to heuristics remains
  3026.      small in normal situations. In other words: as soon as a virus has been
  3027.      found, TbScan will anticipate and proceed as if option 'heuristic' has
  3028.      been speci-fied. If you don't want this, you can specify option 'noau-
  3029.      tohr'.
  3030.  
  3031.      repeat (rp)
  3032.      This option is very useful if you want to check a large amount of
  3033.      diskettes. TbScan does not return to DOS after checking a disk, but it
  3034.      prompts you to insert another disk in the drive.
  3035.  
  3036.      batch (ba)
  3037.      By enabling this option TbScan will scan without displaying any messa-
  3038.      ges. Therefore, the use of a LOG file is highly
  3039.      advisable.
  3040.  
  3041.      delete (de)
  3042.      If TbScan detects a virus in a file it prompts the user to delete or
  3043.      rename the infected file, or to continue without action. If you specify
  3044.      the 'delete' option, TbScan will delete the infected file automatically,
  3045.      without prompting the user first. Use this option if you have determined
  3046.      it is a virus infection. Make sure that you have a clean back-up, and
  3047.      that you really want to get rid of all infected files at once.
  3048.  
  3049. ~    kill (ki)
  3050.      If TbScan detects a virus in a file it prompts the user to deleter or
  3051.      rename the infected file, or to continue without action. If you specify
  3052.      the 'kill' option, TbScan will delete the infected file automatically,
  3053.      without prompting the user first. However, unlike the 'delete' option,
  3054.      files which have been killed can not be undeleted anymore. Be careful if
  3055.      you use this option. Make sure you have a clean back-up!
  3056.  
  3057.  
  3058.  
  3059.                                      III - 15
  3060. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  3061.  
  3062.  
  3063.      log (lo)
  3064.      When you use this option, TbScan creates a log file. The log file lists
  3065.      all infected program files, specifying heuristic flags (see: appendix B)
  3066.      and complete pathnames.
  3067.  
  3068.      append (ap)
  3069.      If you use this option, TbScan will not overwrite an existing log file
  3070.      but append the new information to it. If you use this option often, it
  3071.      is recommended to delete or truncate the log file once in a while to
  3072.      avoid unlimited growth.
  3073. =>   Note: you have to combine this option with option 'log'.
  3074.  
  3075.      expertlog (el)
  3076.      If you enable this option TbScan will not specify the descriptions of
  3077.      the heuristic flags in the log file. The heuristic flag descriptions are
  3078.      listed in appendix B.
  3079.  
  3080.      logname =<filename> (ln)
  3081.      With option logname you can specify the name of the log file to be used.
  3082.      TbScan will create the file in the current directory unless you specify
  3083.      a path and filename after selecting this option. If the log file already
  3084.      exists, it will be overwritten. If you want to print the results, you
  3085.      can specify a printer device name rather than a filename (logname=lpt1).
  3086. =>   Note: you have to combine this option with option 'log'.
  3087.  
  3088.      loglevel =<0..4> (ll)
  3089.      These levels determine what kind of file information will be stored in
  3090.      the log file. The default log level is 1. You may select one of five log
  3091.      levels:
  3092.  
  3093.      0    Log only infected files. If there are no infected files do not
  3094.           create or change the log file.
  3095.  
  3096.      1    Log summary too. Put a summary and timestamp in the log file. Put
  3097.           only infected files in the log file.
  3098.  
  3099.      2    Log suspected too. Same as loglevel=1, but now also 'suspected'
  3100.           files are logged. Suspected files are files that would trigger the
  3101.           heuristic alarm if option 'heuristic' had been specified.
  3102.  
  3103.      3    Log all warnings too. Same as loglevel=2, but all files that have a
  3104.           warning character printed behind the filename will be logged too.
  3105.  
  3106.      4    Log clean files too. All files being processed will be put into the
  3107.           log file.
  3108.  
  3109. =>   Note: you have to combine this option with option 'log'.
  3110.  
  3111. ~    wait =<0..255> (wa)
  3112.      This option can be used to delay TbScan, which may be handy if you want
  3113.      to scan a very busy network and you don't want to occupy the network to
  3114.  
  3115.  
  3116.                                      III - 16
  3117. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  3118.  
  3119.  
  3120.      havily. You have to specify the amount of timer ticks you want to insert
  3121.      between every two files scanned.
  3122.  
  3123.      rename [=<text-mask>] (rn)
  3124.      If TbScan detects a file virus it prompts the user to delete or rename
  3125.      the infected file, or to continue without action. If you select the
  3126.      'rename' option, TbScan will rename the infected file automatically,
  3127.      without prompting the user first. By default, the first character of the
  3128.      file extension will be replced by the character 'V'. An .EXE file will
  3129.      be renamed to .VXE, and a .COM file to .VOM. This prevents the infected
  3130.      programs from being executed, spreading the infection. At the same time
  3131.      they can be kept for later examination and repair.
  3132.  
  3133.      You may also add a parameter to this option specifying the target
  3134.      extension. This parameter should always contain 3 characters; question
  3135.      marks are allowed. The default target extension is 'V??'.
  3136.  
  3137. ~    exec =.<ext-mask> (ee)
  3138.      With this option you can add filename extensions which indicate that a
  3139.      file is executable. If you want to use this option, you probably want to
  3140.      put it in the configuration file. Consult the explanation of the similar
  3141.      menu option for more details.
  3142.  
  3143.  
  3144.      Examples:
  3145.           TbScan c:\ noboot 
  3146.  
  3147.      Process all executable files in the root directory and its subdirecto-
  3148.      ries. Skip the bootsector scan.
  3149.  
  3150.           TbScan \*.* 
  3151.  
  3152.      Process all files in the root directory. Don't process subdirectories.
  3153.  
  3154.           TbScan c:\ log logname=c:\test.log loglevel=2
  3155.  
  3156.      All executable files on drive C: will be checked. A LOG file with the
  3157.      name c:\test.log will be created. The log file will contain all infected
  3158.      and suspected files.
  3159.  
  3160.           TbScan \ log logname=lpt1
  3161.  
  3162.      TbScan will scan the root directory and its subdirectories. The results
  3163.      are redirected to the printer rather than to a log file.
  3164.  
  3165.  
  3166. 1.4. The scanning process
  3167.  
  3168.      Choose the 'Start scanning' option in the TbScan menu or start the
  3169.      TbScan program from the DOS command line. TbScan will start scanning
  3170.      right away.
  3171.  
  3172.  
  3173.                                      III - 17
  3174. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  3175.  
  3176.  
  3177.      +-----------------------------------------------------------------+
  3178.      |Thunderbyte virus detector v6.04 - (C) 1989-93, Thunderbyte B.V. |
  3179.      |                                                                 |
  3180.      | TBAV is upgraded every two months. Free hotline support is      |
  3181.      | provided for all registered users via telephone, fax and        |
  3182.      | electronic bulletin board. Read the comprehensive documentation |
  3183.      | files for detailed info. BBS: +31- 85- 212 395                  |
  3184.      |                                                                 |
  3185.      | C:\DOS\                                                         |
  3186.      | ** Unregistered evaluation version. Don't forget to register! **|
  3187.      |                                                                 |
  3188.      | ANSI.SYS      scanning..>        OK    signatures:        986   |
  3189.      | COUNTRY.SYS   skipping..>        OK                             |
  3190.      | DISKCOPY.COM  tracing...>        OK    file system:       OWN   |
  3191.      | DISPLAY.SYS   scanning..>        OK                             |
  3192.      | DRIVER.SYS    scanning..>        OK    directories:        01   |
  3193.      | EGA.CPI       skipping..>        OK    total files:        17   |
  3194.      | FASTOPEN.EXE  looking...>        OK    executables:        12   |
  3195.      | FDISK.EXE     looking...>        OK    CRC verified:       10   |
  3196.      | FORMAT.COM    tracing...>   E    OK    changed files:      00   |
  3197.      | GRAFTABL.COM  tracing...>        OK    infected items:     00   |
  3198.      | GRAPHICS.COM  tracing...>        OK                             |
  3199.      | GRAPHICS.PRO  skipping..>        OK    elapsed time:    00:05   |
  3200.      |                                        Kb /second:        57    |
  3201.      |                                                                 |
  3202.      +-----------------------------------------------------------------+
  3203.  
  3204.      TbScan divides the screen into three windows: an information window, a
  3205.      scanning window and a status window. The information window will initi-
  3206.      ally display the vendor information only. 
  3207.  
  3208.  
  3209.      While Scanning
  3210.  
  3211.      If TbScan detects infected files the names of the file and the virus
  3212.      will be displayed in the upper window. The lower left window displays
  3213.      the names of the files being processed, the algorithm in use, info and
  3214.      heuristic flags, and finally an OK statement or the name of the virus
  3215.      detected.
  3216.  
  3217.  
  3218.      Example: NLSFUNC.EXE     checking..>    FU          OK
  3219.                  |              |            |           |
  3220.                  |              |            |           result of scan
  3221.                  |              |            heuristic flags
  3222.                  |              algorithm being used to process file
  3223.                  name of file in process
  3224.  
  3225.  
  3226.      You will see comments following each file name: 'looking', 'checking',
  3227.      'tracing', 'scanning' or 'skipping'. These refer to the various algo-
  3228.      rithms being used to scan files.
  3229.  
  3230.                                      III - 18
  3231. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  3232.  
  3233.  
  3234.      Other comments that TbScan can display here are the heuristic flags.
  3235.      Consult the 'Heuristic flags' chapter (1.3) for more information on
  3236.      these warning characters.
  3237.  
  3238.      The lower right window is the status window. It displays the number of
  3239.      files and directories encountered, the amount of viruses found. It also
  3240.      displays which file system is being used: either "DOS" or "OWN". The
  3241.      latter means that TbScan is able to bypass DOS. If this is the case,
  3242.      TbScan reads all files directly from disk for extra security and speed.
  3243.  
  3244.      The scanning process can be aborted by pressing Ctrl-Break.
  3245.  
  3246.  
  3247.      Detecting Viruses
  3248.  
  3249.      As soon as an infected program is found, TbScan will display the name of
  3250.      the virus. If you did not specify one of the  options 'batch', 'rename'
  3251.      or 'delete', TbScan will prompt you to specify the appropriate action.
  3252.      If you choose to rename the file, the first character of the file
  3253.      extension will be replaced by the character 'V'. This prevents the file
  3254.      from being executed by accident before it has been investigated more
  3255.      thoroughly. 
  3256.  
  3257.  
  3258.      If an infected file is detected, TbScan will display a message:
  3259.  
  3260.           Infected by [name of virus] virus.
  3261.           The file is infected by the virus mentioned.
  3262.  
  3263.           Is Joke named [name of Joke]  
  3264.           There are some programs which simulate that the system is infected
  3265.           by a virus. A joke is completely harmless.
  3266.  
  3267.           Is Trojan named [name of Trojan]
  3268.           The file is a Trojan Horse.Do not execute the program but delete
  3269.           it.
  3270.  
  3271.           Damaged by [name of virus]
  3272.           A damaged file contains - unlike an infected file - not the virus
  3273.           itself, but has been damaged by the virus.
  3274.  
  3275.           Dropper of [name of virus]
  3276.           A dropper is a program that has not been infected itself, but which
  3277.           does contain a bootsector virus and is able to install it in your
  3278.           bootsector.
  3279.  
  3280.           Overwritten by [name of virus]
  3281.           Some viruses overwrite files. An overwritten file contains - unlike
  3282.           an infected file - not the virus itself, but has been overwritten
  3283.           with garbage.
  3284.  
  3285.  
  3286.  
  3287.                                      III - 19
  3288. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  3289.  
  3290.  
  3291.      It is also possible that TbScan encounters a file that seems to be
  3292.      infected by a virus, although a signature could not be found. In this
  3293.      case TbScan displays the prefix 'Probably' before the message. 
  3294.  
  3295.  
  3296.      Program Validation
  3297.  
  3298.      If TbScan finds a file to be very suspicious and pops up with the virus
  3299.      alert window, you can avoid future false alarms by pressing 'V' (Valida-
  3300.      te program). Note that this only works if there is an Anti-Vir.Dat
  3301.      record of the file available. Once a program is validated it will no
  3302.      longer be subject to heuristic analysis, unless the program changes and
  3303.      does not match the Anti-Vir.Dat record anymore. This will be the case if
  3304.      such a file gets infected afterwards, so TbScan will still report
  3305.      infections on these files.
  3306.  
  3307. =>   Note that a validated program is still subject to the conventional
  3308.      signature scanning.
  3309.  
  3310.  
  3311.      Heuristic Scanning
  3312.  
  3313.      If you have specified the option 'heuristic' it is likely that TbScan
  3314.      will find some files which look like a virus, and in this case TbScan
  3315.      uses the prefix 'Might be' to inform you about it. So, if TbScan dis-
  3316.      plays: 
  3317.  
  3318.           Probably infected by an unknown virus (level 1)
  3319.      or:
  3320.           Might be infected by an unknown virus (level 2) 
  3321.  
  3322.      it does not necessarily mean that the file is infected. There are a lot
  3323.      of files that look like a virus but are not.
  3324.  
  3325. =>   The heuristic levels are explained in section IV (page 9).
  3326.  
  3327.  
  3328.      False Positives
  3329.  
  3330. =>   Important!
  3331.      False alarms are part of the nature of heuristic scanning. In default
  3332.      mode it is very unlikely that TbScan issues a false alarm. However, if
  3333.      you have specified option 'heuristic' some false alarms might occur. How
  3334.      to deal with these false alarms? If TbScan thinks it has found a virus
  3335.      it tells you the reason for this suspicion. In most cases you will be
  3336.      able to evaluate these reasons when you consider the purpose of the
  3337.      suspected file.
  3338.  
  3339. =>   Note that viruses infect other programs. It is highly unlikely that you
  3340.      will find only a few infected files on a hard disk used frequently. You
  3341.      should ignore the result of a heuristic scan if only a few programs on
  3342.      your hard disk trigger it. But, if your system behaves in a 'strange'
  3343.  
  3344.                                      III - 20
  3345. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  3346.  
  3347.  
  3348.      manner and many programs cause TbScan to issue an alarm with the same
  3349.      serious flags, your system could very well be infected by a (yet un-
  3350.      known) virus.
  3351.  
  3352.  
  3353.      Heuristic flags
  3354.  
  3355.      Heuristic flags consist of single characters that are printed behind the
  3356.      name of the file that has been processed. There are two kinds of flags:
  3357.      the informative ones are printed in lower-case characters; the more
  3358.      serious flags are printed in upper-case characters. 
  3359.  
  3360.      The lower-case flags are indicative of special characteristics of the
  3361.      file being processed, whereas the upper-case warnings may indicate a
  3362.      virus. If the 'loglevel' is 3 or above, the important warnings will not
  3363.      only appear as a warning character, but there will also be a description
  3364.      printed in the log file.
  3365.  
  3366.      How should you treat the flags? The less important lower-case flags can
  3367.      be considered to be for your information only.They provide you with file
  3368.      information you might find interesting. The more serious warning flags
  3369.      printed in upper-case MIGHT point towards a virus. It is quite normal
  3370.      that you have some files in your system which trigger an upper-case
  3371.      flag.
  3372.  
  3373.      The heuristic flag descriptions are listed in appendix B.
  3374.  
  3375.  
  3376.  
  3377.  
  3378.  
  3379.  
  3380.  
  3381.  
  3382.  
  3383.  
  3384.  
  3385.  
  3386.  
  3387.  
  3388.  
  3389.  
  3390.  
  3391.  
  3392.  
  3393.  
  3394.  
  3395.  
  3396.  
  3397.  
  3398.  
  3399.  
  3400.  
  3401.                                      III - 21
  3402. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  3403.  
  3404.  
  3405. 2. TbScanX
  3406.  
  3407.  
  3408. 2.1. The Purpose of TbScanX
  3409.  
  3410.      TbScanX is the resident version of the TbScan program, checking files on
  3411.      the basis of a virus signature list. Suppose you have a virus scanner
  3412.      automatically executed from your autoexec.bat file. If no viruses are
  3413.      found, your system is supposed to be uninfected. But, to be sure that no
  3414.      virus will infect your system, you have to execute the scanner every
  3415.      time after copying a file to your harddisk, after downloading a file
  3416.      from a bulletin board system, or after unarchiving an archive such as a
  3417.      ZIP file. Be honest, do YOU actually invoke your scanner every time you
  3418.      introduce a new file into the system? If you don't, you take the risk
  3419.      that within a couple of hours all files are infected by a virus... 
  3420.  
  3421.      Once loaded, TbScanX will remain resident in memory, and will automati-
  3422.      cally scan all files you execute and all executable files you copy,
  3423.      create, download, modify, or unarchive. The same approach is used to
  3424.      protect against bootsector viruses: every time you put a diskette into a
  3425.      drive the bootsector will be scanned. If the disk is contaminated with a
  3426.      boot sector virus TbScanX will warn you in time!
  3427.  
  3428.      TbScanX is fully network compatible. It does not require to reload the
  3429.      scanner after logging on to the network. 
  3430.  
  3431.  
  3432. 2.2. How to use TbScanX
  3433.  
  3434.      Since TbScanX is memory resident, the program can be executed and
  3435.      configured from the command line or from within a batch file. It is
  3436.      important to load TbScanX as early as possible after the machine has
  3437.      booted. Therefore it is recommended to execute TbScanX from within the
  3438.      Config.Sys file.
  3439.  
  3440. =>   Note that TbScanX requires TbDriver to be loaded first!
  3441.  
  3442.  
  3443.      Loading TBScanX
  3444.  
  3445.      There are three possible ways to load TbScanX:
  3446.  
  3447.      1. From the DOS prompt or within the Autoexec.Bat file:
  3448.           <path>TbScanX
  3449.  
  3450.      2. From the Config.Sys as a TSR (Dos 4+):
  3451.           Install=<path>TbScanX.Exe 
  3452.  
  3453.      The "Install=" Config.Sys command is NOT available in DOS 3.xx.
  3454.  
  3455.      3. From the Config.Sys as a device driver:
  3456.           Device=<path>TbScanX.Exe
  3457.  
  3458.                                      III - 22
  3459. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  3460.  
  3461.  
  3462. =>   Note that executing TbScanX as a device driver does not work in all OEM
  3463.      versions of DOS. If it does not work use the "Install=" command or load
  3464.      TbScanX from within the Autoexec.Bat. TbScanX should always work cor-
  3465.      rectly after being started from within the Autoexec.Bat.
  3466.  
  3467.      Unlike other anti-virus products, the ThunderBYTE anti-virus utlities
  3468.      can be loaded before the network is started without loosing the protec-
  3469.      tion afterwards.
  3470.  
  3471.  
  3472.      Highload TBScanX
  3473.  
  3474.      In addition to the three invocation possibilities users of DOS 5 and
  3475.      higher versions can "highload" TbScanX in UMB (upper memory block) if it
  3476.      is available:
  3477.  
  3478.           LoadHigh <path>TbScanX.Exe
  3479.  
  3480.      Within the Config.Sys file TbScanX can also be loaded high:
  3481.  
  3482.           DeviceHigh=<path>TbScanX.Exe
  3483.  
  3484.  
  3485.      TbScanX and MS-Windows
  3486.  
  3487.      Windows users should load TbScanX BEFORE starting MS-Windows. If you do
  3488.      that there is only one copy of TbScanX in memory, but every DOS-window
  3489.      will nevertheless have a fully functional TbScanX in it. TbScanX detects
  3490.      if Windows is starting up, and will switch itself in multitasking mode
  3491.      if necessary. You can even disable TbScanX in one window without affec-
  3492.      ting the functionality in another window.
  3493.  
  3494.  
  3495. 2.3. Command line options
  3496.  
  3497.      TbScanx can be configured from the command line. The upper four options
  3498.      are always available, the other options are only available if TbScanX is
  3499.      not already resident in memory.
  3500.  
  3501.  
  3502.  
  3503.  
  3504.  
  3505.  
  3506.  
  3507.  
  3508.  
  3509.  
  3510.  
  3511.  
  3512.  
  3513.  
  3514.  
  3515.                                      III - 23
  3516. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  3517.  
  3518.  
  3519.      option  short  explanation
  3520.      --------------------------------------------------
  3521.  
  3522.      help      ?    display this helpscreen
  3523.      off       d    disable scanning
  3524.      on        e    enable scanning
  3525.      remove    r    remove TbScanX from memory
  3526.  
  3527.      noexec    n    never scan at execute
  3528.      allexec   a    always scan at execute
  3529.      noboot    b    do not scan bootsectors
  3530.      ems       me   use expanded memory (EMS)
  3531.      xms       mx   use extended memory (XMS)
  3532.      secure    s    deny access without asking
  3533.      lock      l    lock PC when virus detected
  3534. ~    api       i    load Application Program Interface
  3535.      compat    c    increased compatibility
  3536.  
  3537.  
  3538.      help (?)
  3539.      If you specify this option TbScanX will show you the commandline options
  3540.      as shown above. Once TbScanX has been loaded the help option will not
  3541.      show all options anymore.
  3542.  
  3543.      off (d)
  3544.      If you specify this option TbScanX will be disabled, but it will remain
  3545.      in memory.
  3546.  
  3547.      on (e)
  3548.      If you use this option TbScanX will be activated again after you dis-
  3549.      abled it with the 'off' option.
  3550.  
  3551.      remove (r)
  3552.      This option can be used to remove the resident part of TbScanX from your
  3553.      memory. All memory used by TbScanX will be released. Unfortunately,
  3554.      removing a TSR (like TbScanX) is not always possible. TbScanX checks
  3555.      whether it is safe to remove the resident part from memory, if it is not
  3556.      safe it just disables TbScanX. A TSR can not be removed if another TSR
  3557.      is started after it. If this happens with TbScanX it will completely
  3558.      disable itself. 
  3559.  
  3560.      compat (c)
  3561.      In most systems TbScanX performs troublefree. Another TSR program may
  3562.      however conflict with TbScanX. If the other TSR is loaded first, TbScanX
  3563.      will normally detect the conflict and use an alternate interrupt. If the
  3564.      other TSR is loaded after TbScanX, and it does abort with a message
  3565.      telling you that it has already been loaded, you can use the 'compat'
  3566.      switch of TbScanX (when installing it in memory). It is also possible
  3567.      that TbScanX conflicts with other EMS or XMS using resident software. In
  3568.      this case the system will hang. Option 'compat' will solve this problem,
  3569.      but due to extensive memory swapping the performance of TbScanX will
  3570.      slow down.
  3571.  
  3572.                                      III - 24
  3573. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  3574.  
  3575.  
  3576.      noexec (n)
  3577.      TbScanX normally scans files located on removable media just before they
  3578.      are executed. You can use this option to disable this feature complete-
  3579.      ly.
  3580.  
  3581.      allexec (a)
  3582.      TbScanX normally scans files to be executed only if they reside on
  3583.      removable media. Files on the harddisk are trusted, because these files
  3584.      must have been copied or downloaded before. And by that time TbScanX has
  3585.      already scanned them automatically. However if you want every file to be
  3586.      scanned before executing, no matter whether on harddisk or removable
  3587.      media, you should use this option.
  3588.  
  3589.      noboot (b)
  3590.      TbScanX monitors the disk system: every time the bootsector is being
  3591.      read, TbScanX automatically scans the disk for bootsector viruses. If
  3592.      you change a disk, the first thing DOS has to do is read the bootsector,
  3593.      otherwise it does not know what kind of disk is in the drive. And as
  3594.      soon as DOS reads the bootsector, TbScanX checks it for viruses. If you
  3595.      don't like this feature, or if it causes problems, you can switch it off
  3596.      using the 'noboot' option. This option will also save some memory
  3597.      because the bootsector signatures will not be loaded.
  3598.  
  3599. ~    secure (s)
  3600.      TbScanX normally asks the user to continue or to cancel when it detects
  3601.      a virus. In some business environments however this choice should not be
  3602.      made by employees. By using option 'secure' it is no longer possible to
  3603.      allow suspicious operations. Option 'secure' also disables option 'off'
  3604.      and 'remove'.
  3605.  
  3606.      lock (l) 
  3607.      System operators can use this option to instruct TbScanX to lock the
  3608.      system once a virus is detected.
  3609.  
  3610. ~    api (i)
  3611.      This option is intended for avanced users only. It enables the Applica-
  3612.      tion Program Interface of TbScanX which is needed if you want to call
  3613.      TbScanX from within your application. Consult the file Addendum.Doc for
  3614.      detailed programming information.
  3615.  
  3616.      ems (me)
  3617.      If you specify this option TbScanX will use expanded memory (like
  3618.      provided by LIM/EMS expansion boards or 80386 memory managers) to store
  3619.      the signatures and part of its program code. Since conventional memory
  3620.      is more valuable to your programs than expanded memory, the use of EMS
  3621.      memory is recommended. TbScanX can use up to 64Kb of EMS memory.
