home *** CD-ROM | disk | FTP | other *** search
/ Chip: Shareware for Win 95 / Chip-Shareware-Win95.bin / antiviry / avg41 / install.dat / TRBLSHOT.TXT < prev    next >
Text File  |  1997-04-22  |  17KB  |  441 lines
  1. Antivirus System AVG
  2. version 4.1
  3.  
  4. File TRBLSHOT.TXT
  5.  
  6. This file describes problems connected with installation  and
  7. usage of antivirus  system  AVG  together  with  non-standard
  8. software or  hardware  and  some  usual  problems  and  their
  9. solution.
  10.  
  11. We recomend taht  you  direct  your  attention  to  "Frequent
  12. questions" in your manual.
  13.  
  14. This file is continuesly  updated,  based  upon  co-operation
  15. with users of system AVG.  In case  that you  find a  problem
  16. which is not  described  in  this  file,  please  inform  the
  17. manufacturer of the system witout  delay, so the problem  can
  18. be solved and included in this file.
  19.  
  20. List:
  21.  
  22. Running program AVG from diskette
  23. Anti-Stealth technology is not available
  24. Driver AVGSYS.EXE cannot be initiliased
  25. Driver AVGSYS.EXE cannot use memory XMS
  26. Driver AVGSYS.EXE does not control boot sector in Floppy disk
  27. drive A:
  28. Driver AVGSYS.EXE does not operate with files on network
  29. Hard disk cannot be recognised after booting from floppy disk
  30. Heuristic cure cannot be used with some viruses
  31. Resident driver does not control all desired functions
  32. Virus goes through resident driver
  33. Heuristic analysys detects unknown virus in clean file
  34. AVG detects not enough memory
  35. Disk manager (Western Digital)
  36. Driver's message in graphical enviroment
  37. Memory cannot be tested in program AVGW
  38.  
  39.  
  40. Problem - Running program AVG from diskette
  41.  
  42. The installation diskette does not contain system AVG in
  43. running mode. To save space on the diskette, all files are
  44. compressed. If you want to create functional diskette with
  45. operational program AVG (highly recommended and this
  46. diskette should be bootable) you have two choices:
  47.  
  48. In instalation program choose YES to "Istall AVG of Floppy
  49. disk"
  50.  
  51. From already installed AVG 4.1 on hard disk copy most
  52. important files (AVG.EXE, AVG.AVI, AVG.AVF, AVG.AVH)
  53.  
  54. Problem - Anti-Stealth technology is not available
  55.  
  56. Anti-Stealth technology is special function, through which
  57. system AVG can detect active virus, which is using Stealth
  58. technology (invisible virus). Basic of anti-Stealth
  59. technology is direct access to disk operations - that
  60. means ignoring operating system. This fact - ignoring
  61. operating system and possibly any other software means
  62. that anti-Stealth technology cannot be used under all
  63. circumstances. Bellow you will find most frequent examples
  64. where it is not technicaly possible to use anti-Stealth
  65. technology so it would not colide with another software:
  66.  
  67. Software drivers disk borders
  68.  
  69. SCSI disks
  70.  
  71. If drivers for using SCSI hard disk (typicaly in
  72. CONFIG.SYS). Most SCSI devices are capable of working
  73. without this software support, anti-Stealth technology can
  74. be then used.
  75.  
  76. Enhanced IDE
  77.  
  78. If EIDE software support - for example WBIDE.EXE. Concerns
  79. mainly older types of motherboards which support only IDE
  80. 0 and IDE 1 border, and where it was neccessary to install
  81. more then two IDE devices - for example 2x IDE HDD and 1x
  82. IDE CD-ROM. More recent motherboards support four IDE
  83. devices and therefore do not need software support and
  84. anti-Stealth technology can be used.
  85.  
  86. Hard disks Western Digital with capacity over 500MB
  87.  
  88. With older ROM BIOS was neccessary to support with software
  89. hard disks with high capacity. Frequent example is
  90. software OnTrack Disk Manager.  Modern computers are using
  91. technology called LBA, which is designed to operate large
  92. hard disks and anti-Stealth technology can be used.
  93.  
  94. Mapping memory ROM to RAM
  95.  
  96. There are few known examples, where anti-Stealth technology
  97. could not be used because memory ROM BIOS is mapped to
  98. different address.
  99.  
  100. EMM386 and QEMM386, if these work in so called Stealth code
  101.  