  3622.  
  3623.      xms (mx)
  3624.      If you specify this option TbScanX will use extended memory to store the
  3625.      signatures and part of its program code. An XMS driver (like HIMEM.SYS)
  3626.      needs to be installed to be able to use this option. XMS memory is not
  3627.  
  3628.  
  3629.                                      III - 25
  3630. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  3631.  
  3632.  
  3633.      directly accessable from within DOS, so every time TbScanX has to scan
  3634.      data it has to copy the signatures to conventional memory. 
  3635.  
  3636.      To be able to save the original memory contents TbScanX needs a double
  3637.      amount of XMS memory. Swapping to XMS is slower than swapping to EMS
  3638.      memory, so if you have EMS memory available swapping to EMS is recommen-
  3639.      ded. Swapping to XMS may conflict with some other software, so if you
  3640.      experience problems try using TbScanX without the XMS option. 
  3641.  
  3642.      Example
  3643.           Device=C:\utils\TbScanX.Exe xms noboot
  3644.  
  3645.  
  3646. 2.4. While scanning
  3647.  
  3648.      Whenever a program tries to write to an executable file (files with the
  3649.      extensions .COM and .EXE), you will briefly see the text "*Scanning*" in
  3650.      the upper left corner of your screen.  As long as TbScanX is scanning
  3651.      this text will appear. Since TbScanX takes very little time to scan the
  3652.      file, the message will only appear very briefly. The text "*Scanning*"
  3653.      will also appear if you execute a program directly from a diskette, and
  3654.      if DOS accesses the bootsector of a diskette drive.
  3655.  
  3656.  
  3657.      Detecting Viruses
  3658.  
  3659.      If TbScanX detects a suspicious signature that is about to be   written
  3660.      into a file, a window will appear with the message:
  3661.  
  3662.           WARNING, <filename> contains <virus name>!
  3663.           Abort? (Y/n)
  3664.  
  3665.      Press "N" to continue, press any other key to abort.
  3666.  
  3667.      If TbScanX detects a suspicious signature in a boot sector, it will
  3668.      display the message:
  3669.  
  3670.           WARNING, Disk in <drive> contains <virus name>!
  3671.           Press a key...
  3672.  
  3673.      Although a virus seems to be on the bootsector of the specified drive,
  3674.      the virus cannot do anything since it has not been executed yet. Howe-
  3675.      ver, if you reboot the machine with the contaminated diskette in the
  3676.      drive, the virus will copy itself to your harddisk.
  3677.  
  3678.      To display the name of the virus, TbScanX needs the signature file
  3679.      again. It will automatically use the signature file that was used when
  3680.      you invoked the program. If the signature file is missing (because you
  3681.      deleted it, or because you removed the  floppy containing it), or no
  3682.      file handles are left, TbScanX will still detect viruses, but it is no
  3683.      longer able to display the name of the virus. It will display [Name
  3684.      unknown] instead.
  3685.  
  3686.                                      III - 26
  3687. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  3688.  
  3689.  
  3690. 3. TbCheck
  3691.  
  3692.  
  3693. 3.1. The Purpose of TbCheck
  3694.  
  3695.      TbCheck is a memory-resident integrity checker, coming into action
  3696.      whenever a file is about to be executed. It uses the Anti-Vir.Dat
  3697.      records generated by TbSetup to detect file changes, often the first
  3698.      sign of a virus infection. These records contain information, such as
  3699.      file sizes and checksums, of every executable file in a directory. By
  3700.      comparing this information with the actual file status it is possible to
  3701.      detect any changes, including infections caused by viruses - automati-
  3702.      cally.
  3703.  
  3704.      Suppose you have a conventional integrity checker automatically invoked
  3705.      in your autoexec.bat file. If no files are changed, your system is
  3706.      supposed to be uninfected. But, to be sure that no virus can infect your
  3707.      system, you have to execute the checker frequently.
  3708.  
  3709.      Once loaded TbCheck will remain resident in memory, and will automa-
  3710.      tically check all programs you try to execute.
  3711.  
  3712.      TbCheck is fully network compatible. It does not require you to reload
  3713.      the checker after logged on to the network.
  3714.  
  3715.  
  3716. 3.2. How to use TbCheck
  3717.  
  3718.      Since TbCheck is a memory resident program, it can be executed and
  3719.      configured from the command line or from within a batch file. TbCheck
  3720.      should however be started automatically and as soon as the computer
  3721.      boots up, preferably during the execution of Config.Sys or Autoexec.Bat
  3722.      file. 
  3723.  
  3724. =>   Be sure TbDriver has already been loaded - TbCheck wil refuse to start
  3725.      up without it.
  3726.  
  3727.  
  3728.      Loading TbCheck
  3729.  
  3730.      There are three possible ways to start TbCheck:
  3731.        
  3732.      1. From the DOS prompt or within the Autoexec.Bat file:
  3733.           <path>TbCheck
  3734.  
  3735.      2. From the Config.Sys as a TSR (Dos 4+):
  3736.           Install=<path>TbCheck.Exe
  3737.  
  3738.      The "Install=" Config.Sys command is NOT available in DOS 3.xx.
  3739.  
  3740.      3. To invoke TbCheck from the Config.Sys as a device driver:
  3741.           Device=<path>TbCheck.Exe
  3742.  
  3743.                                      III - 27
  3744. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  3745.  
  3746.  
  3747.      Executing TbCheck as a device driver does not work in all OEM versions
  3748.      of DOS. If it doesn't work use the "Install=" command or load TbCheck
  3749.      from within the Autoexec.Bat.
  3750.  
  3751.      TbCheck should always work correctly after being started from within the
  3752.      Autoexec.Bat. Unlike other anti-virus products, the Thunderbyte anti-
  3753.      virus utilities can be loaded before the network is started without
  3754.      losing the protection after the network is started.
  3755.  
  3756.  
  3757.      Highload  TbCheck
  3758.  
  3759.      In addition to the three invocation possibilities DOS 5 users can
  3760.      "highload" TbCheck in a UMB (upper memory block) if it is available:
  3761.  
  3762.           LoadHigh <path>TbCheck.Exe
  3763.  
  3764.      Within the Config.Sys file TbCheck can also be loaded high:
  3765.  
  3766.           DeviceHigh=<path>TbCheck.Exe
  3767.  
  3768.  
  3769.      TbCheck and MS-Windows
  3770.  
  3771.      Windows users should load TbCheck BEFORE starting Windows. If you do
  3772.      that, there is only one copy of TbCheck in memory, but every DOS-window
  3773.      will nevertheless have a fully functional TbCheck in it.  TbCheck
  3774.      detects if Windows is starting up, and will switch itself into multitas-
  3775.      king mode if necessary. You can even disable TbCheck in one window
  3776.      without affecting the functionality in another window.
  3777.  
  3778.  
  3779. 3.3. Command line options
  3780.  
  3781.      It is possible to specify options on the command line. The upper four
  3782.      options are always available, the other options are available only if
  3783.      TbCheck is not memory resident.
  3784.  
  3785.  
  3786.      option  parameter short explanation
  3787.      ------  --------- ----- ------------------
  3788.  
  3789.      help               ?    display this helpscreen
  3790.      off                d    disable checking
  3791.      on                 e    enable checking
  3792.      remove             r    remove TbCheck from memory
  3793.  
  3794.      noavok [=<drives>] o    do not warn for missing AV record
  3795.      fullcrc            f    calculate full CRC (slow!)
  3796.      secure             s    do not execute unauthorized files
  3797.  
  3798.  
  3799.  
  3800.                                      III - 28
  3801. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  3802.  
  3803.  
  3804.      help (?)
  3805.      If you specify this option TbCheck displays the above options list.
  3806.  
  3807.      off (d)
  3808.      Disables TbCheck, but it will remain in memory and can be reactivated.
  3809.  
  3810.      on (e)
  3811.      TbCheck will be reactivated after having been disabled with the 'off'
  3812.      option.
  3813.  
  3814.      remove (r)
  3815.      This option disables TbCheck and will try to remove the resident part
  3816.      from memory. Unfortunately, this can only work if TbCheck was loaded
  3817.      last. An attempt to remove a TSR after another TSR has been started will
  3818.      simply leave a useless gap in memory and could disrupt the interrupt
  3819.      chain. TbCheck will try to find out whether it is safe to remove its
  3820.      resident code; if not, it will simply disable itself. 
  3821.  
  3822.      noavok (o)
  3823.      TbCheck will look for checksum information on the file you want to be
  3824.      checked in the Anti-Vir.Dat file. TbCheck will display a message if no
  3825.      checksum information is found or if the specific checksum is incorrect.
  3826.      This makes sure that you will receive a warning whenever a malicious
  3827.      program deletes the Anti-Vir.Dat file. 
  3828.  
  3829.      Although it is recommended to maintain Anti-Vir.Dat files on all drives,
  3830.      this may not always be practical with floppy disks, RAM disks or CD-ROM
  3831.      disks. Option 'noavok' tells TbCheck not to look for an Anti-Vir.Dat on
  3832.      specific drives. For instance, if you don't want to be alerted about the
  3833.      absence of an Anti-Vir.Dat record on floppy disks (A: and B:) or on your
  3834.      RAM disk (E:) you should specify:
  3835.  
  3836.           "NoAvOk=ABE"
  3837.  
  3838. ~    If you don't want a message if an Anti-Vir.Dat record is missing on
  3839.      network drives, you should specify an asterisk (*) instead of a drive
  3840.      letter.
  3841.  
  3842.      If you don't specify a drive to the 'noavok' option, TbCheck will never
  3843.      issue a warning if an Anti-Vir record is missing on any drive. 
  3844.  
  3845. =>   Note that this presents a security hole for viruses: by deleting the
  3846.      Anti-Vir.Dat file you will not be able to detect file changes caused by
  3847.      a viral infection.
  3848.  
  3849. =>   Please note that the 'noavok' option does not do anything to prevent the
  3850.      detection of infected programs if the Anti-Vir record is available. If a
  3851.      program has been changed and the Anti-Vir record is available, you will
  3852.      still get an alarm regardless of how option 'noavok' was implemented.
  3853.  
  3854.  
  3855.  
  3856.  
  3857.                                      III - 29
  3858. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  3859.  
  3860.  
  3861.      fullcrc (f)
  3862.      By default, TbCheck only verifies that part of the file near the pro-
  3863.      gram's entry point. If a virus infects the file, this area is guaranteed
  3864.      to change, so this is perfectly adequate to detect all infections. Other
  3865.      file changes, notably configuration variations, will not trigger the
  3866.      alarm. If, however, you should ever desire a full check that detects any
  3867.      file changes, this option will take care of it. Note that this slows
  3868.      down the system considerably - this option is not recommended for normal
  3869.      (anti-virus) usage! 
  3870.  
  3871. ~    secure (s)
  3872.      TbCheck normally asks whether the user wants to continue or cancel when
  3873.      a file has been changed or when there is no checksum information availa-
  3874.      ble. In a business environment it may be unwise to leave such decisions
  3875.      to employees. Option 'secure' makes it impossible to execute new or
  3876.      unknown programs, or programs that have been changed. Option 'secure'
  3877.      also disables option 'off' and 'remove'.
  3878.  
  3879.  
  3880. 3.4. While checking
  3881.  
  3882.      Whenever a program wants to execute, TbCheck steps in to see if it
  3883.      really has the authority to do so. During that time it will display
  3884.      '*Checking*' in the screen's upper left hand corner. TbCheck operates at
  3885.      lightning speed, therefore the message will appear only momentarily. 
  3886.  
  3887.      Since TbCheck does not take much time to check the file, you will see
  3888.      the message only in a short notice of time.
  3889.  
  3890.  
  3891.      Detecting File Changes
  3892.  
  3893.      TbCheck quickly checks a program when that program is loaded. If TbCheck
  3894.      detects that a file has been changed, a pop-up window will appear to
  3895.      inform you. You can either choose to continue, or to abort the program
  3896.      invocation.
  3897.  
  3898.      If there is no information (Anti-Vir.Dat) about the program, TbCheck
  3899.      will inform you about this too. You can either choose to continue
  3900.      without checking, or to abort the program invocation. 
  3901.  
  3902. =>   Note that you can prevent users from executing non authorized software
  3903.      by combining the TbCheck command with the 'secure' option.
  3904.  
  3905.  
  3906. 3.5. Testing TbCheck
  3907.  
  3908.      Many people understandably wish to test the product they are using. In
  3909.      contrast with, for instance, a word processor, it is very difficult to
  3910.      test a smart integrity checker like TbCheck. You cannot change a random
  3911.      25 bytes of an executable file just to find out whether or not TbCheck
  3912.      will detect the file change. On the contrary, it is very likely that
  3913.  
  3914.                                      III - 30
  3915. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  3916.  
  3917.  
  3918.      TbCheck will NOT detect it because the program only checks the entry-
  3919.      area of the file whereas the changed bytes might be located on another
  3920.      location within the file.
  3921.  
  3922.  
  3923.  
  3924.  
  3925.  
  3926.  
  3927.  
  3928.  
  3929.  
  3930.  
  3931.  
  3932.  
  3933.  
  3934.  
  3935.  
  3936.  
  3937.  
  3938.  
  3939.  
  3940.  
  3941.  
  3942.  
  3943.  
  3944.  
  3945.  
  3946.  
  3947.  
  3948.  
  3949.  
  3950.  
  3951.  
  3952.  
  3953.  
  3954.  
  3955.  
  3956.  
  3957.  
  3958.  
  3959.  
  3960.  
  3961.  
  3962.  
  3963.  
  3964.  
  3965.  
  3966.  
  3967.  
  3968.  
  3969.  
  3970.  
  3971.                                      III - 31
  3972. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  3973.  
  3974.  
  3975. 4. TbClean
  3976.  
  3977.  
  3978. 4.1. The Purpose of TbClean
  3979.  
  3980.      TbClean isolates viral code in an infected program and removes it. From
  3981.      then on it will be safe to use the program again, as the risk of other
  3982.      files being infected or damaged by it will have been securely elimina-
  3983.      ted.
  3984.  
  3985.  
  3986.      Generic Cleaners
  3987.  
  3988.      TbClean works completely different compared to 'conventional cleaners.
  3989.      First of all, it does not recognize any virus. Its disinfection scheme
  3990.      is completely different and it works with almost any virus. Actually,
  3991.      the TbClean program contains two cleaners: a 'repair' cleaner, and a
  3992.      'heuristic' cleaner. The repair cleaner needs an Anti-Vir.Dat file that
  3993.      is generated by the TbSetup program before the infection occurs. In this
  3994.      Anti-Vir.Dat file essential information is stored, like the original
  3995.      file size, the bytes at the beginning of the program, a cryptographic
  3996.      checksum to verify the results, etc. This information enables TbClean to
  3997.      disinfect almost every file, regardless of the virus it has been infec-
  3998.      ted with, known or unknown. 
  3999.  
  4000.  
  4001.      No information available?
  4002.  
  4003.      In the heuristic cleaning mode TbClean does not need any information
  4004.      about viruses either, but it has the added advantage that it does not
  4005.      even care about the original, uninfected state of a program. This
  4006.      cleaning mode is very effective if your system is infected with an
  4007.      unknown virus and yo neglected to let TbSetup generate the Anti-Vir.Dat
  4008.      files in time.
  4009.  
  4010.      In the heuristic mode, TbClean loads the infected file and starts
  4011.      emulating the program code to find out which part of the file belongs to
  4012.      the original program and which to the virus. The result is successful if
  4013.      the functionality of the original program is restored, and the functio-
  4014.      nality of the virus has been reduced to zero. 
  4015.  
  4016. =>   Note that this does not imply that the cleaned file is 100% equal to the
  4017.      original.
  4018.  
  4019.      When TbClean uses heuristic cleaning to disinfect the program, the file
  4020.      will most likely not be exactly the same as in its original state. This
  4021.      is not an indication of failure of TbClean, nor does it mean the file is
  4022.      still infected in some way. First of all, it is normal that the heuris-
  4023.      tically cleaned file is still larger than the original. This is normal
  4024.      because TbClean tries to be on the safe side and it will avoid removing
  4025.      too much. The bytes left at the end of the file are 'dead' code, the
  4026.      instructions will never be executed again since the 'jump' at the
  4027.  
  4028.                                      III - 32
  4029. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  4030.  
  4031.  
  4032.      beginning of the program has been removed. If the cleaned file is an EXE
  4033.      type file, it is likely that some bytes in front of the program - the
  4034.      exeheader - are different. There are many suitable solutions to recon-
  4035.      struct the exeheader, and TbClean can of course never know the original
  4036.      state of the program. The functionality of the cleaned file will never-
  4037.      theless be the same! 
  4038.  
  4039. =>   Note that this only applies to heuristic cleaning: if there is a suit-
  4040.      able Anti-Vir.Dat record available, the cleaned program will normally be
  4041.      exactly the same as the original clean file.
  4042.  
  4043.      It is possible that the infected file is infected with multiple viruses,
  4044.      or multiple instances of the same virus! Some viruses keep on infecting
  4045.      files, and in such case the infected files will keep growing. If TbClean
  4046.      used its heuristic cleaning mode, it is very likely that TbClean removed
  4047.      only one instance of the virus. In this case, it is necessary to repeat
  4048.      the cleaning process until TbClean reports that it can not remove
  4049.      anything anymore.
  4050.  
  4051.  
  4052. 4.2. How to use TbClean
  4053.  
  4054.      After tracking one or more viruses, all you should do is select the
  4055.      'Start cleaning' option in the TbClean menu. After specifying the
  4056.      relevant filename, TbClean will come into action. Beforehand, TbClean
  4057.      allows some additional parameters. These parameters are discussed below.
  4058.  
  4059.  
  4060.      The TbClean menu
  4061.  
  4062.      You can execute TbClean in combination with some useful parameters,
  4063.      which are listed in the TbClean menu. You can activate these parameters
  4064.      by toggling the selection bar to the desired option and type <ENTER>. A
  4065.      checkmark indicates that the specific parameter is ON.
  4066.  
  4067.  
  4068. ~    +----Main menu-----+
  4069.      |  Confi+-----TbClean menu-----+
  4070.      |  TbSet|  Start cleaning      |
  4071.      |  TbSca|  List-file name      |
  4072.      |  TbUti|  Use TBAV.INI file   |
  4073.      |  TbCLe|  Prompt for pause    |
  4074.      |  TBAV |v Use Anti-Vir.Dat    |
  4075.      |  Docum|v Use Heuristics      |
  4076.      |  Regis|v Expanded memory     |
  4077.      |  Quit |  Show program loops  |
  4078.      |  eXit |  Make list file      |
  4079.      +-------+----------------------+
  4080.  
  4081.  
  4082.  
  4083.  
  4084.  
  4085.                                      III - 33
  4086. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  4087.  
  4088.  
  4089.      List-file name 
  4090.  
  4091.      By selecting this option you may specify a filename to be used as list-
  4092.      file (see also option 'make list-file'). 
  4093.  
  4094.  
  4095.      Use TBAV.INI file
  4096.  
  4097.      By enabling this option, the TbClean configuration values, saved in the
  4098.      TBAV.INI file, will also be valid when loading TbClean from the command
  4099.      line. Be careful, since options specified in the TBAV.INI file can not
  4100.      be undone on the command line. See chapter I-2 ('Configuration').
  4101.  
  4102.  
  4103.      Prompt for pause 
  4104.  
  4105.      TbClean will stop disassembling information after each full screen to
  4106.      let you examine the results.
  4107.  
  4108.  
  4109.      Use Anti-Vir.Dat 
  4110.  
  4111.      If this option is deselected, TbClean will act as if there were no Anti-
  4112.      Vir.Dat records available and will therefore perform heuristic cleaning.
  4113.  
  4114.  
  4115. ~    Use Heuristics
  4116.  
  4117.      If this option is deselected, TbClean will not try to apply heuristic
  4118.      cleaning, even when there are no Anti-Vir.Dat records available.
  4119.  
  4120.  
  4121.      Show program loops
  4122.  
  4123.      By default TbClean keeps track of looping conditions to keep an iterati-
  4124.      on that would be emulated thousands of times from being listed on your
  4125.      screen. With this option TbClean 'works out' every loop. 
  4126.  
  4127. =>   Note that TbClean will perform at a drastically reduced speed. Do not
  4128.      combine this option with the 'list' option, because the list file might
  4129.      grow too big.
  4130.  
  4131.  
  4132.      Expanded memory
  4133.  
  4134.      If activated, TbClean will detect the presence of expanded memory and
  4135.      will use it in heuristic mode. You may disable EMS usage if it is too
  4136.      slow, or if your expanded memory manager is not very stable.
  4137.  
  4138.  
  4139.  
  4140.  
  4141.  
  4142.                                      III - 34
  4143. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  4144.  
  4145.  
  4146.      Make list file 
  4147.  
  4148.      TbClean will generate an output file with a chronological disassembly of
  4149.      the virus being removed. 
  4150.  
  4151.  
  4152. 4.3. Command line options
  4153.  
  4154.      TbClean recognizes option short-keys and option words. The words are
  4155.      easier to memorize, and they will be used in this manual for convenien-
  4156.      ce.
  4157.  
  4158.  
  4159.      option     parameter        short explanation
  4160.      ---------------------------------------------------------------
  4161.      help                         he   help (-? = short help)
  4162.      pause                        pa   enable 'Pause' prompt
  4163.      mono                         mo   force monochrome
  4164.      noav                         na   do not use Anti-Vir.Dat record
  4165. ~    noheur                       nh   do not use heuristic cleaning
  4166.      noems                        ne   do not use expanded memory
  4167.      showloop                     sl   show every loop iteration
  4168.      list       [=<filename>]     li   create list file
  4169.  
  4170.  
  4171.      Below, all command line options are explained briefly.
  4172.  
  4173.      help (he)
  4174.      If you specify this option TbClean displays the contents of the TBCLE-
  4175.      AN.HLP file if it is available in the home directory of TbClean.  If you
  4176.      specify the '?' option you will get the summarized help info as listed
  4177.      above.
  4178.  
  4179.      pause (pa)
  4180.      TbClean will stop disassembling information after each full screen to
  4181.      let you examine the results.
  4182.  
  4183.      mono (mo)
  4184.      This option forces TbClean to refrain from using colors in the screen
  4185.      output. This might enhance the screen output on some LCD screens or
  4186.      color-emulating monochrome systems.
  4187.  
  4188.      noav (na)
  4189.      If this option is specified, TbClean will act as if there were no Anti-
  4190.      Vir.Dat records available and will therefore perform heuristic cleaning.
  4191.  
  4192. ~    noheur (nh)
  4193.      If this option is specified, TbClean will not try to apply heuristic
  4194.      cleaning, even when there are no Anti-Vir.Dat records available.
  4195.  
  4196.  
  4197.  
  4198.  
  4199.                                      III - 35
  4200. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  4201.  
  4202.  
  4203.      noems (ne)
  4204.      If specified, TbClean will not detect the presence of expanded memory
  4205.      and will use it in heuristic mode. You may disable EMS usage if it is
  4206.      too slow, or if your expanded memory
  4207.      manager is not very stable.
  4208.  
  4209.      showloop (sl)
  4210.      By default TbClean keeps track of looping conditions to keep an iterati-
  4211.      on that would be emulated thousands of times from being listed on your
  4212.      screen. With this option TbClean 'works out' every loop. 
  4213.  
  4214. =>   Note that TbClean will perform at a drastically reduced speed. Do not
  4215.      combine this option with the 'list' option, because the list file might
  4216.      grow too big.
  4217.  
  4218.      list [=<filename>] (li)
  4219.      TbClean will generate an output file with a chronological disassembly of
  4220.      the virus being removed. 
  4221.  
  4222.      Examples
  4223.           TbClean VIRUS.EXE
  4224.  
  4225.      TbClean will make a backup with the name VIRUS.VIR and it will disinfect
  4226.      VIRUS.EXE
  4227.  
  4228.           TbClean VIRUS.EXE TEST.EXE
  4229.  
  4230.      TbClean will copy VIRUS.EXE to TEST.EXE and disinfect
  4231.      TEST.EXE
  4232.  
  4233.  
  4234. 4.4. The cleaning process
  4235.  
  4236.      Choose 'Start cleaning' in the TBAV menu. Now you specify the name of
  4237.      the file that has to be cleaned. Suppose you want an infected program
  4238.      file named 'virus.exe' to be cleaned:
  4239.  
  4240.      Enter name of program to clean. TbClean will create a backup first!
  4241.                C:\VIRUS\VIRUS.EXE 
  4242.  
  4243.      The ThunderBYTE utility cleans on a file-by-file approach: clean one
  4244.      file, verify the result, and proceed with the next file. This helps you
  4245.      to keep track of which file is clean, which file is damaged and should
  4246.      be restored from a backup, and which
  4247.      file is still infected.
  4248.  
  4249.      Enter name of cleaned file. Keep blank if infected program may be
  4250.      changed.
  4251.                C:\VIRUS\TEST.EXE
  4252.  
  4253.      By specifying a different name (eg. 'test.exe') you indicate that the
  4254.      cleaned file may not overwrite the original .exe file. In this example
  4255.  
  4256.                                      III - 36
  4257. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  4258.  
  4259.  
  4260.      TbClean will copy VIRUS.EXE to TEST.EXE and disinfect TEST.EXE. Next,
  4261.      TbClean will start the cleaning process.  
  4262.  
  4263.      If you do not specify a backup filename, TbClean will create a backup
  4264.      with the '.vir' extension (eg. VIRUS.VIR) and it will disinfect the .exe
  4265.      file.
  4266.  
  4267.  
  4268.      +-----------------------------------------------------------------+
  4269.      |  Thunderbyte clean utility v6.03 (C) 1992-93 Thunderbyte B.V.   |
  4270.      +---------Infected state----------++---------Original state-------+
  4271.      | Entry point (CS:IP)   34BF:0012 || Entry point (CS:IP) 34BF:0012|
  4272.      | File length                     || File length         UNKNOWN! |
  4273.      | Cryptographic CRC     9F90F52A  || Cryptographic CRC   UNKNOWN! |
  4274.      +---------------------------------++------------------------------+
  4275.      |                                                                 |
  4276.      | Starting clean attempt. Analyzing infected file...              |
  4277.      | Anti-Vir not found: original state unknown. Trying emulation... |
  4278.      | Emulation terminated:                                           |
  4279.      |                                                                 |
  4280.      | C:\VIRUS\TEST.EXE                                               |
  4281.      | CS:IP    Instruction     AX  BX  CX  DX  DS  SI  ES  DI  SS  SP |
  4282.      | 9330:0101  mov ah,40    FFFE9330FFFFEFFFD382FFEDEFFEFFFF9520007E|
  4283.      | 9330:0103  mov bx,0002  40FE9330FFFFEFFFD382FFEDEFFEFFFF9520007E|
  4284.      | 9330:0106  mov cx,0016  40FE0002FFFFEFFFD382FFEDEFFEFFFF9520007E|
  4285.      | 9330:0109  mov dx,cs    40FE00020016EFFFD382FFEDEFFEFFFF9520007E|
  4286.      | 9330:010B  mov ds,dx    40FE000200169330D382FFEDEFFEFFFF9520007E|
  4287.      | 9330:010D  mov dx,0117  40FE0002001693309330FFEDEFFEFFFF9520007E|
  4288.      | 9330:0110  int 21       40FE0002001601179330FFEDEFFEFFFF9520007E|
  4289.      | 9330:0112  mov ax,4CFF  40FE0002001601179330FFEDEFFEFFFF9520007E|
  4290.      | 9330:0115  int 21       4CFF0002001601179330FFEDEFFEFFFF9520007E|
  4291.      | 9330:0115  <End of emulation>                                   |
  4292.      +-----------------------------------------------------------------+ 
  4293.  
  4294.      While Cleaning
  4295.  
  4296.      TbClean will display as much information as possible about the current
  4297.      operation, as illustrated above. All the major actions will be in the
  4298.      emulation window, displaying a disassembly and the register contents of
  4299.      the program under scrutiny, along with a progress report. The status
  4300.      windows reveal useful details of the infected file and, if TbClean can
  4301.      find a suitable Anti-Vir.Dat file, its original status. You may abort
  4302.      the cleaning process by pressing <Ctrl-Break>.
  4303.  
  4304.  
  4305.      The job isn't done yet    
  4306.  
  4307.      A successful purge is not the end of the story! Your job is only parti-
  4308.      ally completed. Some viruses damage data files. They could randomly
  4309.      change bytes on your disks, swap sectors, or perform other nasty tricks.
  4310.      A cleaning utility will never be able to repair your data! Check your
  4311.      data files thoroughly and consult a viral expert to find out what the
  4312.  
  4313.                                      III - 37
  4314. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  4315.  
  4316.  
  4317.      virus is capable of doing. If there is any doubt, restoring the data is
  4318.      definitely the most reliable option.
  4319.  
  4320. =>   Under no circumstances should you continue to use cleaned software!
  4321.  
  4322.      Cleaning is a temporary solution to allow you to delay a large restore
  4323.      operation until the first available slack period. You should not rely on
  4324.      a cleaned program for any length of time.  Please, don't take this as a
  4325.      put down of antiviral cleaning agents. If your data is valuable to you,
  4326.      you should care for it as much as possible, and sticking to original
  4327.      software only is no more than an elementary precaution. In other words,
  4328.      restore the original programs as soon as possible!
  4329.  
  4330.  
  4331.      Cleaning Limitations
  4332.  
  4333.      Although TbClean has a very high success rate and is able to clean
  4334.      programs that other cleaners refuse to process, not all viruses can be
  4335.      removed, and not all files can be cleaned. 
  4336.  
  4337.      Viruses that cannot be removed from an infected file:
  4338.  
  4339.      Overwriting viruses. 
  4340.  
  4341.      This type of virus does not add itself to the end of the original
  4342.      program, they just copy themselves over the original file. They do not
  4343.      attempt to start the original program but they will simply return you to
  4344.      DOS after they are activated or will hang the machine. Since the origi-
  4345.      nal file is overwritten and damaged, no cleaner can remove the virus. 
  4346.  
  4347.      Some encrypted viruses. 
  4348.  
  4349.      TbClean is usually able to decrypt the virus. However, some viruses use
  4350.      anti-debugger features that TbClean cannot cope with yet. 
  4351.  
  4352.  
  4353.      The way some program files are constructed makes them impossible to
  4354.      clean and reinstatement will be the only option. This category includes:
  4355.  
  4356.      EXE-programs with internal overlays. 
  4357.  
  4358.      TbScan marks these files with an 'i' flag. Any infection is bound to
  4359.      cause major damage to these files. Some viruses recognize such programs
  4360.      and do not infect them, but most viruses infect these programs anyway,
  4361.      and corrupt the program. No cleaner can repair such damage.
  4362.  
  4363.      Programs with sanity check routines. 
  4364.  
  4365.      Some programs - mostly anti-virus software or copy-protected programs -
  4366.      perform some kind of sanity check. Heuristic cleaning of an infected
  4367.      program normally results in a program that is not physically identical
  4368.      to the original. Although the virus is removed from the program and the
  4369.  
  4370.                                      III - 38
  4371. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  4372.  
  4373.  
  4374.      program is functionally identical to the original, the sanity check will
  4375.      usually detect the slight changes and abort the program.
  4376.  
  4377.  
  4378.      Multiple files cleaning
  4379.  
  4380.      TbClean has no provisions for cleaning multiple programs in one run.
  4381.      There are two reasons for this omission:
  4382.  
  4383.      -    TbClean can not search for viruses automatically since it does not
  4384.           know any virus.
  4385.  
  4386.      -    We highly recommend to clean the system on a file-by-file approach.
  4387.           Clean one file, verify the result, and proceed with the next file.
  4388.           This helps you to keep track of which file is clean, which file is
  4389.           damaged and should be restored from a backup, and which file is
  4390.           still infected.
  4391.  
  4392.  
  4393.  
  4394.  
  4395.  
  4396.  
  4397.  
  4398.  
  4399.  
  4400.  
  4401.  
  4402.  
  4403.  
  4404.  
  4405.  
  4406.  
  4407.  
  4408.  
  4409.  
  4410.  
  4411.  
  4412.  
  4413.  
  4414.  
  4415.  
  4416.  
  4417.  
  4418.  
  4419.  
  4420.  
  4421.  
  4422.  
  4423.  
  4424.  
  4425.  
  4426.  
  4427.                                      III - 39
  4428. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  4429.  
  4430.  
  4431. 5. Ongoing virus prevention: TbMon
  4432.  
  4433.      The Purpose of TbMon utilities
  4434.  
  4435.      TbMon is a set of three memory resident anti-virus utilities:
  4436.  
  4437.      TbMem     Detects attempts of programs to remain resident in                                                                  memory, and
  4438.                makes sure that no program can remain resident in memory
  4439.                without permission.
  4440.  
  4441.      TbFile    detects attempts of programs to infect other programs. 
  4442.  
  4443.      TbDisk    detects attempts of programs to write directly to the disk
  4444.                (without using DOS), attempts to format, etc.
  4445.  
  4446.      Instructions on how to use these utilities are presented below. 
  4447.  
  4448.  
  4449.      How to use TbMon programs
  4450.  
  4451.      Loading TBMon programs
  4452.      The TbMon programs are all loaded in the same way. For specific informa-
  4453.      tion on each of the programs, such as commandline options, please refer
  4454.      to the appropriate sections in this chapter.
  4455.  
  4456.      There are three possible ways to start the TbMon programs:
  4457.  
  4458.      From the DOS prompt or within the Autoexec.Bat file:
  4459.           <path>Tbxx
  4460.  
  4461.      From the Config.Sys as a TSR (Dos 4+):
  4462.           Install=<path>Tbxxx.Exe
  4463.  
  4464.      The "Install=" Config.Sys command is NOT available in DOS 3.xx.
  4465.  
  4466.      To invoke a TbMon program from the Config.Sys as a device driver:
  4467.           Device=<path>Tbxxx.Exe
  4468.  
  4469.  
  4470.      Executing a TbMon program as a device driver does not work in all OEM
  4471.      versions of DOS. If it doesn't work use the "Install=" command or load
  4472.      the program from within the Autoexec.Bat.
  4473.  
  4474.      A TbMon program should always work correctly after being started from
  4475.      within the Autoexec.Bat. Unlike other anti-virus products, the Thunder-
  4476.      byte anti-virus utilities can be loaded before the network is started
  4477.      without losing the protection after the network is started.
  4478.  
  4479.  
  4480.  
  4481.  
  4482.  
  4483.  
  4484.                                      III - 40
  4485. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  4486.  
  4487.  
  4488.      Highload TBMon programs
  4489.  
  4490.      In addition to the three invocation possibilities DOS 5 users can
  4491.      "highload" TbMon programs in a UMB (upper memory block) if it is availa-
  4492.      ble:
  4493.  
  4494.           LoadHigh <path>Tbxxx.Exe
  4495.  
  4496.  
  4497.      Within the Config.Sys file a TbMon program can also be loaded high:
  4498.  
  4499.           DeviceHigh=<path>Tbxxx.Exe
  4500.  
  4501.  
  4502.      TBMon and MS-Windows
  4503.  
  4504.      Windows users should load a TbMon program BEFORE starting Windows. If
  4505.      you do that there is only one copy of the TbMon program in memory, but
  4506.      every DOS-window will nevertheless have the fully functional TbMon
  4507.      program in it. The TbMon program detects if Windows is starting up, and
  4508.      will switch itself into multitasking mode if necessary. You can even
  4509.      disable the program in one window without affecting the functionality in
  4510.      another window.
  4511.  
  4512.  
  4513.      Command line options
  4514.  
  4515.      All TbMon utilities can be loaded in combination with several options.
  4516.      You may specify the options listed below in combination with all three
  4517.      utilities. The specific options are described in the relevant sections.
  4518.  
  4519.      help (?)
  4520.      If you specify this option the TbMon program will show you the brief
  4521.      help as shown above.
  4522.  
  4523.      off (d)
  4524.      If you specify this option the TbMon program will be disabled, but it
  4525.      will remain in memory.
  4526.  
  4527.      on (e)
  4528.      If you use this option the TbMon program will be activated again after
  4529.      you disabled it with the 'off' option.
  4530.  
  4531.      remove (r)
  4532.      This option can be used to remove the resident part of the TbMon program
  4533.      from your system's memory. All memory used by the TbMon program will be
  4534.      released. Unfortunately, the removal of a TSR is not always possible. 
  4535.      The TbMon program checks whether it is safe to remove the resident part
  4536.      from memory. If it is not safe it just disables the TbMon program. A TSR
  4537.      can not be removed if another TSR has been started after it. If this
  4538.      happens with the TbMon program, it will completely disable itself.
  4539.  
  4540.  
  4541.                                      III - 41
  4542. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  4543.  
  4544.  
  4545. ~    secure (s)
  4546.      If you specify this option, the user is not allowed to give permission.
  4547.      All warnings are automatically answered with 'Abort'. It is also not
  4548.      possible anymore to unload the utilities with 'remove' or to disable
  4549.      them with option 'off'.
  4550.  
  4551.  
  4552. 5.1. TbMem
  4553.  
  4554.      The Purpose of TbMem
  4555.  
  4556.      Most viruses remain resident in memory once they have been executed.
  4557.      While resident in memory, they may have many opportunities to infect
  4558.      other files in the background, interfere with the system operation, hide
  4559.      themselves from virus scanners or checksummers, and/or perform other
  4560.      nasty tasks.
  4561.  
  4562.      On the other hand, because so many viruses remain resident in memory, it
  4563.      is easy to detect most of them once the process of becoming resident in
  4564.      memory is monitored.
  4565.  
  4566.      TbMem monitors the system and ensures that no program will remain
  4567.      resident in memory without permission. This will draw attention to any
  4568.      software that attempts to remain resident, thereby reducing the likeli-
  4569.      hood that a virus will be able to go unnoticed. TbMem also protects
  4570.      CMOS.
  4571.  
  4572.  
  4573.      What is a memory-resident program?
  4574.  
  4575.      Most programs will be invoked by a command on the DOS command line,
  4576.      perform some task, and finally terminate, placing you right back where
  4577.      you started.
  4578.       
  4579.      Some programs however continue to operate after they are terminated.
  4580.      These programs load themselves into memory of your PC, remain resident
  4581.      in the memory and perform some task in the background. Programs in this
  4582.      category are disk caches, print spoolers, network software, etc. These
  4583.      programs are often referred to as 'TSR-software', which means 'Termina-
  4584.      te-and-Stay-Resident'.
  4585.  
  4586.      Most viruses remain resident in memory too, and that is why the process
  4587.      of becoming resident in memory should be controlled in some way, prefe-
  4588.      rably by TbMem.
  4589.  
  4590.      TbMem offers you the option to abort the program before it can become
  4591.      resident. TbMem will guard the DOS TSR function calls, while also
  4592.      monitoring important interrupts and memory structures. TbMem uses the
  4593.      Anti-Vir.Dat records to determine whether a program is allowed to remain
  4594.      resident in memory.
  4595.  
  4596.  
  4597.  
  4598.                                      III - 42
  4599. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  4600.  
  4601.  
  4602.      Many common TSRs will be recognized by TbSetup. However, if TbSetup
  4603.      doesn't recognize a TSR, TbMem will ask your permission for the TSR to
  4604.      load. Permission information will be maintained in the Anti-Vir.Dat
  4605.      files, to prevent TbMem from bothering you when an approved TSR is
  4606.      loading.
  4607.  
  4608.      TbMem will also check the contents of the CMOS configuration memory
  4609.      after each program termination, to make sure that programs do not change
  4610.      it unnoticed. TbMem offers the possibility to restore the CMOS configu-
  4611.      ration when it has been changed. Once you have 'taught' TbMem which
  4612.      programs are TSRs and which are not on one PC, you can use TbSetup to
  4613.      set the permission flag of these files on other machines.
  4614.  
  4615.      TbMem installs a hot key that can be used to escape from nearly all
  4616.      programs.
  4617.  
  4618.      TbMem is fully network compatible. It does not require you to reload the
  4619.      checker after logging on to a network. 
  4620.  
  4621.  
  4622.      How to use TbMem
  4623.  
  4624.      Since TbMem is a memory resident program, it can be executed and confi-
  4625.      gured from the command line or from within a batch file. TbMem should
  4626.      however be started automatically and as soon as the computer boots up,
  4627.      preferably during the execution of Config.Sys or Autoexec.Bat file. 
  4628.  
  4629.      Be sure TbDriver has already been loaded - TbMem wil refuse to start up
  4630.      without it.
  4631.  
  4632.  
  4633.      Command line options
  4634.  
  4635.      It is possible to specify options on the command line. The upper four
  4636.      options are always available, the other options are available only if
  4637.      TbMem is not memory resident.
  4638.  
  4639.  
  4640.      option  parameter      short explanation
  4641.      --------------------------------------------------------------
  4642.      help                    ?    display this helpscreen
  4643.      off                     d    disable checking
  4644.      on                      e    enable checking
  4645.      remove                  r    remove TbMem from memory
  4646.  
  4647.      secure                  s    do not execute unauthorized TSRs 
  4648.      hotkey  <keycode>       k    specify keyboard scancode for hotkey
  4649.      nocancel                n    do not install cancel hot key
  4650.      nocmos                  m    do not protect CMOS
  4651.  
  4652.  
  4653.  
  4654.  
  4655.                                      III - 43
  4656. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  4657.  
  4658.  
  4659.      help (?)
  4660.      If you specify this option TbMem will show you the brief help as shown
  4661.      above.
  4662.  
  4663.      off (d)
  4664.      If you specify this option TbMem will be disabled, but it will remain in
  4665.      memory.
  4666.  
  4667.      on (e)
  4668.      If you use this option TbMem will be activated again after you disabled
  4669.      it with the 'off' option.
  4670.  
  4671.      remove (r)
  4672.      This option can be used to remove the resident part of TbMem from your
  4673.      system's memory. All memory used by TbMem will be released. Unfortunate-
  4674.      ly, the removal of a TSR (like TbMem) is not always possible. TbMem
  4675.      checks whether it is safe to remove the resident part from memory. If it
  4676.      is not safe it just disables TbMem. A TSR can not be removed if another
  4677.      TSR has been started after it. If this happens with TbMem it will
  4678.      completely disable itself.
  4679.  
  4680. ~    secure (s)
  4681.      TbMem normally asks the user to continue or to cancel when a program
  4682.      tries to remain resident in memory. In some business environments
  4683.      however this choice should not be made by employees. By using option
  4684.      'secure' it is no longer possible to execute new or unknown resident
  4685.      software. It is also no longer possible to use option 'remove' or 'off'.
  4686.  
  4687.      nocancel (n)
  4688.      TbMem normally installs the program cancel hot key (Ctrl-Alt-Insert). If
  4689.      you do not want this, specify this option. This also saves a few bytes
  4690.      of memory.
  4691.  
  4692.      hotkey (k)
  4693.      TbMem offers you a reliable way to escape from any program by pressing a
  4694.      special key combination. This can be used to escape from programs that
  4695.      'hang', but of course also to escape from software that seems to be
  4696.      malicious (although powering down and rebooting from a write-protected
  4697.      system disk is recommended). 
  4698.  
  4699.      The program cancel hot key of TbMem is by default Ctrl-Alt-Insert. If
  4700.      you wish, you can specify another keyboard option with option 'hotkey
  4701.      =<keycode>'. The scancode is specified in a 4 digit hexadecimal number.
  4702.      The far left bytes specify the shift-key mask, the far right bytes
  4703.      specify the keyboard scancode. Consult your machine manual for a list of
  4704.      scancodes. The default scancode is 0C52h (Ctrl-Alt-Insert). The scancode
  4705.      for Ctrl-Alt-Escape is 0C01h.
  4706.  
  4707.      nocmos (m)
  4708.      TbMem normally protects the CMOS memory if available. If you do not want
  4709.      TbMem to do this you can specify this option.
  4710.  
  4711.  
  4712.                                      III - 44
  4713. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  4714.  
  4715.  
  4716.      Examples
  4717.           C:\utils\TbMem
  4718.      or:
  4719.           Device=C:\utils\TbMem.Exe
  4720.  
  4721.  
  4722.      TbMem in process
  4723.  
  4724.      If TbMem detects that a program tries to remain resident in memory, a
  4725.      pop-up window will appear with a message. You can either choose to
  4726.      continue, or to abort the program invoca-tion. If you answer 'NO' to the
  4727.      question 'Remove program from memory?' the program will continue undis-
  4728.      turbed, and TbMem places a mark in the Anti-Vir.Dat file about this
  4729.      program. Next time you invoke the same resident program, TbMem will not
  4730.      disturb you again.
  4731.  
  4732.      There are a lot of programs which normally remain resident in memory,
  4733.      such as disk caches, print spoolers, etc. How does TbMem distinguish
  4734.      between these programs and viruses?
  4735.  
  4736.      TbMem uses the Anti-Vir.Dat records generated by TbSetup to keep track
  4737.      of which files are normal TSRs and which are not. Most common resident
  4738.      software will be marked as such by TbSetup, so you don't have to worry
  4739.      about these files. 
  4740.  
  4741.      If TbMem pops up with the message that a program tries to remain resi-
  4742.      dent in memory, you have to consider the purpose of the program mentio-
  4743.      ned. Is the program supposed to continue to operate in the background?
  4744.      The answer is obviously yes if the program mentioned is a disk cache,
  4745.      print spooler, pop-up utility or system extension software.
  4746.  
  4747.      However, if the message appears after you have finished a text proces-
  4748.      sing job, or terminated a database or spreadsheet application, something
  4749.      is definitely wrong! You ought to terminate the program and use a virus
  4750.      scanner to check the system.
  4751.  
  4752.      The same applies when software that operates normally without staying
  4753.      resident in memory suddenly changes its behavior and tries to remain
  4754.      resident in memory.
  4755.  
  4756.  
  4757. 5.2. TbFile
  4758.  
  4759.      The Purpose of TbFile
  4760.  
  4761.      The two most perilous viral categories are the bootsector and the file
  4762.      variants. File viruses all have a common purpose -they infect programs.
  4763.      Infecting a program involves very unusual file manipulations that are
  4764.      quite dissimilar to normal files handling procedures, so in order to
  4765.      detect viral activity it is essential to keep an eye out for program
  4766.      file changes involving peculiar actions.
  4767.  
  4768.  
  4769.                                      III - 45
  4770. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  4771.  
  4772.  
  4773.      TbFile monitors the system and detects attempts of programs to infect
  4774.      other programs. Unlike other file guards, TbFile monitors the system
  4775.      only for virus specific file modifications. TbFile won't generate an
  4776.      alarm when a program modifies itself for configuration purposes, nor
  4777.      does it bother you when you update a program or create one yourself.
  4778.      Running an average system, configurations should never cause a false
  4779.      alarm.
  4780.  
  4781.      TbFile not only detects attempts to infect programs, it also offers you
  4782.      the option to abort the infection process and to continue the program.
  4783.  
  4784.      TbFile detects other suspicious activities - including setting the
  4785.      seconds value of time stamps to an illegal value.
  4786.  
  4787.      TbFile has a very sophisticated infection detector and it will not give
  4788.      a false alarm when you perform standard file operations. In normal
  4789.      configurations you will never get a false alarm! 
  4790.  
  4791.      Files can be protected against unwanted modifications by means of the
  4792.      read-only attribute. Without TbFile this standard DOS protection can be
  4793.      circumvented easily. TbFile however makes sure any attempts to sabotage
  4794.      the readonly attribute will not go undetected. This gives you added
  4795.      security by letting you use an uncomplicated method to fully protect
  4796.      your files against destruction and infection.
  4797.  
  4798.      TbFile is fully network compatible. It does not require you to reload
  4799.      the checker after logging on to a network. Other resident anti-virus
  4800.      utilities force you to choose between protection before the network is
  4801.      started, or protection after the network is started, but not both.
  4802.  
  4803.  
  4804.      Command line options
  4805.  
  4806.      It is possible to specify options on the command line. The upper four
  4807.      options are always available, the other options are only available if
  4808.      TbFile is not already memory-resident.
  4809.  
  4810.  
  4811.      option     short explanation
  4812.      ---------- ----- -----------------------
  4813.  
  4814.      help       ?     display this helpscreen
  4815.      off        d     disable checking
  4816.      on         e     enable checking
  4817.      remove     r     remove TbFile from memory
  4818.  
  4819.      secure     s     all permissions denied
  4820.      allattrib  a     readonly check on all files
  4821. ~    compat     c     allow CPM style calls
  4822.  
  4823.  
  4824.  
  4825.  
  4826.                                      III - 46
  4827. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  4828.  
  4829.  
  4830.      help (?)
  4831.      If you specify this option TbFile will show you the brief help as shown
  4832.      above.
  4833.  
  4834.      off (d)
  4835.      If you specify this option TbFile will be disabled, but it will remain
  4836.      in memory.
  4837.  
  4838.      on (e)
  4839.      If you use this option TbFile will be activated again after you disabled
  4840.      it with the 'off' option.
  4841.  
  4842.      remove (r)
  4843.      This option can be used to remove the resident part of TbFile from your
  4844.      system's memory.  All memory used by TbFile
  4845.      will be released.