  102. Operating systems, if these work in protected mode
  103.  
  104. Operating systems working in protected mode, for example
  105. Windows 95, OS/2 etc. Often it is possible to activate
  106. anti-Stealth technology even in these enviroments -
  107. dependig strictly on setup of operating system.
  108.  
  109. In many cases, for example in Windows 3.11 can anti-Stealth
  110. technology use.
  111.  
  112. Problem - Driver AVGSYS.EXE cannot be initiliased
  113.  
  114. In version 4.1 system AVG the task of driver AVGSYS.EXE is
  115. not to employ anti-Stealth technology. That is why
  116. function for initiliation of the driver is missing.
  117. Resident driver AVGSYS now employs only controlling
  118. functions.
  119.  
  120. Problem - Driver AVGSYS.EXE cannot use memory XMS
  121.  
  122. Driver AVGSYS.EXE is using XMS memory for creating its own
  123. working areas - apporimetly 30 Kbyte. It is neccessary for
  124. XMS memory to exist. In MS-DOS enviroment is realised by
  125. HIMEM.SYS. If XMS memory is not available then driver
  126. AVGSYS.EXE will use hard disk instead.
  127.  
  128. Solution - Install memory driver XMS (HIMEM.SYS)
  129.  
  130. Check that AVGSYS.EXE starts after XMS driver is loaded
  131.  
  132. Problem - Driver AVGSYS.EXE does not control boot sector in
  133. Floppy disk drive A:
  134.  
  135. For driver AVGSYS.EXE to control boot sector of floppy disk
  136. drive is subject to the following conditions:
  137.  
  138. XMS memory must be available
  139.  
  140. Driver cannot exercize this control if XMS memory is not
  141. available - that means disk swaping. In that case there is
  142. a danger of crash.
  143.  
  144. Solution - install memory XMS driver
  145.  
  146. Function /BOOT+ must be switched on
  147.  
  148. Parameter /BOOT+ instructs driver to control Boot sector on
  149. diskette in floppy drive A:
  150.  
  151. Solution - use parameter /BOOT+
  152.  
  153. Problem - Driver AVGSYS.EXE does not operate with files on
  154. network
  155.  
  156. In most cases is driver AVGSYS.EXE started before network
  157. is initialised. In practice it means that important system
  158. services (INT21) get fully under control of network and
  159. driver AVGSYS.EXE will not know that action which it
  160. should control is currently happening.
  161.  
  162. Solution - After initialisation of network call AVGSYS.EXE
  163. driver again with parameter /NETW+. That allows AVGSYS.EXE
  164. to take control of the system services (INT21) again.
  165.  
  166. Problem - Hard disk cannot be recognised after booting from
  167. floppy disk 
  168.  
  169. This problem can be caused by following:
  170.  
  171. Non-standard software is used to organise hard disk
  172.  
  173. Some programs, for example DoubleSpace, Stacker or Disk
  174. Manager creates totaly different way of storing data or
  175. system areas then is usual with operating system MS-DOS
  176. without using these utilities.
  177.  
  178. If you then boot from floppy disk with containing standard
  179. operating system files, system either cannot see hard disk
  180. at all or cannot read information written to it.
  181.  
  182. Solution of this problem lies in creating boot diskette
  183. which contains system files (IO.SYS, MSDOS.SYS and
  184. COMMAND.COM) and also programs neccessary for accessing
  185. hard disk. For example operating system MS-DOS 6.+
  186. automaticaly writes on system diskettes program for
  187. reading of disks controlled by DoubleSpace.
  188.  
  189. Study carefuly documentation which you use to organise data
  190. on your hard disk and find way how to get access to your
  191. hard disk after booting from floppy disk.
  192.  
  193. System files are damaged
  194.  
  195. System files became damaged - crash or virus. Start program
  196. AVG from diskette and check physical equipment.
  197.  
  198. If you have backup of your system files, try to use it to
  199. restore your system files to original condition.
  200.  
  201. If you have any doubts about source of this problem, we
  202. recomend that you contact manufacturer os system AVG.
  203.  
  204. Problem - Heuristic cure cannot be used with some viruses
  205.  
  206. Despite the fact that heuristic cure is truly revolutionary
  207. technology and thanks to existence of this function number
  208. of cured viruses has encreased, there is still number of
  209. viruses which cannot be cured by this method.
  210.  