  4846.      Unfortunately, the removal of a TSR (like TbFile) is not always possi-
  4847.      ble.  TbFile checks whether it is safe to remove the resident part from
  4848.      memory. If it is not safe it just disables TbFile. A TSR can not be
  4849.      removed if another TSR has been started after it. If this happens with
  4850.      TbFile it will completely disable itself.
  4851.  
  4852. ~    secure (s)
  4853.      TbFile normally asks the user to continue or to cancel when a program
  4854.      tries to perform a suspicious operation. In some business environments
  4855.      however this choice should not be made by employees. By using option
  4856.      'secure' it is no longer possible to allow suspicious operations. It is
  4857.      also no longer possible to use options 'off' and 'remove'.
  4858.  
  4859.      allattrib (a)
  4860.      TbFile normally only protects the readonly attribute of executables
  4861.      (program files with the extension COM and EXE). If you want to have the
  4862.      readonly check on all files add option 'allattrib'. In this case you
  4863.      will always get an alarm when an attempt is made to remove the readonly
  4864.      attribute of any file.
  4865.  
  4866. ~    compat (c)
  4867.      DOS has still some CPM - an earlier operating system - functions left.
  4868.      No DOS program uses these functions anymore, but some viruses use these
  4869.      functions to bypass anti-virus software. TbFile closes these backdoors
  4870.      by default. Option 'compat' prevents this.
  4871.  
  4872.  
  4873.      Examples
  4874.           C:\utils\TbFile allattrib
  4875.      or:
  4876.           Device=C:\utils\TbFile.Exe allattrib
  4877.  
  4878.  
  4879.  
  4880.  
  4881.  
  4882.  
  4883.                                      III - 47
  4884. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  4885.  
  4886.  
  4887. 5.3. TbDisk
  4888.  
  4889.      The Purpose of TbDisk
  4890.  
  4891.      Many viruses try to damage the data on the disk. They accomplish this by
  4892.      formatting the disk, overwriting the FAT, swapping disk sectors, etc.
  4893.      Almost anything is possible.
  4894.  
  4895.      Another category of malicious software, known as 'bootsector virus
  4896.      droppers', installs a bootsector virus on the disk. The program itself
  4897.      is not a virus, so detection with virus scanners and other anti-viral
  4898.      software is very difficult. The only way to detect such programs is by
  4899.      monitoring their behavior.
  4900.  
  4901.      The main problem lies in the way these programs manage to avoid the
  4902.      usual DOS procedures - they go directly to the BIOS, the Basic In-
  4903.      put/Output System. That is why you need TbDisk - to monitor the system
  4904.      and to ensure that no program can write directly to disk without permis-
  4905.      sion! It draws attention to any software that attempts to write directly
  4906.      to disk, thereby reducing the likelihood that a virus will remain
  4907.      unnoticed. TbDisk prevents viruses from damaging data on your disk and
  4908.      stops bootsector virus droppers in their tracks.
  4909.  
  4910.      TbDisk will come in handy, too, if you ever need to write protect a hard
  4911.      disk. This bonus feature often helps when testing new software.
  4912.  
  4913.      TbDisk not only informs you when a program tries to write directly to
  4914.      the disk, it also offers you the option to abort the program before it
  4915.      can cause any damage.
  4916.  
  4917.      Detection of 'stealth' techniques. TbDisk is able to detect attempts to
  4918.      single step through the BIOS handler, and even monitor the use of
  4919.      undocumented calls that could cause disk damage. 
  4920.  
  4921.      TbDisk is able to distinguish whether DOS or an application makes direct
  4922.      write attempts via Int 13h. Direct writes are perfectly legal for DOS,
  4923.      but unusual for application software. 
  4924.  
  4925.      TbDisk needs little maintenance. TbDisk uses the Anti-Vir.Dat records to
  4926.      determine if a program is allowed to write directly to the disk, inclu-
  4927.      ding popular disk utilities, which will have been recognized by TbSetup.
  4928.      In the absence of an Anti-vir.Dat record, TbDisk will ask your approval
  4929.      first and, if granted, updates the record accordingly in order to avoid
  4930.      repeated warnings about the same program.
  4931.  
  4932.      TbDisk is fully network compatible. It does not require you to reload
  4933.      the program after logging on to a network. Other resident anti-virus
  4934.      utilities force you to choose between either protection before the
  4935.      network is started, or protection after.
  4936.  
  4937.  
  4938.  
  4939.  
  4940.                                      III - 48
  4941. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  4942.  
  4943.  
  4944.      How to use TbDisk
  4945.  
  4946.      Loading TBDisk
  4947.  
  4948.      Improper installation can cause excessive amounts of false alarms! If
  4949.      you want to install TbDisk in your Config.Sys or AutoExec.Bat file, it
  4950.      is highly recommended to use the 'install' option of TbDisk first. If
  4951.      the system continues to behave normally and TbDisk does not give false
  4952.      alarms when you copy files on your hard disk, TbDisk is installed
  4953.      correctly and you can remove option 'install'.
  4954.  
  4955.  
  4956.      TBDisk in your Install
  4957.  
  4958.      Failure to use option 'install' when you install TbDisk Config.Sys or
  4959.      AutoExec.Bat file may cause loss of data! Option 'install' causes TbDisk
  4960.      to allow all disk accesses, it will however pop-up a message like it
  4961.      would do in normal mode. If no false alarms occur when you copy files on
  4962.      your hard disk, TbDisk is installed correctly and option 'install' can
  4963.      be removed.
  4964.  
  4965.      If TbDisk causes false alarms you should load TbDisk further ahead in
  4966.      your Config.Sys or AutoExec.Bat file, until it works as it should do.
  4967.  
  4968.      Unlike the other TBAV utilities it is recommended to load TbDisk after
  4969.      other resident software!  Failure to do so can cause excessive amounts
  4970.      of false alarms!
  4971.  
  4972.  
  4973.      TBDisk and MS-Windows
  4974.  
  4975.      TbDisk detects if Windows is starting up, and will switch itself into
  4976.      multi tasking mode if necessary. You can even disable TbDisk in one
  4977.      window without affecting the functionality in another window.  If you
  4978.      configured Windows to use fast 32-bit disk access you might need TbDisk
  4979.      option 'win32' if Windows displays an error-message.
  4980.  
  4981.  
  4982.      Command line options
  4983.  
  4984.      It is possible to specify options on the command line. The upper four
  4985.      options are always available, the other options are available only if
  4986.      TbDisk is not memory resident.
  4987.  
  4988.  
  4989.  
  4990.  
  4991.  
  4992.  
  4993.  
  4994.  
  4995.  
  4996.  
  4997.                                      III - 49
  4998. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  4999.  
  5000.  
  5001.      option   short explanation
  5002.      ------   ----- ------------------
  5003.  
  5004.      help      ?    display this helpscreen
  5005.      remove    r    remove TbDisk from memory
  5006.      off       d    disable checking
  5007.      on        e    enable checking
  5008.      wrprot    p    make hard disk write protected
  5009.      nowrprot  n    allow writes to hard disk
  5010.  
  5011.      win32     w    allow Windows 32bit disk access
  5012.      secure    s    deny access without asking
  5013.      nostealth a    do not detect stealth disk access
  5014.      notunnel  t    do not detect tunneling
  5015.      install   i    installation test mode
  5016.  
  5017.  
  5018.      help (?)
  5019.      If you specify this option TbDisk will show you the brief help as shown
  5020.      above. Once TbDisk has been loaded the help option will not show all
  5021.      options anymore.
  5022.  
  5023.      remove (r)
  5024.      This option can be used to remove the resident part of TbDisk from your
  5025.      system's memory.  All memory used by TbDisk will be released.
  5026.      Unfortunately, the removal of a TSR (like TbDisk) is not always possi-
  5027.      ble.  TbDisk checks whether it is safe to remove the resident part from
  5028.      memory. If it is not safe it just disables TbDisk. A TSR can not be
  5029.      removed if another TSR has been started after it. If this happens with
  5030.      TbDisk it will completely disable itself.
  5031.  
  5032.      off (d)
  5033.      If you specify this option TbDisk will be disabled, but it will remain
  5034.      in memory.
  5035.  
  5036.      on (e)
  5037.      If you use this option TbDisk will be activated again after you disabled
  5038.      it with the 'off' option.
  5039.  
  5040.      wrprot (p)
  5041.      Hard disks are more difficult to protect against writing than floppies,
  5042.      which adds considerably to the risks involved when, for instance,
  5043.      testing new software. Sometimes you might want to find out what this
  5044.      software will do to your hard disk and how this could possibly affect
  5045.      your valuable data. With option 'wrprot' it will be safer to do so.
  5046.      Whenever a program wishes to write to a protected disk you will receive
  5047.      a message such as:
  5048.  
  5049.      "Write protect error writing drive C: A)bort, R)etry, I)gnore?"
  5050.  
  5051.      You may then take appropriate action.
  5052.  
  5053.  
  5054.                                      III - 50
  5055. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  5056.  
  5057.  
  5058. =>   Note: A software write protection solution is not absolutely reliable.
  5059.      It can be bypassed, but, fortunately, viruses that are actually capable
  5060.      to do so are few and far between. It can be a valuable shield against
  5061.      most malicious software, despite its shortcomings.
  5062.  
  5063.      nowrprot (n)
  5064.      You can use this option to undo the option 'wrprot'.
  5065.  
  5066.      win32 (w)
  5067.      Windows 386 Enhanced Mode uses some undocumented DOS calls to retrieve
  5068.      the original BIOS disk handler when 32-bit disk access has been enabled.
  5069.      Since TbDisk guards these calls, 32-bit disk access will no longer be
  5070.      possible, unless you specify option 'win32' when TbDisk is initialized. 
  5071.  
  5072. =>   Note: Use this option, which reduces antiviral security to some extent,
  5073.      only in Windows 386 Enhanced Mode with fast 32-bit disk access enabled!
  5074.  
  5075. ~    secure (s)
  5076.      TbDisk normally asks whether the user wants to continue or cancel when a
  5077.      program tries to perform direct disk access. In some business environ-
  5078.      ments, however, this should not be left up to employees. Option 'secure'
  5079.      disables direct disk access permission to new or unknown software. It
  5080.      also disables option 'off' and 'remove'.
  5081.  
  5082.      nostealth (a)
  5083.      TbDisk tries to detect direct calls into the BIOS. If such an  attempt
  5084.      occurs, TbDisk pops up with a message that the disk is accessed in an
  5085.      unusual way. If this feature causes false alarms, you can use this
  5086.      option to turn it off.
  5087.  
  5088.      notunnel (t)
  5089.      One of TbDisk's regular tasks is to detect tunneling attempts on the
  5090.      part of viruses. 'Tunneling' is a technique used by viruses to determine
  5091.      the location of the BIOS system code in memory, and to use that address
  5092.      to communicate with the BIOS directly. This will inactivate all TSR
  5093.      programs, including resident anti-virus software. TbDisk can detect
  5094.      'tunneling' attempts in advance and informs you about this. Some other
  5095.      antiviral products employ tunneling techniques also to bypass resident
  5096.      viruses, causing a false alarm. If you make use of such other anti-virus
  5097.      products, you may use the option 'notunnel' to disable tunneling-detec-
  5098.      tion.
  5099.  
  5100.      install (i)
  5101.      Incorrect installation may result in a large number of false alarms. You
  5102.      should use option 'install' when installing TbDisk, which will reduce
  5103.      the risk of cancelling a valid disk write operation as a result of false
  5104.      alarms.
  5105.  
  5106.  
  5107.  
  5108.  
  5109.  
  5110.  
  5111.                                      III - 51
  5112. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  5113.  
  5114.  
  5115.      TbDisk in process
  5116.  
  5117.      What is Direct Disk Access?  
  5118.      Programs often access files, usually through the operating system (DOS).
  5119.      Whenever a program wants to update a file, for example, it asks DOS to
  5120.      write the data to disk. There are however also possibilities to write to
  5121.      a disk without using DOS. This is called 'direct disk access'.
  5122.  
  5123.      Normal programs do not write to the disk directly. However, there are
  5124.      some programs that need to write to disk directly. Programs in this
  5125.      category are:
  5126.  
  5127.      -    Format utilities. A disk can only be formatted by direct disk
  5128.           access.
  5129.  
  5130.      -    Disk diagnosis utilities (such as the NORTON disk doctor, DOS
  5131.           chkdsk, etc.)
  5132.  
  5133.      -    Disk optimizers.
  5134.  
  5135.      As many viruses are able to perform direct disk access as well, it is
  5136.      essential to have some control over all this. TbDisk can distinguish
  5137.      between legitimate programs and a virus with the help of the Anti-
  5138.      Vir.Dat records, generated by TbSetup under your guidance.
  5139.  
  5140.  
  5141.      Detecting direct disk accesses
  5142.  
  5143.      Whenever TbDisk pops up with the message that a program accesses to the
  5144.      disk directly, consider its purpose carefully. While it is perfectly
  5145.      acceptable for a format utility or a disk optimizer to format or edit
  5146.      disk sectors, the same cannot be said about a word processor or databa-
  5147.      se. When TbDisk warns you that a spreadsheet or some other 'normal'
  5148.      program is about to format a sector, you can be sure that something is
  5149.      wrong. Terminate the program -pronto!- and check things out with a virus
  5150.      scanner before the worst can happen.
  5151.  
  5152.  
  5153.  
  5154.  
  5155.  
  5156.  
  5157.  
  5158.  
  5159.  
  5160.  
  5161.  
  5162.  
  5163.  
  5164.  
  5165.  
  5166.  
  5167.  
  5168.                                      III - 52
  5169. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  5170.  
  5171.  
  5172. 6. TBAV Tools
  5173.  
  5174.  
  5175. 6.1. TbUtil
  5176.  
  5177.      The Purpose of TbUtil
  5178.  
  5179.      TbUtil provides a defense against partition table and bootsector viru-
  5180.      ses:
  5181.  
  5182.      TbUtil copies the partition table, bootsector and CMOS data area into a
  5183.      file. On a regular base you can use TbUtil to compare both the current
  5184.      and the copied versions of the partition table, bootsector and CMOS data
  5185.      area. After a (virus) accident you can restore the copy with the TbUtil
  5186.      program. 
  5187.  
  5188.      TbUtil removes a partition table virus without having to low-level
  5189.      format the hard disk, even if there is no backup of the partition table.
  5190.  
  5191.      TbUtil removes bootsector viruses.
  5192.  
  5193.      TbUtil creates a partition table that has some first-line virus defenses
  5194.      built-in.
  5195.  
  5196.      TbUtil replaces the infected or clean bootsector by a safe TBAV boots-
  5197.      ector.
  5198.  
  5199.  
  5200.      What is a partition table?
  5201.  
  5202.      A partition is a logical drive on a hard disk. A physical hard disk can
  5203.      contain multiple DOS partitions. Every DOS partition has its own drive
  5204.      ID (eg. C: D: E:). The partition table contains the disk lay-out and the
  5205.      start and end cylinder of every partition. The partition table also
  5206.      carries information about the operating system of a partition and which
  5207.      partition should be used to boot. The partition table is always located
  5208.      at the first sector of the hard disk. It is called the "Master Boot
  5209.      Record".
  5210.  
  5211.  
  5212.      No format needed
  5213.  
  5214.      Unlike most file viruses, partition table viruses are hard to remove.
  5215.      The only solution is to low-level format the hard disk and to make a new
  5216.      partition table, or to make use of undocumented DOS commands.
  5217.  
  5218.      TbUtil makes a backup of the partition table and bootsector, and will
  5219.      use this backup to compare and restore both the original partition table
  5220.      and bootsector once they have been infected. You don't have to format
  5221.      your disk anymore to get rid of a partition table or bootsector virus.
  5222.      The program can also restore the CMOS configuration.
  5223.  
  5224.  
  5225.                                      III - 53
  5226. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  5227.  
  5228.  
  5229.      If desired TbUtil replaces the partition table code with an immunized
  5230.      partition table, containing facilities against viruses. The TbUtil
  5231.      partition code will be executed before the bootsector gains control, so
  5232.      it is able to check the bootsector in a clean environment. Once the
  5233.      bootsector is executed it is difficult to check it, because the virus is
  5234.      already resident in memory and can fool any protection. Instead of
  5235.      booting from a clean DOS diskette just to inspect the bootsector, the
  5236.      TbUtil partition code performs a CRC calculation on the bootsector just
  5237.      before control is passed to it.
  5238.  
  5239.      If the bootsector has been modified the TbUtil partition code will warn
  5240.      you about this. The TbUtil partition code also checks the RAM layout and
  5241.      informs you when it has changed. It does this every time you boot from
  5242.      your hard disk.
  5243.  
  5244.      TbUtil can replace infected and clean diskette bootsectors by a new
  5245.      bootsector, which has advantages over the standard bootsector. It has
  5246.      bootsector virus detection capabilities, it performs a sanity check, and
  5247.      it offers you the possibility to redirect the boot process to the hard
  5248.      disk without opening the diskette drive door.
  5249.  
  5250.  
  5251.      How to use TbUtil
  5252.  
  5253.      The TbUtil module contains several programs, which can be executed from
  5254.      the TbUtil menu or in case of an emergency from a TbUtil recovery
  5255.      diskette using the DOS command line. TbUtil allows some additional menu
  5256.      options. These options are discussed below. The corresponding command
  5257.      line parameters are listed in chapter 6 of this section.
  5258.  
  5259.  
  5260.      The system maintenance menu
  5261.  
  5262.      This menu contains the actual TbUtil program. The program takes care of
  5263.      saving, restoring or comparing the system configuration of your PC. The
  5264.      backup system configuration is stored on a diskette in a file with
  5265.      either a default name or a name you can specify yourself.
  5266.  
  5267. =>   Warning: You can only restore a system configuration datafile on the
  5268.      machine which created the datafile. If not, restoring such a file will
  5269.      make your PC inaccessible!
  5270.  
  5271.  
  5272.  
  5273.  
  5274.  
  5275.  
  5276.  
  5277.  
  5278.  
  5279.  
  5280.  
  5281.  
  5282.                                      III - 54
  5283. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  5284.  
  5285.  
  5286. ~    +----Main menu-----+
  5287.      |  Confi+-----------TbUtil menu-----------+
  5288.      |  TbSet|  Syste+-------System maintenance-------+
  5289.      |  TbSca|  Immun|  Execute TbUtil                |
  5290.      |  TbUti|  Immun|  Describe this machine         |
  5291.      |  TbCLe|  Immun|  Save system configuration     |
  5292.      |  TBAV +-------|v Compare system configuration  |
  5293.      |  Documentation|  Restore system configuration  |
  5294.      |  Register TBAV|v process CMOS memory           |
  5295.      |  Quit and save|v process Partition code        |
  5296.      |  eXit (no save|v process Bootsector            |
  5297.      +---------------+--------------------------------+
  5298.  
  5299.  
  5300.      Execute TbUtil
  5301.  
  5302.      Before activating this option, you must select one of the optional
  5303.      functions: save, compare or restore the system configuration. Toggle to
  5304.      the desired option and type <ENTER>. A checkmark will indicate the
  5305.      selected option.
  5306.  
  5307.  
  5308.      Describe this machine 
  5309.  
  5310.      Enter a meaningful description of the machine. Enter something like "AT
  5311.      12MHz, 4Mb, room 12, Mr. Smith". You do NOT have to remember it, TbUtil
  5312.      will display it on the screen when comparing or restoring, but it helps
  5313.      you to verify that the data file belongs to the machine.
  5314.  
  5315.  
  5316.      Save system configuration 
  5317.  
  5318.      This option stores the partition table, bootsector and CMOS data area
  5319.      into the TbUtil data file. 
  5320.  
  5321. =>>  Attention! Since the PC is completely inaccessible to DOS if the parti-
  5322.      tion table gets damaged, it is HIGHLY RECOMMENDED to store both the
  5323.      TbUtil data file and the program TbUtil.Exe itself on a diskette! It is
  5324.      not nice if the partition table is destroyed and the only solution to
  5325.      the problem resides on the same inaccessible disk...
  5326.  
  5327.      When loading TbUtil from the command line you must specify a filename
  5328.      after the 'store' option. Using the TBAV menu, you may use the default
  5329.      filename 'TBUTIL.DAT'. If you own more than one PC, it is advisable to
  5330.      create one TbUtil diskette with all TbUtil data files of all your PC's
  5331.      on it. Use the extension of the file for PC identification, eg.:
  5332.  
  5333.           a:TbUtil.<number>
  5334.  
  5335.  
  5336.  
  5337.  
  5338.  
  5339.                                      III - 55
  5340. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  5341.  
  5342.  
  5343.      Compare system configuration 
  5344.  
  5345.      This option enables you to check on a regular basis that everything is
  5346.      still OK. If you specify this option TbUtil will compare the information
  5347.      in the TbUtil data file against the partition table, bootsector and CMOS
  5348.      data area. It will also  show the comment stored in the data file. And
  5349.      of course, if you use this option you will also be guaranteed that the
  5350.      TbUtil data file is still readable.
  5351.  
  5352.  
  5353.      Restore system configuration 
  5354.  
  5355.      This option enables you to restore the partition table, bootsector, and
  5356.      CMOS data area. It will ask you to confirm that the data file belongs to
  5357.      the current machine. Finally it will restore the partition table,
  5358.      bootsector of the partition to be used to boot, and the CMOS data area.
  5359.  
  5360.  
  5361.      Process Partition code/Bootsector/CMOS memory
  5362.  
  5363.      TbUtil will by default restore the partition code, bootsector and CMOS
  5364.      if option 'restore' is specified. If you use one of the above mentioned
  5365.      options in combination with the option 'restore' TbUtil will restore
  5366.      just the items specified.
  5367.  
  5368.  
  5369.  
  5370.      The TbUtil menu
  5371.  
  5372.      Apart from the System maintenance menu, the TbUtil menu contains some
  5373.      useful programs to prevent bootsector virus infection or to remove these
  5374.      viruses.
  5375.  
  5376. ~    +----Main menu-----+
  5377.      |  Confi+-----------TbUtil menu-----------+
  5378.      |  TbSet|  System maintenance menu       >|
  5379.      |  TbSca|  Immunize/clean bootsector A:   |
  5380.      |  TbUti|  Immunize/clean bootsector B:   |
  5381.      |  TbCLe|  Immunize/clean partition code  |
  5382.      |  TBAV +---------------------------------+
  5383.      |  Documentation  >|
  5384.      |  Register TBAV   |
  5385.      |  Quit and save   |
  5386.      |  eXit (no save)  |
  5387.      +------------------+
  5388.  
  5389.  
  5390.      Immunize/clean diskette 
  5391.  
  5392.      You can use the 'immunize' program to clean diskettes infected by a
  5393.      bootsector virus or to replace the standard bootsector by a bootsector
  5394.      which has advantages over the original one:
  5395.  
  5396.                                      III - 56
  5397. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  5398.  
  5399.  
  5400.      It has virus detection capabilities. The bootsector will check that it
  5401.      is still located on the correct place on the diskette, and that Int 13h
  5402.      and/or Int 40h are still located in system ROM. This makes it possible
  5403.      to detect even 'stealth' and bootsector viruses.
  5404.  
  5405.      The TBAV bootsector is able to load the system files if they are availa-
  5406.      ble on the disk, but if the DOS system files are not on the disk the
  5407.      TBAV bootsector will present a small menu and offers you two possibili-
  5408.      ties: retry the boot operation with another diskette, or to boot from
  5409.      the harddisk. If the user selects the latter, it is not required to open
  5410.      the diskette drive door.
  5411.  
  5412.  
  5413.      Immunize/clean hard disk 
  5414.  
  5415.      This is a very powerful option, which can be used to clean an infected
  5416.      partition table if there is no TbUtil data file. It replaces the exis-
  5417.      ting partition table code by a new partition routine containing some
  5418.      virus detection capabilities. The original partition code will be saved
  5419.      in a file. You have to execute TbUtil from a floppy drive or you have to
  5420.      specify the name of the file (the specified drive should be a diskette
  5421.      drive) to store the original partition code.
  5422.  
  5423.      If the original partition table is completely damaged and cannot be used
  5424.      to build a new one, TbUtil will scan the entire disk for information
  5425.      about the original disk layout. TbUtil will also search for TbUtil data
  5426.      files on the hard disk. It is however recommended to store the data file
  5427.      on a diskette, although it is a good idea to keep a copy of it on the
  5428.      hard disk. Just in case!
  5429.  
  5430.      If your system configuration changes, i.e. you update your DOS version,
  5431.      or change the amount of memory, you need to update the information
  5432.      stored in the immune partition as well. You can do this by using this
  5433.      option.
  5434.  
  5435.      In the unlikely event that the system does not boot properly, you can
  5436.      restore the original partition table using the TbUtil 'restore' option
  5437.      or by using the DOS 5+ 'FDISK /MBR' command (which will create a new
  5438.      partition table).
  5439.  
  5440.      If the new partition code works properly, you should make a back-up copy
  5441.      of it on a diskette using the TbUtil 'store' option.
  5442.  
  5443.  
  5444.      Command line options
  5445.  
  5446.      TbUtil recognizes option-characters and option-words. The words are
  5447.      easier to remember, and they will be used in this manual for convenien-
  5448.      ce.
  5449.  
  5450.  
  5451.  
  5452.  
  5453.                                      III - 57
  5454. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  5455.  
  5456.  
  5457.      option     parameter   short explanation
  5458.      ------     ---------   ----  --------------------
  5459.  
  5460.      immunize   <drive>       im  Immunize/Clean boot/MBR of <drive>
  5461. ~    getboot    <drive>       gb  Save bootsector into file
  5462.      store      [<filename>]  st  Store system information
  5463.      restore    [<filename>]  re  Restore system information
  5464.      compare    [<filename>]  co  Compare system information
  5465.      Sub-options of option 'Immunize':
  5466.      norepeat                 nr  Do not ask for next diskette
  5467. ~    nomem                    nm  Do not check for amount of RAM
  5468.      Sub-options of option 'Store':
  5469.      description<descr.>      de  Add description to data file
  5470.      Sub-options of option 'Restore':
  5471.      part                     pt  Restore partition table
  5472.      boot                     bo  Restore bootsector of HD
  5473.      cmos                     cm  Restore CMOS
  5474.  
  5475.  
  5476.      Below, the command line options are explained briefly.
  5477.  
  5478.      immunize diskette <drive> (im)
  5479.      You can use the 'immunize' program to clean diskettes infected by a
  5480.      bootsector virus or to replace the standard bootsector by a bootsector
  5481.      which has advantages over the original one: 
  5482.  
  5483.      -    It has virus detection capabilities. The bootsector will check that
  5484.           it is still located on the correct place on the diskette, and that
  5485.           Int 13h and/or Int 40h are still located in system ROM. This makes
  5486.           it possible to detect even 'stealth' and bootsector viruses.
  5487.  
  5488.      -    The TBAV bootsector is able to load the system files if they are
  5489.           available on the disk, but if the DOS system files are not on the
  5490.           disk the TBAV bootsector will present a small menu and offers you
  5491.           two possibilities: retry the boot operation with another diskette,
  5492.           or to boot from the harddisk. If the user selects the latter, it is
  5493.           not required to open the diskette drive door.
  5494.  
  5495.  
  5496.      Immunize c: (im c:)
  5497.      This is a very powerful option, which can be used to clean an infected
  5498.      partition table if there is no TbUtil data file. It replaces the exis-
  5499.      ting partition table code by a new partition routine containing some
  5500.      virus detection capabilities. The original partition code will be saved
  5501.      in a file. You have to execute TbUtil from a floppy drive or you have to
  5502.      specify the name of the file (the specified drive should be a diskette
  5503.      drive) to store the original partition code.
  5504.  
  5505.      If the original partition table is completely damaged and cannot be used
  5506.      to build a new one, TbUtil will scan the entire disk for information
  5507.      about the original disk layout. TbUtil will also search for TbUtil data
  5508.      files on the hard disk. It is however recommended to store the data file
  5509.  
  5510.                                      III - 58
  5511. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  5512.  
  5513.  
  5514.      on a diskette, although it is a good idea to keep a copy of it on the
  5515.      hard disk. Just in case!
  5516.  
  5517.      If your system configuration changes, i.e. you update your DOS version,
  5518.      or change the amount of memory, you need to update the information
  5519.      stored in the immune partition as well. You can do this by using this
  5520.      option. In the unlikely event that the system does not boot properly,
  5521.      you can restore the original partition table using the TbUtil 'restore'
  5522.      option or by using the DOS 5+ 'FDISK /MBR' command (which will create a
  5523.      new partition table). If the new partition code works properly, you
  5524.      should make a back-up copy of it on a diskette using the TbUtil 'store'
  5525.      option.
  5526.  
  5527. ~    getboot <drive> (gb)
  5528.      With this option you can copy the bootsector of the specified drive into
  5529.      a file.
  5530.  
  5531.      store [<filename>] (st)
  5532.      This option stores the partition table, bootsector and CMOS data area
  5533.      into the TbUtil data file. 
  5534.  
  5535. =>>  Attention! Since the PC is completely inaccessible to DOS if the parti-
  5536.      tion table gets damaged, it is HIGHLY RECOMMENDED to store both the
  5537.      TbUtil data file and the program TbUtil.Exe itself on a diskette! It is
  5538.      not nice if the partition table is destroyed and the only solution to
  5539.      the problem resides on the same inaccessible disk...
  5540.  
  5541.      When loading TbUtil from the command line you must specify a filename
  5542.      after the 'store' option. Using the TBAV menu, you may use the default
  5543.      filename 'TBUTIL.DAT'. If you own more than one PC, it is advisable to
  5544.      create one TbUtil diskette with all TbUtil data files of all your PC's
  5545.      on it. Use the extension of the file for PC identification, eg.:
  5546.      a:TbUtil.<number>
  5547.  
  5548.      restore [<filename>] (re)
  5549.      This option enables you to restore the partition table, bootsector, and
  5550.      CMOS data area. It will ask you to confirm that the data file belongs to
  5551.      the current machine. Finally it will restore the partition table,
  5552.      bootsector of the partition to be used to boot, and the CMOS data area.
  5553.  
  5554.      compare [<filename>] (co)
  5555.      This option enables you to check on a regular basis that everything is
  5556.      still OK. If you specify this option TbUtil will compare the information
  5557.      in the TbUtil data file against the partition table, bootsector and CMOS
  5558.      data area. It will also  show the comment stored in the data file. And
  5559.      of course, if you use this option you will also be guaranteed that the
  5560.      TbUtil data file is still readable.
  5561.  
  5562.      norepeat (nr) 
  5563.      TbUtil will prompt you for next diskette after you immunized a diskette.
  5564.      With option 'norepeat' you can disable this.
  5565.  
  5566.  
  5567.                                      III - 59
  5568. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  5569.  
  5570.  
  5571. ~    nomem (nm)
  5572.      If you specify this option when you are immunizing your partition code,
  5573.      the partition code will skip the RAM check while booting. This is
  5574.      necessary for some systems which change the memory setup during the boot
  5575.      process.
  5576.  
  5577.      description <descr.> (de)
  5578.      Enter a meaningful description of the machine. Enter something like "AT
  5579.      12MHz, 4Mb, room 12, Mr. Smith". You do NOT have to remember it, TbUtil
  5580.      will display it on the screen when comparing or restoring, but it helps
  5581.      you to verify that the data file belongs to the machine.
  5582.  
  5583.      part (pt)
  5584.      boot (bo)
  5585.      cmos (cm)
  5586.  
  5587.      TbUtil will by default restore the partition code, bootsector and CMOS
  5588.      if option 'restore' is specified. If you use one of the above mentioned
  5589.      options in combination with the option 'restore' TbUtil will restore
  5590.      just the items specified.
  5591.  
  5592.  
  5593.      Examples
  5594.           TbUtil store
  5595.           TbUtil st
  5596.           TbUtil store A:TbUtil.Dat
  5597.           TbUtil store A:TbUtil.Dat description = "Test machine"
  5598.           TbUtil compare A:TbUtil.Dat
  5599.           TbUtil restore A:TbUtil.Dat part cmos
  5600.           TbUtil immunize A:
  5601. ~         TbUtil immunize C: nomem
  5602.           Type A:TbUtil.Dat
  5603.  
  5604.  
  5605.      Using the anti-virus partition
  5606.  
  5607.      If you install the Thunderbyte partition code (TbUtil immunize), you
  5608.      will see the following while booting a clean system:
  5609.  
  5610.  
  5611.           Thunderbyte anti-virus partition v6.03 (C) 1993 Thunderbyte BV.
  5612.  
  5613.           Checking bootsector CRC -> OK!
  5614.           Checking available RAM -> OK!
  5615.           Checking INT 13h -> OK!
  5616.  
  5617.  
  5618.      If there is a virus in the bootsector or partition table you will see
  5619.      this:
  5620.  
  5621.  
  5622.  
  5623.  
  5624.                                      III - 60
  5625. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  5626.  
  5627.  
  5628.           Thunderbyte anti-virus partition v6.03 (C) 1993 Thunderbyte BV.
  5629.  
  5630.           Checking bootsector CRC -> OK!
  5631.           Checking available RAM -> Failed!
  5632.  
  5633.           System might be infected. Continue? (N/Y)
  5634.  
  5635.  
  5636.      Some other messages that can be displayed are "No system.", which means
  5637.      that there is no active partition on the disk, and "Disk error" of which
  5638.      the meaning is obvious.
  5639.  
  5640.  
  5641.      Using the TbUtil diskette
  5642.  
  5643.      Take a new diskette, format it as a bootable diskette (eg. by using the
  5644.      dos 'format /s' command). Copy the TbUtil files onto the diskette:
  5645.  
  5646.           copy tbutil.* a:
  5647.  
  5648.      The TbUtil files you need are:
  5649.           tbutil.exe
  5650.           tbutil.lng
  5651.  
  5652.  
  5653.      Trouble-Shooting
  5654.  
  5655.      In case of an emergency, eg. a damaged or infected partition table, you
  5656.      should boot from the TbUtil diskette. Subsequently, you start the TbUtil
  5657.      program, using the 'immunize' option:
  5658.  
  5659.           a:\tbutil immunize c:
  5660.  
  5661.  
  5662. 6.2. TbLog
  5663.  
  5664.      The purpose of TbLog
  5665.  
  5666.      TbLog is a TBAV log file utility. It writes a record into a log file
  5667.      whenever one of the resident TBAV utilities pops up with an alert
  5668.      message. Also when TbScan detects a virus a record will be written.
  5669.  
  5670.      This utility is primarily intended for network users. If all workstati-
  5671.      ons have TbLog installed and configured to maintain the same log file,
  5672.      the supervisor is able to keep track of what is going on easily. When a
  5673.      virus enters the network he is able to determine which machine introdu-
  5674.      ced the virus, and he can take action in time.
  5675.  
  5676.      A TbLog record consists of the timestamp on which the event took place,
  5677.      the name of the machine on which the event occured, and an informative
  5678.      message about what happenend and which files were involved. The informa-
  5679.      tion is very comprehensive and takes just one line.
  5680.  
  5681.                                      III - 61
  5682. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  5683.  
  5684.  
  5685.  
  5686.      How to use TbLog
  5687.  
  5688.      Just like the other TBAV utilities TbLog can be loaded in the Config.Sys
  5689.      or AutoExec.Bat file, after the TbDriver invokation.
  5690.  
  5691.      TbLog should be installed on every workstation. If you want to use all
  5692.      workstations to maintain the same log file, it is recommended to load
  5693.      TbLog after the network has been started.
  5694.  
  5695.      TbLog will by default maintain a log file with the name TbLog.Log in the
  5696.      TBAV directory. If you want to use another filename or in on another
  5697.      disk or directory you can specify a filename on the command line of
  5698.      TbLog. In a network environment it is highly recommended to put the log
  5699.      file on a server disk.
  5700.  
  5701.  
  5702.      Command line options
  5703.  
  5704.      It is possible to specify options on the command line. The upper five
  5705.      options are always available, the other options are available only if
  5706.      TbLog is not memory resident.
  5707.  
  5708.      option   parameter   short explanation
  5709.      ----------------------------------------------------
  5710.      help                  ?    display this helpscreen
  5711.      remove                r    remove TbLog from memory
  5712.      on                    e    enable TbLog
  5713.      off                   d    disable TbLog
  5714.      test                  t    log test message
  5715.  
  5716.      machine = <machine>   m    name of your machine
  5717.      secure                s    do not allow removal
  5718.  
  5719.  
  5720.      help (?)
  5721.      If you specify this option TbLog will show you the brief help as shown
  5722.      above.
  5723.  
  5724.      off (d)
  5725.      If you specify this option TbLog will be disable, but it will remain in
  5726.      memory.
  5727.  
  5728.      on (e)
  5729.      If you use this option TbLog will be activated again after you disabled
  5730.      it with the 'off' option.
  5731.  
  5732.      remove (r)
  5733.      This option can be used to remove the resident part of TbLog from your
  5734.      system's memory.  All memory used by TbLog will be released. Unfortuna-
  5735.      tely, the removal of a TSR (like TbLog) is not always possible.  TbLog
  5736.      checks whether it is safe to remove the resident part from memory. If it
  5737.  
  5738.                                      III - 62
  5739. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.               SECTION III
  5740.  
  5741.  
  5742.      is not safe it just disables TbLog. A TSR can not be removed if another
  5743.      TSR has been started after it. If this happens with TbLog it will
  5744.      completely disable itself.
  5745.  
  5746.      test (t)
  5747.      This option can be used to record a test message. If you use option
  5748.      'test' at the initial invocation of TbLog, it will record the time and
  5749.      machinename into the log file. If you use the 'test' option afterwards
  5750.      it will just put a test message in the log file.
  5751.  
  5752.      machine (m)
  5753.      With this option you can specify the name of the machine on which TbLog
  5754.      is loaded. This machine name will appear in the log file. On NetBios
  5755.      compatible machines TbLog will by default use the network machine name.
  5756.      On other networks - such as Novell - you have to enter the network name
  5757.      on the TbLog command line.
  5758.  
  5759.      secure (s)
  5760.      If you specify this option it is not possible anymore to use options
  5761.      'off' and 'remove'.
  5762.  
  5763.  
  5764.      Examples:
  5765.           C:\TBAV\TbLog f:\security\Tblog.log secure machine=DESK3
  5766.      or:
  5767.           Device=c:\TBAV\TbLog.Exe x:\logs\tblog.log machine=JOHN test
  5768.  
  5769.  
  5770.  
  5771.  
  5772.  
  5773.  
  5774.  
  5775.  
  5776.  
  5777.  
  5778.  
  5779.  
  5780.  
  5781.  
  5782.  
  5783.  
  5784.  
  5785.  
  5786.  
  5787.  
  5788.  
  5789.  
  5790.  
  5791.  
  5792.  
  5793.  
  5794.  
  5795.                                      III - 63
  5796. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  5797.  
  5798.  
  5799. SECTION IV. ADVANCED USER INFORMATION
  5800.  
  5801.  
  5802. 1. Memory requirements
  5803.  
  5804.      Free memory needed:
  5805.                               min.                min.
  5806.                               to be               after
  5807.                               loaded:             termination:
  5808.  
  5809.      TbScan                   200 Kb
  5810.      TbScanX                  10 Kb               800 bytes
  5811.      TbCheck                  4 Kb                600 bytes
  5812.      TbUtil                   64 Kb
  5813.      TbClean                  96 Kb
  5814.  
  5815.      TbMem                    4 Kb                600 bytes
  5816.      TbFile                   5 Kb                1 Kb
  5817.      TbDisk                   4 Kb                800 bytes
  5818.      TbDriver                 5 Kb                3 Kb
  5819. ~    TbLog                    5 Kb                1 Kb
  5820.  
  5821.  
  5822.      If you decide to use a log file TbScan will need an additional 16 Kb of
  5823.      memory for the log file buffer. If TbScan uses its own built-in file
  5824.      system it uses additional memory to keep the FAT in memory. Note that
  5825.      the memory requirements are independent of the number of signatures. The
  5826.      current memory requirements are adequate to manage at least 2500 signa-
  5827.      tures.
  5828.  
  5829. ~    The amount of memory TbScanX requires depends on the number of signatu-
  5830.      res. With all features enabled TbScanX uses 30 Kb of memory when scan-
  5831.      ning for 1400 family signatures. If you enable swapping TbScanX normally
  5832.      uses only 1Kb of memory. You can swap to EMS and XMS memory. Of course
  5833.      the remaining kilobyte of TbScanX can be loaded in upper memory.
  5834.  
  5835.      In the heuristic cleaning mode TbClean needs much more memory, depending
  5836.      on the size of the infected file. TbClean can also use expanded memory
  5837.      (EMS).
  5838.  
  5839.  
  5840.      Reducing memory requirements
  5841.  
  5842.      Most PC users try to maintain as much free DOS memory as possible. The
  5843.      memory resident TBAV utilities (TbScanX, TbCheck, TbMem, TbFile, TbDisk
  5844.      and TbDriver) are designed to use only a little amount of DOS memory. To
  5845.      decrease the memory requirements of these utilities even further do the
  5846.      following:
  5847.  
  5848.      Load the program from within the Config.Sys file. If loaded as a device
  5849.      driver it has no Program Segment Prefix (PSP), which saves 256 bytes for
  5850.      each TBAV utility.
  5851.  
  5852.                                       IV - 1
  5853. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  5854.  
  5855.  
  5856.      If you load the TBAV utilities from within the Autoexec.Bat file, load
  5857.      them before establishing environment variables. DOS maintains a list of
  5858.      environment variables for every resident program, so keep this list
  5859.      small while installing TSRs. Once all TSRs are installed you can define
  5860.      all environment variables without affecting the memory requirements of
  5861.      the TSRs.
  5862.  
  5863.      By using one of the options 'ems' or 'xms' TbScanX swaps itself to non-
  5864.      DOS memory, leaving only 1 Kb of code in DOS memory. Swapping to expan-
  5865.      ded memory ('ems') is preferred. 
  5866.  
  5867.      If you have DOS 5 or higher try to load the program into an upper memory
  5868.      block using the "loadhigh" or "devicehigh" commands. It is recommended
  5869.      to enable swapping also to limit the usage of upper memory.
  5870.  
  5871.      Use one of the processor specific versions of the relevant TBAV utility.
  5872.      They all consume less memory than the generic versions. Processor
  5873.      optimized versions are available on any ThunderBYTE support BBS.
  5874.  
  5875. ~    Consider the following memory saving options:
  5876.      TbDriver:      NoStack
  5877.      TbMem:         NoCancel
  5878.      TbScanX:       NoBoot, EMX, XMS
  5879.  
  5880.  
  5881.  
  5882.  
  5883.  
  5884.  
  5885.  
  5886.  
  5887.  
  5888.  
  5889.  
  5890.  
  5891.  
  5892.  
  5893.  
  5894.  
  5895.  
  5896.  
  5897.  
  5898.  
  5899.  
  5900.  
  5901.  
  5902.  
  5903.  
  5904.  
  5905.  
  5906.  
  5907.  
  5908.  
  5909.                                       IV - 2
  5910. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  5911.  
  5912.  
  5913. 2. TbSetup
  5914.  
  5915.  
  5916. 2.1. Anti-Vir.Dat design considerations
  5917.  
  5918.      ThunderBYTE Anti-Virus expects every directory on your system with
  5919.      executable files to have its own Anti-Vir.Dat file. Some other anti-
  5920.      virus products maintain a somewhat similar 'fingerprint' list of all
  5921.      executable files, but in one large file rather than a separate file in
  5922.      every directory. TBAV contains a separate file in every directory
  5923.      instead of one file with all file information because of the following:
  5924.  
  5925.      One file in every directory will ease maintenance. If you want to remove
  5926.      a complete product, the accompanying Anti-Vir.Dat file can be removed as
  5927.      well. 
  5928.  
  5929.      It will consume less disk space because path information need not to be
  5930.      stored in the information file. 
  5931.  
  5932.      The TBAV utilities will perform faster because they do not have to
  5933.      search through a huge file to locate the information of one specific
  5934.      file.
  5935.  
  5936.      Installation is easier and more reliable in network environments. On
  5937.      networks it is not unusual that the same files have different drive ID's
  5938.      on different workstations. In case of only one information file the
  5939.      drive-ID's should be stored as well, so every workstation should main-
  5940.      tain its own list. The supervisor would easily lose control in this
  5941.      situation.
  5942.  
  5943.  
  5944. 2.2. Format of TbSetup.Dat
  5945.  
  5946.      Editing the TbSetup.Dat file is useful to TBAV site installation (see
  5947.      IV-8). Therefore, some information on the format of this file is neces-
  5948.      sary. The format of the TbSetup.Dat file is very simple. Empty lines, or
  5949.      lines starting with a semi-colon (';') or percent symbol, are either
  5950.      ignored or treated as comment lines. The lines with a preceding percent
  5951.      symbol are also displayed in TbSetup's upper window.
  5952.  
  5953.      Every entry in the TbSetup.Dat file has four items:
  5954.  
  5955.      The filename. The filename must be written in capital letters and
  5956.      without spaces.
  5957.  
  5958.      The length of the file in hexadecimal notation. This field may contain a
  5959.      single asterisk ('*') if an exact filelength match is not required.
  5960.  
  5961.      The file's 32-bit CRC in hexadecimal notation. A single asterisk is
  5962.      allowed if an exact checksum match is not required. 
  5963.  
  5964.  
  5965.  
  5966.                                       IV - 3
  5967. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  5968.  
  5969.  
  5970.      The hexadecimal number representing flags that should be set when the
  5971.      listed file is found on the system.
  5972.  
  5973.      The rest of the line may be used for a brief comment.
  5974.  
  5975.      You may use the following flags:
  5976.  
  5977.      bit 0  (0001)  Do not perform heuristic analysis
  5978.      bit 1: (0002)  Ignore CRC changes (self-modifying file)
  5979.      bit 2: (0004)  Scan for all signatures (lan remote boot file) 
  5980.      bit 3: (0008)  Do not change read-only attribute of this file 
  5981.      bit 4: (0010)  The program stays resident in memory
  5982.      bit 5: (0020)  The program performs direct disk access
  5983.      bit 6: (0040)  Program is allowed to remove read-only attributes
  5984.      bit 15:(8000)  Interrupt rehook required for TbDriver.Exe
  5985.  
  5986.  
  5987.      This is what the entries in TbSetup.Dat look like:
  5988.  
  5989.           ; filename   Length 32-bit CRC  Flags  Comment
  5990.  
  5991.           ; Files that trigger the heuristic alarm of TbScan:
  5992.           4DOS.COM     19FEA         *    0001   ;4Dos 4.0a
  5993.           AFD.COM      0FEFE  4B351A86    0001   ;AFD debugger
  5994.           ARGV0FIX.COM 001D8  431E70C0    0001   ;Argv[0]fix
  5995.           EXE2COM.EXE  00BEA  49276F89    0001   ;Exe to Com conv. utility
  5996.           KILL.EXE     00632  74D41811    0001   ;PcTools 6.0 utility
  5997.           WATCH.COM    003E1  2353625D    0001   ;TSR monitoring utility
  5998.  
  5999.           ; Files that need to be scanned completely, for ALL viruses:
  6000.           NET$DOS.SYS      *         *    0004   ;Disk image Novell boot
  6001.  
  6002.           ; Files without fixed checksum due to internal config area's:
  6003.           Q.EXE            *         *    000A    ;Qedit (all versions)
  6004.           TBCONFIG.COM     *         *    000A    ;all versions
  6005.  
  6006.  
  6007.      Defining new entries
  6008.  
  6009.      If you have any files that should be included in the list, please let us
  6010.      know! We would like to receive a copy to enhance our products and keep
  6011.      TbSetup.Dat up to date. Candidates for inclusion would be any program
  6012.      that triggers the heuristic analysis of TbScan. Whenever you choose
  6013.      'V)alidate program' in the TbScan message window, you will find that on
  6014.      subsequent occasions TbSetup displays the value '0001' in the flags
  6015.      field. If your company has many files like this installed on multiple
  6016.      machines, you may want to include these files in the TbSetup.Dat file
  6017.      yourself. In order to do that execute TbSetup for the file in question
  6018.      and make a note of its filelength and 32-bit CRC, as displayed on the
  6019.      screen. Then edit the TbSetup.Dat file entering the exact filename, the
  6020.      file length and the CRC number, plus the number of any flags you wish to
  6021.  
  6022.  
  6023.                                       IV - 4
  6024. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  6025.  
  6026.  
  6027.      set for that file. If you now use TbSetup on another machine it will set
  6028.      the appropriate flags automatically.
  6029.  
  6030. =>   Note:You may manually set or clear a flag field value when executing
  6031.      TbSetup at the DOS prompt with option 'set' and 'reset' as follows:
  6032.  
  6033.           TBSETUP TEST.EXE SET=0001
  6034.  
  6035.  
  6036. 2.3. TBAV site installation
  6037.  
  6038.      If you have to install the TBAV utilities on a lot of machines in one
  6039.      company, it would be tedious to invoke for instance every single TSR and
  6040.      disk utility on each machine in order to 'teach' TBAV which programs are
  6041.      valid and which are not. Fortunately, this is not necessary. In the
  6042.      present section, three examples are presented on how to simplify instal-
  6043.      lation on several machines.
  6044.  
  6045.      1.   If a resident utility named, for instance, TSRUTIL.EXE is used
  6046.           throughout the company, you can predefine permission by using
  6047.           TbSetup to determine the length and CRC of the program. Now put the
  6048.           name of this program along with the other information in the file
  6049.           TbSetup.Dat and assign the value '0010' to it. 
  6050.  
  6051.      Example:
  6052.           TSRUTIL.EXE  01286  E387AB21  0010  ;Our TSR utility
  6053.  
  6054.  
  6055.      2.   If a disk utility named, for instance, DISKUTIL.EXE is used throug-
  6056.           hout the company, you can predefine permission by using TbSetup to
  6057.           determine the length and CRC of the program. Now put the name of
  6058.           this program along with the other information in the file TbSetup.
  6059.           dat and assign the value '0020' to it.
  6060.  
  6061.      Example:
  6062.           DISKUTIL.EXE  01286  E387AB21  0020  ;Our DISK utility
  6063.  
  6064.      If you now execute TbSetup on every machine (you have to do this anyway)
  6065.      it will recognize this utility and it will set the disk access permissi-
  6066.      on flag for TbMem / TbDisk automatically.
  6067.  
  6068.      3.   If a utility named, for instance, UTIL.EXE is used throughout the
  6069.           company which causes TbScan to give false positives, you can
  6070.           predefine TbSetup to avoid heuristic scanning of the relevant
  6071.           program. Put the name of this program along with the other informa-
  6072.           tion in the file TbSetup.Dat and assign the value '0001' to it.
  6073.  
  6074.  
  6075.  
  6076.  
  6077.  
  6078.  
  6079.  
  6080.                                       IV - 5
  6081. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  6082.  
  6083.  
  6084.      Example:
  6085.           UTIL.EXE  01286  E387AB21  0001  ;Our utility
  6086.  
  6087.      If you now execute TbSetup on every machine (you have to do this anyway)
  6088.      it will recognize this utility and TbScan will not perform heuristic
  6089.      scanning.
  6090.  
  6091.      Also consult the TbSetup.Dat file.
  6092.  
  6093.  
  6094.  
  6095.  
  6096.  
  6097.  
  6098.  
  6099.  
  6100.  
  6101.  
  6102.  
  6103.  
  6104.  
  6105.  
  6106.  
  6107.  
  6108.  
  6109.  
  6110.  
  6111.  
  6112.  
  6113.  
  6114.  
  6115.  
  6116.  
  6117.  
  6118.  
  6119.  
  6120.  
  6121.  
  6122.  
  6123.  
  6124.  
  6125.  
  6126.  
  6127.  
  6128.  
  6129.  
  6130.  
  6131.  
  6132.  
  6133.  
  6134.  
  6135.  
  6136.  
  6137.                                       IV - 6
  6138. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  6139.  
  6140.  
  6141. 3. TbScan
  6142.  
  6143. 3.1. Heuristic scanning
  6144.  
  6145.      TbScan is not just a signature scanner. It also disassembles the file
  6146.      being processed, for the following purposes:
  6147.  
  6148.      1)   By disassembling the file the scanner can restrict itself to the
  6149.           area of the file where the virus might reside, reducing false
  6150.           alarms and speeding up the process.
  6151.  
  6152.      2)   It makes it possible to use the algorithmic detection method on
  6153.           encrypted viruses whose signatures would otherwise remain invisible
  6154.           to the scanner.
  6155.  
  6156.      3)   And it makes it possible to detect suspicious instruction sequen-
  6157.           ces.
  6158.  
  6159.      The detection of suspicious instruction sequences is named 'heuristic
  6160.      scanning'. It is a very powerful feature that enables you to detect new
  6161.      or modified viruses and to verify the results of the signature scan. You
  6162.      no longer have to rely on the scanner's publisher having the same virus
  6163.      as you might have. In normal cases a scanner can only find a virus if
  6164.      the scanner's publisher did have a sample of that virus, in order to
  6165.      make a suitable signature. With heuristic scanning a signature is no
  6166.      longer required, enabling the scanner to detect yet unknown viruses. You
  6167.      should not underestimate the importance of heuristic scanning, since
  6168.      every month at least 50 new viruses are reported. It is very unlikely
  6169.      that a publisher is the first one to get these new viruses...
  6170.  
  6171.  
  6172.      Heuristic level 1                       Heuristic level 2
  6173.      ------------------------------------------------------------
  6174.      Always enabled                          Only with option 'heuris
  6175.                                              tic' or after a virus has been
  6176.                                              found. 
  6177.      Detects 50% of the unknown viruses.     Detects 90% of the viruses
  6178.      Almost never causes false alarms.       Causes a few false alarms.
  6179.      Displays 'Probably infected'            Displays 'Might be infec
  6180.                                              ted'
  6181.  
  6182.  
  6183.      TEST.EXE <scanning...>         OK  (no flags)
  6184.      TEST.EXE <scanning...> R       OK  (nothing serious)
  6185.      TEST.EXE <scanning...> FRM         might be infected by unknown virus
  6186.      TEST.EXE <scanning...> FRALM#      probably infected by unknown virus  
  6187.  
  6188.      How does heuristic scanning actually work? Every program contains
  6189.      instructions for the PC's processor. By looking into the file's contents
  6190.      and by interpreting the instructions TbScan is able to detect the
  6191.      purpose of these instructions. If the purpose seems to be to format a
  6192.      disk, or to infect a file, TbScan issues a warning. There are a lot of
  6193.  
  6194.                                       IV - 7
  6195. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  6196.  
  6197.  
  6198.      instruction sequences which are very common for viruses, but very
  6199.      uncommon for normal programs. Every suspicious instruction sequence is
  6200.      assigned to a character: a heuristic flag. Every heuristic flag denotes
  6201.      a score. If the total score exceeds a predefined limit, TbScan assumes
  6202.      the file contains a virus. 
  6203.  
  6204.      There are actually two predefined limits: the first one is quite sensi-
  6205.      tive and can be reached by some normal innocent programs. If this limit
  6206.      is reached, TbScan highlights the heuristic flags that are displayed on
  6207.      the screen and increases the 'suspected items' counter. TbScan does not
  6208.      indicate the existence of a virus, unless you have specified the 'heu-
  6209.      ristic' option. If you do have specified this option, TbScan tells you
  6210.      the file 'Might be infected by an unknown virus'. 
  6211.  
  6212.      The second heuristic limit will be triggered by a lot of viruses, but
  6213.      not by normal programs. If this limit is reached TbScan tells you that
  6214.      the file is 'Probably infected by an unknown virus.'
  6215.  
  6216. =>   Note: TbScan performs heuristic analysis only nearby the entry-point of
  6217.      a file. Therefore, TbScan does not detect direct writes to disk by some
  6218.      disk utilities nor does TbScan detect some programs as TSR programs.
  6219.      This is just the result of a specific approach to minimize false alarms.
  6220.      In case of a virus, the offending instructions are always nearby the
  6221.      entry-point (except when the virus is over 10Kb in size) so TbScan will
  6222.      detect suspicious phenomenons in these situations anyway. 
  6223.  
  6224.  
  6225. 3.2. Integrity checking
  6226.  
  6227.      TbScan will perform integrity checking while scanning. You have to use
  6228.      TbSetup to generate the Anti-Vir.Dat files. Once these files exist on
  6229.      your system TbScan will check that every file being scanned matches the
  6230.      information maintained in the Anti-Vir.Dat files. If a virus infects a
  6231.      file, the maintained information will not match anymore with the now
  6232.      changed file, and TbScan will inform you about this. There are no
  6233.      (command line) options to enable this feature: TbScan will perform
  6234.      integrity checking automatically if it detects the Anti-Vir.Dat files.
  6235.      Note that TbScan only reports file changes that could indicate a virus.
  6236.      Internal configuration areas of program files may also change, but
  6237.      TbScan does normally not report this. However, if a file gets infected
  6238.      with any virus -known or unknown - the vital information will change and
  6239.      TbScan will indeed report it to you!
  6240.  
  6241.      It is however possible that the checked file changes itself or changes
  6242.      frequently due to another cause. In this case you might want to exclude
  6243.      the program from integrity checking to avoid future false alarms. TbScan
  6244.      will offer you an additional menu option: 'V)alidate program'. For more
  6245.      information about this menu option consult 'Program validation' (page 6
  6246.      of this section).
  6247.  
  6248.  
  6249.  
  6250.  
  6251.                                       IV - 8
  6252. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  6253.  
  6254.  
  6255. 3.3. Program validation
  6256.  
  6257.      This chapter only applies if you use TbSetup to generate the Anti-
  6258.      Vir.Dat records. Without these records program validation is not an
  6259.      option.
  6260.  
  6261.      TbScan will perform as intended on most programs. There are some pro-
  6262.      grams, however, that require special attention in order to avoid false
  6263.      alarms. Most of these programs are recognized automatically by the
  6264.      TbSetup program. Nevertheless it is certainly possible your PC contains
  6265.      some program files which trigger the heuristic alarm of TbScan and/or
  6266.      programs files which change frequently.
  6267.  
  6268.      If an 'infection' has been found with the heuristic analysis or integri-
  6269.      ty checking only and if there is an Anti-Vir.Dat record available,
  6270.      TbScan offers an additional option in its virus-alert window:  
  6271.  
  6272.           'V)alidate program'
  6273.  
  6274.      If you are convinced that the indicated program does not contain a
  6275.      virus, you can press 'V' to set a flag in the program's record. This
  6276.      makes it possible to avoid future false alarms.
  6277.  
  6278.      There are two validation modes. If TbScan alarms you due to a file
  6279.      change, the validation applies to future file changes only. If the alarm
  6280.      is due to heuristic analysis, the validation only applies to heuristic
  6281.      results. If the file is excluded from heuristic analysis the file will
  6282.      still be checksummed.  If the file is excluded from integrity checking
  6283.      TbScan will still perform heuristic analysis on the file.
  6284.  
  6285. =>   Note: if you replaced a file (software upgrade) and you did not use
  6286.      TbSetup, TbScan will pop-up its virus alert window to inform you about
  6287.      the file change. Do not select the validation option in this case,
  6288.      because this would exclude the file for future integrity checking. You
  6289.      should abort TbScan and execute TbSetup on the changed file(s) instead.
  6290.  
  6291.  
  6292. 3.4. The algorithms
  6293.  
  6294.      When TbScan processes a file it will display either 'Looking', 'Chec-
  6295.      king', 'Tracing', 'Scanning' or 'Skipping'.
  6296.  
  6297.      Looking
  6298.  
  6299.      With 'Looking' TbScan indicates it has successfully located the entry
  6300.      point of the program in one step. The program code has been identified
  6301.      so TbScan knows where to search without the need of additional analysis.
  6302.      'Looking' will be used on most known software.
  6303.  
  6304.  
  6305.  
  6306.  
  6307.  
  6308.                                       IV - 9
  6309. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  6310.  
  6311.  
  6312. ~    Checking
  6313.  
  6314.      'Checking' indicates TbScan has successfully located the entry point of
  6315.      the program, and is scanning a frame of about 2Kb around the entry
  6316.      point. If the file is infected, the virus' signature will be located in
  6317.      this area. 'Checking' is a very fast and reliable scan algorithm.
  6318.      Checking will be used on most unknown software.
  6319.  
  6320. ~    Tracing
  6321.  
  6322.      'Tracing' means that TbScan has successfully traced a chain of jumps or
  6323.      calls while locating the entry-point of the program, and is scanning a
  6324.      frame of about 2Kb around this location. If the file has been infected,
  6325.      the signature of the virus will be located in this area. 'Tracing' is a
  6326.      fast and reliable scan algorithm. Tracing will be primarily used for
  6327.      TSR-type COM files. Most viruses will force TbScan to use 'Tracing'.
  6328.  
  6329.      Scanning
  6330.  
  6331.      TbScan is scanning the entire file (except for the exe-header which
  6332.      cannot contain any viral code). This algorithm will be used if 'Look-
  6333.      ing', 'Checking' or 'Tracing' can't be used safely. This is the case
  6334.      when the entry-point of the program contains other jumps and calls to
  6335.      code located outside the scanning frame, or when the heuristic analyzer
  6336.      found something that should be investigated more thoroughly. 'Scanning'
  6337.      is a slow algorithm. Since it processes almost the entire file, inclu-
  6338.      ding data areas, false alarms are more likely to occur. The 'Scanning'
  6339.      algorithm will be used while scanning bootsectors, SYS and BIN files.
  6340.  
  6341.      Skipping
  6342.  
  6343.      'Skipping' will occur with SYS and OVL files only. It simply means that
  6344.      the file will not be scanned. As there are many SYS files containing no
  6345.      code at all (like CONFIG.SYS), it makes absolutely no sense to scan
  6346.      these files for viruses. The same applies to .OV? files. Many overlay
  6347.      files do not deserve to be called as such as they lack an exe-header.
  6348.      Such files cannot be invoked through DOS, which makes them just as
  6349.      invulnerable to direct virus attacks as .TXT files are. If a virus is
  6350.      reported to have infected an .OV? file, it involved one of the relative-
  6351.      ly few overlay files which do contain an exe-header. In that case the
  6352.      infection was the result of the virus monitoring the DOS exec-call
  6353.      (function 4Bh) and infecting any program being invoked that way, inclu-
  6354.      ding 'real' overlay files.
  6355.  
  6356.  
  6357. 3.5. The TbScan.Lng file
  6358.  
  6359.      The TbScan.Lng file contains all texts being displayed by TbScan. You
  6360.      can translate or customize the messages with any ASCII editor.
  6361.  
  6362.  
  6363.  
  6364.  
  6365.                                       IV - 10
  6366. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  6367.  
  6368.  
  6369.      The messages are separated by the dollar sign ($). The first message
  6370.      displays our address and registration info. You can edit this message as
  6371.      you please, for instance adding your company logo.
  6372.  
  6373.      You may add color codes to the TbScan.Lng file. A color code is precee-
  6374.      ded by the character '|'. The following color codes are available: (all
  6375.      numbers are in hex).
  6376.  
  6377.      Color          Foreground Highlight   Background
  6378.  
  6379.      Black          00         08          00
  6380.      Blue           01         09          10
  6381.      Green          02         0A          20
  6382.      Cyan           03         0B          30
  6383.      Red            04         0C          40
  6384.      Magenta        05         0D          50
  6385.      Yellow/Brown   06         0E          60
  6386.      White/gray     07         0F          70
  6387.  
  6388.  
  6389.      Example:  To make a highligted green character on a red background the
  6390.                color code would be 0A+40=4A. To make the character blink add
  6391.                80h to the result.
  6392.  
  6393.  
  6394. 3.6. The TBAV.MSG file
  6395.  
  6396. ~    The TBAV menu shell will display the contents of a file named TBAV.MSG
  6397.      if it exists. You can use this feature to put your company logo on the
  6398.      TBAV screen. You can embed color codes in this file. Consult section 3.5
  6399.      ('The TbScan.Lng file') for more information about color codes.
  6400.  
  6401.  
  6402.  
  6403.  
  6404.  
  6405.  
  6406.  
  6407.  
  6408.  
  6409.  
  6410.  
  6411.  
  6412.  
  6413.  
  6414.  
  6415.  
  6416.  
  6417.  
  6418.  
  6419.  
  6420.  
  6421.  
  6422.                                       IV - 11
  6423. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  6424.  
  6425.  
  6426. 4. TbClean
  6427.  
  6428.      In order to understand the way a cleaning program operates, try to
  6429.      imagine how a virus usually goes about infecting a program. The basic
  6430.      principle is not difficult. A virus - just another program really - adds
  6431.      itself to the end of the program it is going to infect. The additional
  6432.      viral code, naturally, increases the size of the program. But simply
  6433.      appending a viral program to another program is not enough, to do any
  6434.      real harm - the viral code has to be executed first. So, the virus grabs
  6435.      the first few bytes at the start of the program, and replaces them with
  6436.      a 'jump' instruction to its own viral code. That way the virus is able
  6437.      to take control as soon as the program is started. Chances are you will
  6438.      never even notice the momentary delay while the extra code is executed,
  6439.      doing whatever the virus has been programmed to do. The virus then
  6440.      restores the original instructions and restarts the program (jump to the
  6441.      start). Your program, more often than not, works as usual - and it goes
  6442.      without saying that any virus worth its salt will make sure it isn't
  6443.      going to draw undue attention too soon! 
  6444.  
  6445.      So, in order to purge a program, we must first restore the starting
  6446.      instruction bytes, which the virus replaced with the jump to its own
  6447.      code. The virus is going to need these bytes again later on, so they
  6448.      will be stored somewhere in the viral code. The cleaner starts out to
  6449.      find those bytes, puts them back in their old place, and truncates the
  6450.      file to the original size.
  6451.  
  6452.      Cleaner programs basically come in two types - the conventional type,
  6453.      for specific types of viruses, and the far more advanced generic clea-
  6454.      ner, offering a much wider scope. Let's take a closer look at both
  6455.      cleaner types and find out where they differ.
  6456.  
  6457.  
  6458.      Conventional cleaners
  6459.  
  6460.      A conventional cleaner has to know which virus to remove. Suppose your
  6461.      system is infected with a Jerusalem/PLO virus. When you start such a
  6462.      conventional cleaner, a procedure much like the following will take
  6463.      place:
  6464.  
  6465.  
  6466.  
  6467.  
  6468.  
  6469.  
  6470.  
  6471.  
  6472.  
  6473.  
  6474.  
  6475.  
  6476.  
  6477.  
  6478.  
  6479.                                       IV - 12
  6480. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  6481.  
  6482.  
  6483.          original program        infected program
  6484.  
  6485.          +--------------+        +--------------+
  6486.          |              |        |              |
  6487.          | p            |  100:  |jump          |
  6488.          | r            |        |to 2487       |
  6489.          | o            |        | o            |
  6490.          | g            |        | g            |
  6491.          | r            |        | r            |
  6492.          | a            |        | a            |
  6493.          | m            |        | m            |
  6494.          |              |        |              |
  6495.          | c            |        | c            |
  6496.          | o            |        | o            |
  6497.          | d            |        | d            |
  6498.          | e            |        | e            |
  6499.          |              |        |              |
  6500.          +--------------+        +--------------+
  6501.                            2487: |              |
  6502.                                  |  VIRUS!    p |
  6503.                                  |            r |
  6504.                                  |jmp 100       |
  6505.                                  +--------------+
  6506.  
  6507.  
  6508.      The conventional cleaner: 'Hey, the signature file tells me this file is
  6509.      infected with the Jerusalem/PLO virus. Ok, let's see, this virus tacks
  6510.      on 1783 bytes at the end, and it overwrites the first three bytes of the
  6511.      original program with a jump to itself. The original bytes are located
  6512.      at offset 483 in the viral code. So, I have to take those bytes, copy
  6513.      them to the beginning of the file, and I have to remove 1873 bytes of
  6514.      the file. That's it!'
  6515.  
  6516.      There are several pitfalls to worry about in a scenario like this.
  6517.      Obviously, the cleaner has to be given some means to recognize the virus
  6518.      it is supposed to remove. A conventional cleaner cannot cope with a
  6519.      virus unless it knows what to look for. It is even more important to
  6520.      establish the fact that the virus is exactly the same one that the
  6521.      cleaner knows about after checking the validation data. Imagine what
  6522.      whould happen if the virus used in the example had been modified and is
  6523.      now 1869 bytes in size instead of 1873... The cleaner would remove too
  6524.      much! This is not an exceptional case, certainly not after the unslaught
  6525.      of countless so-called mutant straints. The Jerusalem/PLO family, to
  6526.      name but one example, now has more than 100 mutant members!
  6527.  
  6528.  
  6529.      Generic cleaners
  6530.  
  6531.      A generic cleaner works on the principle that any kind of virus -
  6532.      whether or not it has made the signature 'charts' - is bad news. That's
  6533.      why TbClean works with a completely different disinfection scheme that
  6534.      is effective with almost all viruses - it does not even need to recogni-
  6535.  
  6536.                                       IV - 13
  6537. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  6538.  
  6539.  
  6540.      ze them. Actually, TbClean represents two cleaners in one: a 'repair'
  6541.      cleaner and a 'heuristic' cleaner.
  6542.  
  6543.      Repair cleaning
  6544.  
  6545.      Repair cleaning needs an Anti-Vir.Dat file that was generated by TbSetup
  6546.      before the infection occurred. The Anti-Vir.Dat file stores vital
  6547.      information about programs, including their original size, the first few
  6548.      instruction codes and a cryptographic checksum. This information is
  6549.      usually all it takes to disinfect a file, no matter what virus, known or
  6550.      unknown, caused the infection. The cleaner will simply restore the bytes
  6551.      at the beginning of the program, truncate the file to the original size,
  6552.      and verify the result by way of the original checksum.
  6553.  
  6554.  
  6555.      Heuristic cleaning
  6556.  
  6557.      TbClean is the first cleaner in the world that has a heuristic cleaning
  6558.      mode. This mode does not need any information about viruses either, but
  6559.      it has the added advantage that it doesn't even care about the original,
  6560.      uninfected state of a program. This cleaning mode is very effective if
  6561.      your system is infected with an unknown virus and you neglected to let
  6562.      TbSetup generate the Anti-Vir.Dat files in time.
  6563.  
  6564.      In heuristic mode, TbClean loads the infected file and starts emulating
  6565.      the program code. It uses a combination of disassembly, emulation and,
  6566.      sometimes, execution to trace the flow of the viral code, pretending to
  6567.      do more or less exactly what the virus would normally be doing. When the
  6568.      virus gets to the original program's instructions and jumps back to the
  6569.      original program code, TbClean stops the emulation process, with a
  6570.      'thank you' to the virus for its cooperation in restoring the original
  6571.      bytes. 
  6572.  
  6573.      The actual cleaning process involves almost the same three steps as with
  6574.      repair cleaning. First the program startup code is repaired and copied
  6575.      back to the file. Then the viral code, now rendered useless and ineffec-
  6576.      tive, is removed and, for the sake of security, TbClean will do a final
  6577.      analysis of the purged program file.
  6578.  
  6579.  
  6580.  
  6581.  
  6582.  
  6583.  
  6584.  
  6585.  
  6586.  
  6587.  
  6588.  
  6589.  
  6590.  
  6591.  
  6592.  
  6593.                                       IV - 14
  6594. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  6595.  
  6596.  
  6597. 5. TbGensig
  6598.  
  6599. 5.1 The Purpose of TbGenSig
  6600.  
  6601.      TbGenSig is a signature file compiler. Since TBAV is distributed with an
  6602.      up to date, ready-to-use signature file, you do not really need the
  6603.      signature file compiler.
  6604.  
  6605.      If, however, you want to define your own virus signatures, you will need
  6606.      the TbGensig utility. You can use either published signatures or define
  6607.      your own ones if you are familiar with the structure of software.
  6608.  
  6609.      One way or another, you only need to do this in case of an emergency,
  6610.      like in case of the unfortunate event that your machine or even your
  6611.      company is attacked by a yet unknown, thus not recognized virus. It is
  6612.      recommended to send a few samples of the virus to some virus experts
  6613.      anyway, in order to let scanners recognize the virus in the next upgra-
  6614.      de.
  6615.  
  6616.      Since it is not possible to explain the whole subject of virus hunting
  6617.      in one manual, this document assumes you have enough experience and
  6618.      knowledge to make your own signatures.
  6619.  
  6620.      TbGenSig searches for a file named UserSig.Dat in the current directory.
  6621.      This file should contain the signatures you want to add to the TBAV
  6622.      signature file TbScan.Sig. TbGenSig checks the contents of the User-
  6623.      Sig.Dat file and applies it to the TbScan.Sig file.
  6624.  
  6625.      If you want to delete or modify your signatures, just edit or delete the
  6626.      UserSig.Dat file and execute TbGenSig again.
  6627.  
  6628.      TbGenSig will list all signatures in the TbScan.Sig file on screen while
  6629.      being executed.
  6630.  
  6631.  
  6632. 5.2 Defining signatures
  6633.  
  6634.      Format of the  UserSig.dat text
  6635.  
  6636.      You can create and edit the UserSig.Dat file with every DOS editor which
  6637.      is able to output unformatted text. All lines starting with ';' are
  6638.      comment lines. TbGenSig file ignores these lines.
  6639.  
  6640.      Lines starting with '%' will be displayed in the upper TbGenSig window.
  6641.  
  6642.      In the first line the name of a virus is expected. The second line
  6643.      contains one or more keywords. The third line contains the signature
  6644.      itself. This combination of three lines is called a 'signature record'.
  6645.  
  6646.  
  6647.  
  6648.  
  6649.  
  6650.                                       IV - 15
  6651. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  6652.  
  6653.  
  6654.      A signature record should look like this:
  6655.  
  6656.           Test virus
  6657.           exe com inf
  6658.           abcd21436587abcd
  6659.  
  6660.      You may use spaces in the signature for your own convenience. TbGenSig
  6661.      will ignore these spaces.
  6662.  
  6663.  
  6664.      Adding a published signature    
  6665.  
  6666.      If you want to add a signature that has been published, you should act
  6667.      as illustrated below.
  6668.  
  6669.      -    Edit or create the UserSig.Dat file. Convert the published signatu-
  6670.           re to an acceptable format for TbGenSig.
  6671.  
  6672.      -    Use keywords COM EXE BOOT INF
  6673.  
  6674.           You would get:
  6675.  
  6676.           New virus
  6677.           exe com boot inf
  6678.           1234abcd5678efab
  6679.  
  6680.      -    Execute TbGenSig.
  6681.  
  6682.  
  6683.      Defining a Signature with TBScan
  6684.  
  6685.      This section is intended for advanced users who own a TBAV.KEY file.
  6686.  
  6687.      Although the TbScan.Sig file is updated frequently, new viruses are
  6688.      created every day, outpacing the regular upgrading service of this data
  6689.      file. It is therefore possible that one day your system gets infected by
  6690.      a recently created virus that has not yet been listed in the signature
  6691.      file. TbScan will not always detect the virus in such cases, not even
  6692.      with the heuristic analysis. If you are convinced that your system must
  6693.      have been infected without TbScan confirming this, thischapter will
  6694.      supply you with a valuable tool to detect unknown viruses with. This
  6695.      section offers step-by-step assistance in creating an emergency signatu-
  6696.      re that can be (temporarily) added to your copy of TbScan.Sig
  6697.  
  6698.      -    Collect some infected files and copy them into a temporary directo-
  6699.           ry.
  6700.  
  6701.      -    Boot from a clean write-protected diskette. Do NOT execute ANY
  6702.           program from the infected system, even though you expect this
  6703.           program to be clean.
  6704.  
  6705.  
  6706.  
  6707.                                       IV - 16
  6708. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  6709.  
  6710.  
  6711.      -    Execute TbScan from your write-protected TbScan diskette with the
  6712.           'extract' option set. Make sure that the temporary directory where
  6713.           you stored the infected files will be TbScan's target directory.
  6714.           With its 'extract' option set, TbScan will NOT scan the files but,
  6715.           instead, display the first instructions that are found at the
  6716.           entry-point of the infected programs. 
  6717.  
  6718.  
  6719. =>   Please note that we highly recommend you to simultaneously set the 'log'
  6720.      option of TbScan to generate a log file.
  6721.  
  6722.      -    Compare the 'signatures' extracted by TbScan. You should see
  6723.           something like this:
  6724.  
  6725.  
  6726.           NOVIRUS1.COM    2E67BCDEAB129090909090ABCD123490CD
  6727.           NOVIRUS2.COM    N/A
  6728.           VIRUS1.COM      1234ABCD5678EFAB909090ABCD123478FF
  6729.           VIRUS2.COM      1234ABCD5678EFAB901234ABCD123478FF
  6730.           VIRUS3.COM      1234ABCD5678EFAB9A5678ABCD123478FF
  6731.  
  6732.      If the 'signatures' are completely different, the files are either
  6733.      probably not infected, or they have been infected by a polymorphic virus
  6734.      that requires an algorithmic detection module to detect it.
  6735.  
  6736.      -    There might be some differences in the 'signatures'. You can use
  6737.           the question mark wildcard ('?') in this case.
  6738.  
  6739.      A signature to detect the 'virus' in the example above could be:
  6740.  
  6741.           1234ABCD5678EFAB ?3 ABCD123478FF
  6742.  
  6743.      The '?3' means that there are three bytes on that position that should
  6744.      be skipped.
  6745.  
  6746.      -    Add the signature to the data file UserSig.Dat. Give the virus a
  6747.           name in the first line of its entry. Specify the following key-
  6748.           words: COM, EXE, INF, ATE in the second line. Enter the signature
  6749.           in the third.
  6750.  
  6751.  
  6752.      You would get:
  6753.  
  6754.           New virus
  6755.           exe com ate inf
  6756.           1234abcd5678efab?3abcd123478ff
  6757.  
  6758.  
  6759.      -    Execute TbGenSig. Make sure the resulting TbScan.Sig file is in the
  6760.           TbScan directory.
  6761.  
  6762.  
  6763.  
  6764.                                       IV - 17
  6765. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  6766.  
  6767.  
  6768.      -    Execute TbScan again in the directory containing the infected
  6769.           files. TbScan should now detect the virus.
  6770.  
  6771.      -    Send a couple of infected files to a recommended virus expert,
  6772.           preferably to the ThunderBYTE organisation.
  6773.  
  6774.      Congratulations! You have defined a signature all by yourself! Now you
  6775.      can scan all your machines in search of the new virus.
  6776.      However, keep in mind that this method of extracting a signature is a
  6777.      'quick-and-dirty' solution to viral problems. The extracted signature
  6778.      might not detect the presence of the virus in all cases. A signature
  6779.      that is guaranteed to detect all instances of the virus can be made only
  6780.      after complete disassembly of the new virus. For these reasons you
  6781.      should NOT distribute your home-made 'signature' to others. The signatu-
  6782.      re eventually assembled by experienced anti-virus researchers will be
  6783.      completely different in most cases!
  6784.  
  6785.  
  6786. 5.3 Keywords
  6787.  
  6788.      Keywords are used for several purposes. They are classified in catego-
  6789.      ries. Keywords may be separated by spaces, commas or tabs. The maximum
  6790.      line length is 80 characters.
  6791.  
  6792.      At least one of the following flags should be specified:
  6793.      BOOT, COM, EXE, HIGH, LOW, SYS or WIN.
  6794.  
  6795.  
  6796.      Item keywords
  6797.  
  6798.  
  6799.      BOOT       Signature can be found in bootsector/partition
  6800.      COM        Signature can be found in COM programs.                  
  6801.  
  6802.      This flag initiates the scanner to search for this signature in executa-
  6803.      ble files that do not have an EXE header or device header.
  6804. =>   Note:   The file contents determines the file type, not the filename
  6805.      extension!
  6806.  
  6807.  
  6808.      EXE        Signature can be found in EXE programs.
  6809.  
  6810.      This flag initiates the scanner to search for this signature in the load
  6811.      module of EXE type files. EXE files are files that have an EXE header.
  6812. =>   Note: The file contents determines the file type, not the filename
  6813.      extension!
  6814.  
  6815.  
  6816.      HIGH      Signature can be found in HIGH memory (above program).This
  6817.                flag initiates the scanner to search for this signature in
  6818.                memory above the memory allocated by the scanner.
  6819.  
  6820.  
  6821.                                       IV - 18
  6822. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  6823.  
  6824.  
  6825.      This keyword is intended for resident viruses that allocate memory at
  6826.      system boot, or viruses that decrease the size of the last MCB (Memory
  6827.      Control Block).
  6828. =>   Note:  The flag HIGH does not mean that the signature should be searched
  6829.      in UPPER memory.
  6830.  
  6831.  
  6832.      LOW       Signature can be found in LOW memory. This flag initiates the
  6833.                scanner to search for this signature in memory below the PSP
  6834.                (Program Segment Prefix) of the scanner and in the UMB (Upper
  6835.                Memory Blocks). This keyword is intended for viruses that
  6836.                remain resident in memory, using the normal DOS TSR (Terminate
  6837.                and Stay Resident) function calls. 
  6838.  
  6839.  
  6840.      SYS       Signature can be found in SYS programs.
  6841.  
  6842.  
  6843.      WIN       Signature can be found in Windows programs.
  6844.  
  6845.  
  6846.      Message keywords
  6847.  
  6848.      DAM        Message prefix:  'damaged by'.
  6849.      DROP       Message prefix:  'dropper of'.
  6850.      FND        Message prefix:  'found the'.
  6851.      INF        Message prefix:  'infected by' 
  6852.                 Message suffix:  'virus'
  6853.      JOKE       Message prefix:  'joke named'.
  6854.      OVW        Message prefix:  'overwritten by'.
  6855.      PROB       Mess. pre-prefix:'probably'.
  6856.      TROJ       Message prefix:  'trojanized by'.
  6857.  
  6858.  
  6859.  
  6860.      Position keywords
  6861.  
  6862.  
  6863.      UATE      Signature should be found at unresolved entry-point.
  6864.  
  6865.      Purpose:
  6866.      The signature starts directly at the unresolved entry-point of the viral
  6867.      code. With some polymorphic viruses, it may be possible to create a
  6868.      signature from the degarbling routine, although it may either be too
  6869.      short or give false positives with a global search. An initial branch
  6870.      instruction  may be part of the signature.
  6871.  
  6872.                 COM type files:  top of file (IP 0100h).
  6873.                 EXE type files:  CS:IP as defined in the
  6874.                                  EXE-header.
  6875.                 WIN type files:  Non-DOS CS:IP of the new
  6876.                                  EXE-header.
  6877.  
  6878.                                       IV - 19
  6879. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  6880.  
  6881.  
  6882.      Remarks:
  6883.      The keyword UATE is not allowed for BOOT, SYS, LOW, HMA or HIGH type
  6884.      signatures.
  6885.  
  6886.  
  6887.      ATE        Signature should be found AT ENTRY point.
  6888.  
  6889.      Purpose:
  6890.      The signature starts directly at the entry-point of the viral code. With
  6891.      some polymorphic viruses, it may be possible to create a signature from
  6892.      the degarbling routine, although it may either be too short or give
  6893.      false positives with a global search.
  6894.  
  6895.      Therefore the keyword ATE is used to make sure that the scanners do not
  6896.      scan the entire file for the signature, but only look at the entry-point
  6897.      for the signature.
  6898.  
  6899.      The entry-point of a virus is defined by the first byte that is not
  6900.      equal to either a JUMP SHORT, JUMP LONG or a CALL NEAR.
  6901.  
  6902.                 Unresolved entry point:1JUMP LONG   3
  6903.                                      2 ...
  6904.                                      3 JUMP SHORT   5
  6905.                                      4 ...
  6906.                                      5 CALL FAR     7
  6907.                                      6 ...
  6908.                                      7 CALL NEAR    9
  6909.                                      8 ...
  6910.                 Resolved entry point:9  POP <reg>
  6911.  
  6912.           The entry-point of the above fragment is Line 9 as this is the
  6913.           first code to be executed which is not a JUMP SHORT, JUMP LONG or
  6914.           CALL  NEAR or CALL FAR.
  6915.  
  6916.      Remarks:
  6917.      1)   The entry-point can be determined by a code analyzer to cope with
  6918.           tricks like coding a NOP or DEC just before the branch instruction.
  6919.           Therefore the results of the scanner should be tested carefully. In
  6920.           case of trouble use the TbScan 'extract' option to find out what
  6921.           TbScan considers to be the entry point of the program. 
  6922.  
  6923.      2)   The flag ATE is not allowed for BOOT, SYS, LOW, HMA or HIGH type
  6924.           signatures.
  6925.  
  6926.  
  6927.      XHD       Signature can be found at offset 2 of the EXE header.
  6928.  
  6929.      Purpose:
  6930.      This position keyword is rarely used. It should only be used to detect
  6931.      the also very rare high-level language viruses; viruses written in a
  6932.      language like C or Basic. These viruses normally contain standard setup
  6933.      routines and library routines which are not suitable to define a signa-
  6934.  
  6935.                                       IV - 20
  6936. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  6937.  
  6938.  
  6939.      ture. The XHD keyword can be used as a last resort to detect such
  6940.      viruses.
  6941.  
  6942.      Remarks:
  6943.      This flag may only be used for EXE or WIN type signatures.
  6944.  
  6945.  
  6946. 5.4 Wildcards
  6947.  
  6948.      In a virus signature, wildcards characters may be used to recognize so
  6949.      called polymorphic (self- modifying/mutating) virus code. Below a
  6950.      description is presented of the wildcard notation. All numbers are in
  6951.      hexadecimal.
  6952.  
  6953.  
  6954.      Position Wildcards
  6955.  
  6956.      Position wildcards affect the position where the parts of the signature
  6957.      will be matched.
  6958.  
  6959.           Skip
  6960.           ?n         =  Skip n amount of bytes and continue.
  6961.           ?@nn       =  Skip nn amount of bytes and continue.
  6962.                          nn should not exceed 7F.
  6963.  
  6964.           Variable
  6965.           *n         =  Skip up to n bytes.
  6966.           *@nn       =  Skip up to nn bytes and continue.
  6967.                          nn should not exceed 1F.
  6968.  
  6969.  
  6970.      Opcode wildcards      
  6971.  
  6972.      The 'opcode' wildcards are shaped to detect instruction ranges:
  6973.  
  6974.           Low opcode
  6975.           nL         =  One of the values in the range n0-n7.
  6976.  
  6977.           High opcode
  6978.           nH         =  One of the values in the range n8-nF.
  6979.  
  6980.  
  6981.      Intended use of the opcode wildcards:
  6982.  
  6983.      Suppose a polymorphic virus puts a value in a word register (using a MOV
  6984.      WREG,VALUE instruction), and increments a register (using an INC WREG
  6985.      instruction, and pops a word register from the stack (using a POP
  6986.      instruction). Both the registers and the value are variable. 
  6987.  
  6988.      You could code it like this:
  6989.           bh4l5h
  6990.  
  6991.  
  6992.                                       IV - 21
  6993. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  6994.  
  6995.  
  6996.      B8-BF are the opcodes for 'MOV WREG,VALUE', 40-47 are the opcodes for
  6997.      'INC WREG', and 58-5F are the opcodes for 'POP REG'.
  6998.  
  6999.  
  7000.      Example
  7001.  
  7002.      To show the power of the use of the appropriate keywords and wildcards
  7003.      here is the signature of the Haifa.Mozkin virus. This virus is highly
  7004.      polymorphic and encrypted. It contains a small variable decryptor to
  7005.      decrypt the virus.
  7006.  
  7007.      There are two problems here: most bytes are encrypted or variable, thus
  7008.      not suitable to be part of a signature, and the remainder is short and
  7009.      would cause dozens of false alarms.
  7010.  
  7011.      However, using the appropriate keywords and wildcards, it is possible to
  7012.      define a reliable signature. The signature below is used by TbScan to
  7013.      detect the Haifa.Mozkin virus.
  7014.  
  7015.           Haifa.Mozkin
  7016.           com exe ate inf
  7017.           bh?2bh?109?2*22e80?24l4h75fl
  7018.  
  7019.  
  7020.      Let's analyze it.
  7021.  
  7022.      The first line describes the name of the virus. The second line tells
  7023.      the scanner to search for this signature in COM and EXE type files. It
  7024.      also tells the scanner that it should report the file as infected if the
  7025.      signature can be matched. The keyword ATE instructs the scanner to match
  7026.      this signature only at the resolved entry-point of the file. The virus
  7027.      starts of course with decrypting itself, so it is guaranteed that the
  7028.      scanner will scan this location. The ATE instruction limits the scope of
  7029.      this signature to just one position in a file, so this will reduce the
  7030.      chances of false alarms significantly.
  7031.  
  7032.  
  7033.      The third line is the signature definition. Let's reverse engineer it:
  7034.  
  7035.      bh?2      This means: a byte in the range B8-BF followed by two variable
  7036.                bytes. B8-BF is a 'MOV WREG,VALUE' instruction. From the
  7037.                register we only know it is a word register, the value is
  7038.                unknown as well.
  7039.  
  7040.      bh?109    This means: another 'MOV WREG,VALUE' instruction. The register
  7041.                is a word register, and from the value we know that it is in
  7042.                the range 0900 to 09FF.
  7043.  
  7044.      ?2*2      This means: skip two to four bytes. This instruction is inser-
  7045.                ted by the virus to make it harder to define a signature.
  7046.  
  7047.  
  7048.  
  7049.                                       IV - 22
  7050. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                SECTION IV
  7051.  
  7052.  
  7053.      2e80?2    This means: the virus performs an arithmethic byte sized
  7054.                operation with an immediate value (decrypts one byte) with a
  7055.                CS: segment override. The exact operation, the memory location
  7056.                and the value are unknown.
  7057.  
  7058.      4l        This means: a byte in the range 40-47. This is an 'INC WREG'
  7059.                instruction. The virus increments the counter to the next byte
  7060.                to be decrypted.
  7061.  
  7062.      4h        This means: a byte in the range 48-4F. This is a 'DEC WREG'
  7063.                instruction. The virus decrements the iteration count.
  7064.  
  7065.      75fl      Opcode 75 is a JNZ instruction. If the decremented register
  7066.                did not reach zero, the virus jumps back and repeats the
  7067.                operation. How much does it jump? That tells the 'fl' part:
  7068.                somewhere between -16 (F0h) to -8 (F7h) bytes.
  7069.  
  7070.  
  7071.      Although the signature language of TbGenSig is very powerful, there are
  7072.      viruses which are so highly polymorphic that they require even more
  7073.      sophisticated wildcards, keywords or even special detection algorithms.
  7074.      The explanation however of these wildcards, keywords or algorithmic
  7075.      detection definitions is so complicated that it is not suitable to be
  7076.      presented in a user manual.
  7077.  
  7078.  
  7079.  
  7080.  
  7081.  
  7082.  
  7083.  
  7084.  
  7085.  
  7086.  
  7087.  
  7088.  
  7089.  
  7090.  
  7091.  
  7092.  
  7093.  
  7094.  
  7095.  
  7096.  
  7097.  
  7098.  
  7099.  
  7100.  
  7101.  
  7102.  
  7103.  
  7104.  
  7105.  
  7106.                                       IV - 23
  7107. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                APPENDIX A
  7108.  
  7109.  
  7110. Appendix A. TBAV messages
  7111.  
  7112.  
  7113.      The TBAV utilities may display various messages when executed. Most
  7114.      messages will be clear enough, but here is some additional information
  7115.      followed by the name of the appropriate TBAV utility.
  7116.  
  7117.  
  7118.      
  7119. TbClean
  7120.  
  7121.  
  7122.      Anti-Vir.Dat record          The Anti-Vir.Dat record has been found, but
  7123.      found: information mat-      the information matches the current state
  7124.      ches the current state       of the file. The Anti-Vir.Dat record was
  7125.      of the file. Anti-           created after the file got infected, or the
  7126.      Vir.Dat file was created     file is not changed at all. TbClean is
  7127.      after the infection.         going to emulate the file to clean it heu-
  7128.      Trying emulation...          ristically.
  7129.  
  7130.      Anti-Vir.Dat record          The Anti-Vir.Dat record that belongs to the
  7131.      found: reconstructing        infected file has been found. The informa-
  7132.      original state...            tion will be used to reconstruct the file.
  7133.  
  7134.      Anti-Vir.Dat record not      The Anti-Vir.Dat file did not exist or did
  7135.      found: original state        not contain information of the infected
  7136.      unknown. Trying emulati-     program, so the original state of the in-
  7137.      on...                        fected program is unknown to TbClean. Tb-
  7138.                                   Clean will switch to its heuristic mode to
  7139.                                   determine the state of the original file.
  7140.  
  7141.                                   Note: to prevent a situation like this,
  7142.                                   make sure to use the TbSetup program to
  7143.                                   generate the Anti-Vir.Dat records.
  7144.  
  7145.                                   These records are of great help to TbClean.
  7146.                                   When the file is already infected it is too
  7147.                                   late to generate the Anti-Vir.Dat records.
  7148.  
  7149.      Emulation terminate:         The emulation process has been terminated
  7150.      <reason>                     for the reason specified. TbClan will now
  7151.      <reason> can be one of       consult the collected information to see if
  7152.      the following:               it can disinfect the file.
  7153.  
  7154.      Jump to BIOS code.           The virus tried to perform a call or jump
  7155.                                   directly into BIOS code. This process can
  7156.                                   not be emulated so it will be aborted. The
  7157.                                   program can probably not be disinfected.
  7158.  
  7159.      Approached stack crash.      The emulated program is approaching a
  7160.                                   crash. Something went wrong while emulating
  7161.                                   the program so it will be aborted. The
  7162.                                   program can probably not be disinfected.
  7163. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                APPENDIX A
  7164.  
  7165.  
  7166.      Attempt to violate li-       TbClean will not disassemble this program
  7167.      cense agreements.            for obvious reasons.
  7168.  
  7169.      Encountered keyboard         The emulated program tries to read the
  7170.      input request.               keyboard. This is very unusual for viruses,
  7171.                                   so the file is probably not infected at
  7172.                                   all.
  7173.  
  7174.      Encountered an invalid       The emulator encountered an unknown in-
  7175.      instruction.                 struction. For some reason the emulation
  7176.                                   failed. The program can probably not be
  7177.                                   disinfected.
  7178.  
  7179.      DOS program-terminate        The emulated program requests DOS to stop
  7180.      request.                     execution. The program is not infected at
  7181.                                   all, or infected by an overwriting virus
  7182.                                   that does not pass control to its host
  7183.                                   program. The program can not be disinfec-
  7184.                                   ted.
  7185.  
  7186.      Jumped to original pro-      The program jumped back to the start po-
  7187.      gram entry point.            sition. It is very likely it is infected.
  7188.                                   The program can probably be disinfected.
  7189.  
  7190.      Undocumented DOS call        This is very common for viruses that add
  7191.      with pointers to reloca-     themselves in front of the COM type pro-
  7192.      ted code.                    gram. The program can probably be disin-
  7193.                                   fected.
  7194.  
  7195.      Encountered an endless       TbClean encountered a situation in which
  7196.      loop.                        the program is executing the same in-
  7197.                                   struction sequences over and over again for
  7198.                                   hundreds of thousands of times. It is unli-
  7199.                                   kely that the program will ever escape from
  7200.                                   this loop, so the emulation will be abor-
  7201.                                   ted.
  7202.  
  7203.      Ctrl-break pressed.          The user pressed <Ctrl><Break> so the clean
  7204.                                   attempt is aborted.
  7205.  
  7206.      Emulation aborted for        If this message is shown, please send a
  7207.      unknown reason.              copy of the file being emulated to ESaSS BV
  7208.                                   or one of the support BBSs.
  7209.  
  7210.      Sorry, the collected         The heuristic cleaning mode of TbClean is
  7211.      information is not suf-      aborted and has not been successful. The
  7212.      ficient to clean file...     only option left is to restore the file
  7213.                                   from a backup or to re-install the program.
  7214.  
  7215.      Collected enough infor-      The emulation of the virus provided TbClean
  7216.      mation to attempt a re-      with all information to disinfect the file.
  7217.      liable clean opera-
  7218.      tion...
  7219. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                APPENDIX A
  7220.  
  7221.  
  7222.      Some DOS error occured.      Some DOS error occured while trying to
  7223.      TbClean aborted!             clean the file. Check that no files are
  7224.                                   read-only or located on a write protected
  7225.                                   disk, and make sure there is a reasonable
  7226.                                   amount of free disk space.
  7227.  
  7228.      The clean attempt seems      It seems that TbClean removed the virus
  7229.      to be successful. Test       from the file. No doubt about the virus: it
  7230.      the file carefully!          is gone. However, take care and test the
  7231.                                   file carefully to see if it works as expec-
  7232.                                   ted.
  7233.  
  7234.      Reconstruction failed.       TbClean tried to reconstruct the original
  7235.      Program might be over-       file with the help of the Anti-Vir.Dat
  7236.      written. Trying emulati-     record. However, the attempt failed. Tb-
  7237.      on...                        Clean is going to emulate the file to try
  7238.                                   to clean it heuristically.
  7239.  
  7240.      Reconstruction succes-       The file has been reconstructed to its
  7241.      sfully completed.            original state with help of the information
  7242.                                   of the Anti-Vir.Dat record. The CRC (check-
  7243.                                   sum) of the original file and the cleaned
  7244.                                   file are completely equal, so the cleaned
  7245.                                   file is almost certain equal to the origi-
  7246.                                   nal file.
  7247.  
  7248.      Staring clean attempt.       TbClean is analyzing the infected file and
  7249.      Analyzing infected fi-       tries to locate the Anti-Vir.Dat record.
  7250.      le...
  7251.  
  7252.  
  7253. TbDriver
  7254.  
  7255.      Another version of Tb-       You started a TbDriver.Exe with another
  7256.      Driver is already resi-      version number or processor type than the
  7257.      dent!                        TbDriver already in memory.
  7258.  
  7259.      Cannot remove TbDriver.      You tried to remove TbDriver from memory,
  7260.      Unload other TSRs first!     but other resident software as loaded after
  7261.                                   TbDriver. Resident software can only be
  7262.                                   removed from memory by unloading them in
  7263.                                   reversed order.
  7264.  
  7265.      LAN support was  already     You tried to use the option 'net' for a
  7266.      installed.                   second time, or TbDriver already enabled
  7267.                                   network support automatically.
  7268.  
  7269.      TbDriver not active.         The resident TBAV utilities need TbDriver,
  7270.      Load TbDriver first!         so you have to load TbDriver first.
  7271.  
  7272.      TbDriver is not <versi-      The version of TbDriver found in memory
  7273.      on>.                         does not match the version number of this
  7274.                                   resident TBAV utility. Make sure you do not
  7275.                                   mix version numbers!
  7276. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                APPENDIX A
  7277.  
  7278.  
  7279.      This version of TbDriver     You are using a processor optimized version
  7280.      requires a <typeID> pro-     of TbDriver which can not be executed by
  7281.      cessor.                      the current processor.
  7282.  
  7283.  
  7284. TbScan
  7285.  
  7286.      Cannot create logfile.       The specified log file path is illegal, the
  7287.                                   disk is full or write protected, or the
  7288.                                   file already exists and cannot be overwrit-
  7289.                                   ten.
  7290.  
  7291.      [Cannot read datafile]       TbScan needs access to its data file to be
  7292.                                   able to tell you the name of the virus. If
  7293.                                   it cannot access the data file it displays
  7294.                                   this message instead of the virus.
  7295.  
  7296.      Command line error.          An invalid or illegal commandline option
  7297.                                   has been specified.
  7298.  
  7299.      No matching executable       The specified path does not exist, is emp-
  7300.      files found.                 ty, or is not an executable file.
  7301.  
  7302.      Sanity check failed!         TbScan detected that its internal checksum
  7303.                                   does not match anymore. TbScan is possibly
  7304.                                   contaminated by a virus. Obtain a clean
  7305.                                   copy of TbScan, copy the program on a write
  7306.                                   protected diskette, boot from that diskette
  7307.                                   and try again!
  7308.  
  7309.  
  7310. TbScanX
  7311.  
  7312.      Data file not found.         TbScanX has not been able to locate the
  7313.                                   data file.
  7314.  
  7315.      Not enough memory.           There is not enough free memory to process
  7316.                                   the data file. Try to enable swapping, or
  7317.                                   if you are already doing so, try another
  7318.                                   swapping mode. See also section IV, chapter
  7319.                                   "Memory requirements".
  7320. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                APPENDIX B
  7321.  
  7322.  
  7323. Appendix B. TbScan - Heuristic flag descriptions
  7324.  
  7325.  
  7326.      # - Decryptor code found
  7327.      The file possibly contains a self-decryption routine. Some copy-protec-
  7328.      ted software is encrypted so this warning may appear for some of your
  7329.      files. If, however, this warning appears in combination with, for
  7330.      example, the 'T' warning, there could be a virus involved and TbScan
  7331.      assumes the file is contaminated! Many viruses encrypt themselves and
  7332.      cause this warning to be displayed.
  7333.  
  7334.      ! - Invalid program.
  7335.      Invalid opcode (non-8088 instructions) or out-of-range branch. The
  7336.      program has either an entry point that has been located outside the body
  7337.      of the file, or reveals a chain of 'jumps' that can be traced to a
  7338.      location outside the program file. Another possibility is that the
  7339.      program contains invalid processor instructions. The program being
  7340.      checked is probably damaged, and cannot be executed in most cases.
  7341.      Anyway, TbScan does not take any risk and uses the 'scan' method to scan
  7342.      the file.
  7343.  
  7344.      ? - Inconsistent header.
  7345.      The program being processed has an exe-header that does not reflect the
  7346.      actual program lay-out. The DOS SORT.EXE program will cause this warning
  7347.      to be displayed, because the actual size of the program file is less
  7348.      than reported in the 'size-of-load module' field in the exe-header! Many
  7349.      viruses do not update the exe-header of an EXE file correctly after they
  7350.      have infected the file, so if this warning pops up frequently, it seems
  7351.      you have a problem. You should ignore this warning for the DOS SORT.EXE
  7352.      program. (Hopefully MicroSoft will correct the problem before the next
  7353.      release of DOS).
  7354.  
  7355.      c - No integrity check
  7356.      This warning indicates that no checksum/recovery information has been
  7357.      found about the indicated file. It is highly recommended to use TbSetup
  7358.      in this case to store information of the mentioned file. This info can
  7359.      be used later on for integrity checking and to recover from virus
  7360.      infections.
  7361.  
  7362.      h - Hidden or System file.
  7363.      The file has the 'Hidden' or the 'System' file attribute set. This means
  7364.      that the file is not visible in a DOS directory display but TbScan will
  7365.      scan it anyway. If you don't know the origin and/or purpose of this
  7366.      file, you might be dealing with a 'Trojan Horse' or a 'joke' virus
  7367.      program. Copy such a file onto a diskette; then remove it from it's
  7368.      program environment and check if the program concerned is missing the
  7369.      file. If a program does not miss it, you will have freed some disk
  7370.      space, and maybe you have saved your system from a future disaster in
  7371.      the process.
  7372.  
  7373.      i - Internal overlay.
  7374.      The program being processed has additional data or code behind the load-
  7375.      module as specified in the exe-header of the file. The program might
  7376. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                APPENDIX B
  7377.  
  7378.  
  7379.      have internal overlay(s), or configuration or debug information appended
  7380.      behind the load-module of the EXE file.
  7381.  
  7382.      p - Packed or compressed file.
  7383.      The program has been packed or compressed. There are some utilities that
  7384.      are able to compress a program file, like EXEPACK or PKLITE. If the file
  7385.      was infected after the file had been compressed, TbScan will be able to
  7386.      detect the virus. However, if the file had already been infected before
  7387.      it was compressed, the virus has also been compressed in the process,
  7388.      and a virus scanner might not be able to recognize the virus anymore.
  7389.      Fortunately, this does not happen very often, but you should beware! A
  7390.      new program might look clean, but can turn out to be the carrier of a
  7391.      compressed virus. Other files in your system will then be infected too,
  7392.      and it is these infections that will be clearly visible to virus scan-
  7393.      ners.
  7394.  
  7395.      w - Windows or OS/2 header.
  7396.      The program can be or is intended to be used in a Windows (or OS/2)
  7397.      environment. As yet TbScan does not offer a specialized scanning method
  7398.      for these files. Of course that will change as soon as Windows- or OS/2-
  7399.      specific viruses start occurring.
  7400.  
  7401.      A - Suspicious Memory Allocation
  7402.      The program uses a non-standard way to search for, and/or to allocate
  7403.      memory. A lot of viruses try to hide themselves in memory so they use a
  7404.      non-standard way to allocate this memory. Some programs (high-loaders or
  7405.      diagnostic software) also use non-standard ways to search or allocate
  7406.      memory.
  7407.  
  7408.      B - Back to entry.
  7409.      The program seems to execute some code, and after that it jumps back to
  7410.      the entry-point of the program. Normally this would result in an endless
  7411.      loop, except when the program has also modified some of its instructi-
  7412.      ons. This is quite common behaviour for computer viruses. In combination
  7413.      with any other flag TbScan will report a virus.
  7414.  
  7415.      C - File has been changed
  7416.      This warning can only appear if you used TbSetup to generate the Anti-
  7417.      Vir.Dat files. If this warning appears this means that the file has been
  7418.      changed. If you did not upgrade the software it is very likely that a
  7419.      virus infected the file! Note that TbScan does not display this warning
  7420.      if only some internal configuration area of the file changes. This
  7421.      warning means that code at the program entry point, the entry-point
  7422.      itself and/or the file size have been changed.
  7423.  
  7424.      D - Direct disk access
  7425.      This flag is displayed if the program being processed has instructions
  7426.      near the entry-point to write to a disk directly. It is quite normal
  7427.      that some disk-related utilities cause this flag to be displayed. As
  7428.      usual, if many of your files (which have no business writing directly to
  7429.      the disk) cause this flag to be displayed, your system might be infected
  7430.      by an unknown virus.
  7431. =>   Note that a program that accesses the disk directly does not always have
  7432.      to be marked by the 'D' flag. Only when the direct disk instructions are
  7433. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                APPENDIX B
  7434.  
  7435.  
  7436.      near the program entry point it will be reported by TbScan. If a virus
  7437.      is involved the harmful instructions are always near the entry point,
  7438.      which is the place where TbScan looks for them.
  7439.  
  7440.      E - Flexible Entry-point
  7441.      The program starts with a routine that determines its own location
  7442.      within the program file. This is rather suspicious because sound pro-
  7443.      grams have a fixed entry-point so they do not have to determine this
  7444.      location. For viruses however this is quite common: about 50% of the
  7445.      known viruses cause this flag to be displayed.
  7446.  
  7447.      F - Suspicious file access
  7448.      TbScan has found instruction sequences common to infection schemes used
  7449.      by viruses. This flag will appear with those programs that are able to
  7450.      create or modify existing files.
  7451.  
  7452.      G - Garbage instructions.
  7453.      The program contains code that seems to have no purpose other than
  7454.      encryption or avoiding recognition by virus scanners. In most cases
  7455.      there will not be any other flags since the file is encrypted and the
  7456.      instructions are hidden. In a few cases this flag will appear for
  7457.      'normal' files. These files however are badly designed, which is the
  7458.      reason the 'garbage' flag appears.
  7459.  
  7460.      J - Suspicious jump construct.
  7461.      The program did not start at the program entry point. The code has
  7462.      jumped at least two times before reaching the final start-up code, or
  7463.      the program jumped using an indirect operand. Sound programs should not
  7464.      display this kind of strange behaviour. If many files cause this warning
  7465.      to be displayed, you should investigate your system thoroughly.
  7466.  
  7467.      K - Unusual stack.
  7468.      The EXE file being processed has an odd (instead of even) stack offset
  7469.      or a suspicious stack segment. Many viruses are quite 'buggy' by setting
  7470.      up an illegal stack value.
  7471.  
  7472.      L - program Load trap
  7473.      The program might trap the execution of other software. If the file also
  7474.      causes flag M (memory resident code) to be displayed, it is very likely
  7475.      that the file is a resident program that determines when another program
  7476.      is executed. A lot of viruses trap the program load and use it to infect
  7477.      the program. Some anti-virus utilities also trap the program load.
  7478.  
  7479.      M - Memory resident code.
  7480.      TbScan has found instruction sequences which could cause the program to
  7481.      hook into important interrupts. A lot of TSR (Terminate and Stay Resi-
  7482.      dent) programs will trigger this flag, because hooking into interrupts
  7483.      is part of their usual behaviour. If, however, a lot of non-TSR programs
  7484.      cause this warning flag to appear, you should be suspicious. It is
  7485.      likely that your files have been infected by a virus that remains
  7486.      resident in memory. Note that this warning does not appear with all true
  7487.      TSR programs. Nor can TSR detection in non-TSR programs always be relied
  7488.      upon.
  7489. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                APPENDIX B
  7490.  
  7491.  
  7492.      N - Wrong name extension
  7493.      Name conflict. The program carries the extension .EXE but appears to be
  7494.      an ordinary .COM file, or it has the extension .COM but the internal
  7495.      layout of an .EXE file. A wrong name extension might in some cases
  7496.      indicate a virus, but in most cases it does not.
  7497.  
  7498.      O - code Overwrite.
  7499.      This flag will be displayed if TbScan detects that the program overwri-
  7500.      tes some of its own instructions. However, it does not seem to have a
  7501.      complete (de)cryptor routine.
  7502.  
  7503.      R - Suspicious relocator
  7504.      Flag 'R' refers to a suspicious relocator. A relocator is a sequence of
  7505.      instructions that changes the proportion of CS:IP. It is often used by
  7506.      viruses. Those viruses have to relocate the CS:IP proportion because
  7507.      they have been compiled for a specific location in the executable file;
  7508.      a virus that infects another program can hardly ever use its original
  7509.      location in the file as it is appended to this file. Sound pro-
  7510.      grams'know' their location in the executable file, so they don't have to
  7511.      relocate themselves. On systems that operate normally only a small
  7512.      percentage of the programs should therefore cause this flag to be
  7513.      displayed.
  7514.  
  7515.      S - Search for executables
  7516.      The program searches for *.COM or *.EXE files. This by itself does not
  7517.      indicate a virus, but it is an ingredient of most viruses anyway (they
  7518.      have to search for suitable files to spread themselves).  If accompanied
  7519.      by other flags, TbScan will assume the file is infected by a virus.
  7520.  
  7521.      T - Invalid timestamp.
  7522.      The timestamp of the program is invalid: e.g. the number of seconds in
  7523.      the timestamp is illegal, or the date is illegal or later than the year
  7524.      2000. This is suspicious because many viruses set the timestamp to an
  7525.      illegal value (like 62 seconds) to mark that they already infected the
  7526.      file, preventing themselves from infecting a file for a second time
  7527.      around. It is possible that the program being checked is contaminated
  7528.      with a virus that is still unknown, especially if many files on your
  7529.      system have an invalid timestamp. If only a very few programs have an
  7530.      invalid timestamp you'd better correct it and scan frequently to check
  7531.      that the timestamp of the files remains valid.
  7532.  
  7533.      U - Undocumented system call.
  7534.      The program uses unknown DOS calls or interrupts. These unknown calls
  7535.      can be issued to invoke undocumented DOS features, or to communicate
  7536.      with an unknown driver in memory. Since a lot of viruses use undocumen-
  7537.      ted DOS features, or communicate with memory resident parts of a previ-
  7538.      ously loaded instance of the virus, it is suspicious if a program
  7539.      performs unknown or undocumented communications. Nevertheless, it does
  7540.      not necessarily indicate a virus, since some 'tricky' programs use
  7541.      undocumented features also. 
  7542. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                APPENDIX B
  7543.  
  7544.  
  7545.      V - Validated program
  7546.      The program has been validated to avoid false alarms.
  7547.      -    The design of this program would normally cause a false alarm by
  7548.           the heuristic scan mode of TbScan, or:
  7549.      -    This program might change frequently, and the file is excluded from
  7550.           integrity checking.
  7551.      These exclusions are stored in the Anti-Vir.Dat file by either TbSetup
  7552.      (automatically) or by TbScan (manually).
  7553.  
  7554.      Y - Invalid bootsector.
  7555.      The bootsector is not completely in accordance with the IBM defined
  7556.      bootsector format. It is possible that the bootsector contains a virus
  7557.      or has been corrupted.
  7558.  
  7559.      Z - EXE/COM determinator.
  7560.      The program seems to check whether a file is a COM or EXE type program.
  7561.      Infecting a COM file is a process that is not similar to infecting an
  7562.      EXE file, which implies that viruses able to infect both program types
  7563.      should also be able to distinguish between them. There are of course
  7564.      also innocent programs that need to find out whether a file is a COM or
  7565.      EXE file. Executable file compressors, EXE2COM converters, debuggers,
  7566.      and high-loaders are examples of programs that may contain a routine to
  7567.      distinguish between EXE and COM files.
  7568. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                APPENDIX C
  7569.  
  7570.  
  7571. Appendix C. Solving incompatibility problems
  7572.  
  7573.  
  7574.      Although TBAV utilities have been designed to cooperate with other
  7575.      resident software, other software may not, causing system errors or
  7576.      worse.
  7577.  
  7578.  
  7579.  
  7580.      Problem:  If any TBAV utility tries to display a message, the text
  7581.                'message file <filename> could not be opened' appears.
  7582.  
  7583.      Solution: Specify the FULL path and filename of the file you will use as
  7584.                message file after the TbDriver loading command. The default
  7585.                file name is "TbDriver.Lng".
  7586.  
  7587.  
  7588.  
  7589. ~    Problem:  One of your utilities is loading a TSR into memory without an
  7590.                'executable' filename extension, such as .EXE or .COM. Since
  7591.                TbSetup will only create Anti-Vir.Dat records for files with
  7592.                an 'executable' extension, there is no Anti-Vir.Dat, so TbMem
  7593.                is not able to record the TSR permission information.
  7594.  
  7595.      Solution: Run TbSetup and specify the exact filename of the TSR. TbSetup
  7596.                will create an Anti-Vir.Dat record, regardless of the filename
  7597.                extension, so TbMem is now able to record its information.
  7598.  
  7599.                Although the Anti-Vir.Dat record exists, TbScan will not use
  7600.                it to check the CRC to avoid false alarms.
  7601.  
  7602.  
  7603.      Problem:  You are running a network. 
  7604.  
  7605.                TbScanX is installed succesfully, but it does not display the
  7606.                "*scanning*" message while accessing files. It does not detect
  7607.                viruses either.
  7608.  
  7609.                TbCheck is installed succesfully, but it does not display the
  7610.                "*checking*" message while accessing files. It does not detect
  7611.                viruses either. 
  7612.  
  7613.                TbFile is installed succesfully, but it does not detect anyt-
  7614.                hing anymore.
  7615.  
  7616.                TbMem is installed succesfully, but it does not detect TSRs
  7617.                anymore.
  7618.  
  7619.      Solution: Use the command 'TbDriver net' after the network has been
  7620.                loaded.
  7621. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                APPENDIX C
  7622.  
  7623.  
  7624.      Problem:  The system sometimes hangs when the message "*scanning*" is on
  7625.                the screen.
  7626.  
  7627. ~    Solution: Try TbScanX without option 'EMS' or 'XMS'. If TbScanX now
  7628.                works without any problems, add option 'EMS' or 'XMS' again
  7629.                along with option 'compat'. On some systems the TbScanX 'XMS'
  7630.                option cannot be used at all, because these systems do not
  7631.                allow the use of extended memory by resident software.
  7632.  
  7633.                If the problem is related to option 'XMS' and can not be
  7634.                solved with option 'compat', you can use option 'XMSseg =
  7635.                <value>' to change the XMS swap segment address. The value
  7636.                should be between 2000 and 8000. The default value is 4000.
  7637.  
  7638.  
  7639.  
  7640.      Problem:  After you have given permission for a program to remain resi-
  7641.                dent in memory, TbMem asks the same question the next time.
  7642.  
  7643.      Solution: 1)   The 'secure' option of TbDriver is specified. Remove this
  7644.                     option, reboot and try again.
  7645.  
  7646.                2)   The program mentioned does not appear in the Anti-Vir.Dat
  7647.                     file and therefore TbMem cannot permanently store the
  7648.                     permission flag. Use TbSetup to generate the Anti-Vir.Dat
  7649.                     record of this program!
  7650.  
  7651.  
  7652.  
  7653.      Problem:  The system sometimes hangs when you answer 'YES' (abort pro-
  7654.                gram) to a TbMem message.
  7655.  
  7656.      Solution: None. Some resident programs deeply interfere with the system,
  7657.                and once they are rejected from memory the state of the system
  7658.                is not stable anymore.
  7659.  
  7660.  
  7661.  
  7662.      Problem:  When you load TbDisk from the DOS command prompt everything
  7663.                works OK. However, when you install TbDisk from within the
  7664.                Config.Sys or AutoExec.Bat file it keeps on warning that
  7665.                programs write to disk directly.
  7666.  
  7667.      Solution: Load TbDisk at the end of your AutoExec.Bat file.
  7668.  
  7669.  
  7670.  
  7671.      Problem:  You formatted the hard disk using DOS FORMAT.COM, but TbDisk
  7672.                did not come up with a message until the process was almost
  7673.                finished.
  7674.  
  7675.      Solution: This is not a problem. A high level format program like DOS
  7676.                FORMAT.COM does actually not format the disk, but it reads all
  7677.                tracks to locate possible bad spots, and finally it clears the
  7678. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                APPENDIX C
  7679.  
  7680.  
  7681.                FAT and directory structure. Only this last step implies a
  7682.                disk write, so only this last step is detected by TbDisk.
  7683.  
  7684.  
  7685.  
  7686.      Problem:  After you have given permission for a program to perform
  7687.                direct disk access, TbDisk asks the same question next time.
  7688.  
  7689.      Solution: 1)   The 'secure' option of TbDriver is specified.  Remove
  7690.                     this option, reboot and try again. 
  7691.  
  7692.                2)   The program mentioned does not appear in the Anti-Vir.Dat
  7693.                     file and therefore TbDisk can not permanently store the
  7694.                     permission flag. Use TbSetup to generate the Anti-Vir.Dat
  7695.                     record ofthis program!
  7696.  
  7697.  
  7698.  
  7699.      Problem:  If you try to use Windows fast 32 bit disk access, Windows
  7700.                comes up with an error message.
  7701.  
  7702.      Solution: Use option 'win32' on the TbDisk command line.
  7703. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                APPENDIX D
  7704.  
  7705.  
  7706. Appendix D. Batch file handling
  7707.  
  7708.  
  7709.      All TBAV utilities return to DOS with an error code which you can use by
  7710.      the DOS 'errorlevel' command. Consult your DOS manual for information
  7711.      how to use this command.
  7712.  
  7713.      TbScan terminates with one of the following exit codes:
  7714.  
  7715.      Errorlevel      0        No viruses found / No error occurred
  7716.                      1        No files found
  7717.                      2        Error occurred
  7718.                      3        Files have been changed
  7719.                      4        Virus found by heuristic analysis
  7720.                      5        Virus found by signature scanning
  7721.                    255        Sanity check failed
  7722.  
  7723.  
  7724.      TbUtil terminates with one of the following exit codes:
  7725.  
  7726.      Errorlevel      0        No error occurred
  7727.                      1        When option 'compare' fails or an error occurs
  7728.  
  7729.  
  7730.      All other ultilities exit with one of the following exit codes:
  7731.  
  7732.      Errorlevel      0        No error occurred
  7733.                      1        Error occurred
  7734.  
  7735.  
  7736.      To detect within a batch file whether a resident TBAV utility has been
  7737.      loaded you can check for the device names. All TBAV utilities install a
  7738.      device name, whether they are loaded in the Config.Sys or AutoExec.Bat.
  7739.  
  7740.      You can use the DOS 'if exist' construction to check for the device
  7741.      names:
  7742.  
  7743.           @echo off
  7744.           if not exist SCANX echo TbScanX has not been loaded!
  7745.  
  7746.      Or you can branch to a label by using the goto command:
  7747.  
  7748.           If not exist SCANX goto noscanx
  7749.           bla bla
  7750.           :noscanx
  7751.           bla bla
  7752.  
  7753.      The TBAV device names are:
  7754.           TbScanX:            SCANX
  7755.           TbCheck:            TBCHKXXX
  7756.           TbMem:              TBMEMXXX
  7757.           TbFile:             TBFILXXX
  7758.           TbDisk:             TBDSKXXX
  7759.           TbLog:              TBLOGXXX
  7760. TBAV user manual (C) Copyright 1993 Thunderbyte B.V.                APPENDIX E
  7761.  
  7762.  
  7763. Appendix E. Virus naming
  7764.  
  7765.  
  7766.      How many viruses does TbScan detect?
  7767.  
  7768.      Most of the TbScan signatures are family signatures: one signature
  7769.      detects a whole set of viruses. All these viruses are related to each
  7770.      other. The Jerusalem signature for instance covers more than 100 viru-
  7771.      ses. For this reason one cannot tell how many viruses TbScan detects.
  7772.      Some competitive products treat each virus mutant as a separate virus,
  7773.      thus claiming to detect over 2000 viruses. TbScan, however can detect
  7774.      viruses using 'only' 1000 signatures. If you want to compare virus
  7775.      scanners, you have to rely on the tests frequently published in magazi-
  7776.      nes.
  7777.  
  7778.  
  7779.      The virus naming convention
  7780.  
  7781.      TbScan follows the CARO virus naming recommendations. CARO is an organi-
  7782.      sation in which leading anti-virus researchers participate. Viruses are
  7783.      grouped in a hierarchical tree, which indicates to which family viruses
  7784.      belong. TbScan shows the complete CARO name where possible. Many other
  7785.      anti-virus products however just show the family name or the member
  7786.      name. For instance, the 'Leprosy.Seneca.493' virus might be indicated by
  7787.      the familiy name 'Leprosy' or member name 'Seneca', or even by the
  7788.      variant name '493'. 
  7789.  
  7790.      Anti-virus products developed by non CARO members might even use a
  7791.      completely different name. TbScan however tries to display as much of
  7792.      the name as possible. If TbScan is not able to distinguish between the
  7793.      'Leprosy.Seneca.493' and 'Leprosy.Seneca.517' viruses, both viruses are
  7794.      indicated by the name 'Leprosy.Seneca'.
  7795.  
  7796.      Some viruses mutate themselves frequently. To detect all instances of
  7797.      such a virus it is sometimes necessary to use multiple signatures.
  7798.      Although these signatures cover exactly the same virus, they do have a
  7799.      slightly different indication. Behind the name of the virus you will see
  7800.      a number between anglebrackets. This number however has nothing to do
  7801.      with the name of the virus, but is there just for maintenance reasons.