  211. To better understand this problem we explain principal of
  212. heuristic cure. Most todays viruses will let its host to
  213. start. Heuristic cure takes advantage of this fact - if
  214. analysys finds mark {B}, which in practice means, that in
  215. virus was found "Return to entry point", it can use this
  216. fact for restoring attacked file to original condition.
  217.  
  218. Unfortunnetly mark {B} cannot be reached in all current
  219. viruses - depending on type of virus rather then its
  220. complexity. It can be generaly said, that if one of the
  221. found marks is mark {B} then heuristic cure is possible. 
  222. Otherwise not.
  223.  
  224. Problem - Resident driver does not control all desired
  225. functions
  226.  
  227. Resident driver allows control of number of system
  228. functions - for example opening files EXE or COM for
  229. writing. This control can be very useful because it can
  230. detect spreading of the virus.
  231.  
  232. But number of users are complaing that driver did not
  233. detect their trial operations. In that case it is
  234. important to realise writing to file can be executed
  235. through several technics - real opening file is only one
  236. of them. Number of utility programs (for example Norton
  237. Commander) is using different way - that means that
  238. writing to EXE file is not detected by driver.
  239.  
  240. Significant information is, that computer viruses use
  241. almost only standard functions - because they are
  242. simpliest and easiest to reach. And these functions are
  243. checked by driver.
  244.  
  245. Problem - Virus goes through resident driver
  246.  
  247. Virus can get through resident driver in case, when it is
  248. non standard virus or it is using non standard technique
  249. of spreading. For example we will show how can go around
  250. some parameters.:
  251.  
  252. /FWRI - virus went around this control by non standard
  253. technique of writing to file.
  254.  
  255. /DWRI - virus went around this control by for example
  256. writing directly to ports
  257.  
  258. /SCAN - it is heavily plymorfic virus. As driver AVGSYS is
  259. written in assembler and its size is restricted, it is not
  260. capable to execute heuristic analysys - it executes only
  261. antivirus test. It is not therefore capable of detecting
  262. polymorfic viruses.
  263.  
  264. Problem of its own is enviroment of Windows 95 , where
  265. number of system functions is not anymore used and they
  266. are substituted by WINDOWS 95's own functions - driver is
  267. not therefore capable of detecting such operation - more
  268. about this in file ADDITIONS.TXT.
  269.  
  270. From the above facts it is possible to come to this
  271. conclusion - resident driver is very useful utility.
  272. Despite that it is a supporting program and main weight of
  273. securing virus cleanliness should be left to program
  274. AVG.SYS.
  275.  
  276. Problem - Heuristic analysys detects unknown virus in clean
  277. file
  278.  
  279. As it is stated in the documentation, heuristic analysys is
  280. based on principal of detection of instructions, which are
  281. from point of view of operating system incorrect.
  282.  
  283. Unfortunetly there are many programs which are for some
  284. reason using incorrect technique and are virus free. It is
  285. possible that heuristic analysys marks these files as
  286. attacked by unknown virus.
  287.  
  288. If the user is hundred percent sure that the file is
  289. absolutely correct - for exmple it has been used without
  290. any difficulties for long period of time, then the file
  291. can be "validated". In practice it means that the file
  292. will be ignored by heuristic analysys in future tests -
  293. providing there is no change to its size or contents.
  294.  
  295. The basic validation is done by manufaturer of system AVG -
  296. respective information are deposited in the file AVG.AVF,
  297. which is updated once a month. User can make his own
  298. valdation file called EXTERN.AVF with help of supporting
  299. program MANAVF.EXE (see manual).
  300.  
  301. Files which are reported by AVG as "unknown virus" sholud
  302. be send to manufacturer without delay. Experts will then
  303. analyse the file and if it realy is correct it will be
  304. addad to validation file AVG.AVF.
  305.  
  306. Problem - AVG detects not enough memory
  307.  
  308. This problem can occure when size of conventional memory is
  309. smaller then desired 500KB. Size of free memmory, which is
  310. available through operating system depends on current
  311. configuration of operating system and size of resident
  312. drivers and programs in the memory. DOS 5.0 or higher
  313. allows placing resident programs in to high memory (HMA)
  314. using driver HIMEM.SYS, which also allows to access the
  315. whole operating memory as XMS. In special cases it is
  316. possible to use memory manager (EMM386,QEMM386).
  317.  
  318. If the size of memory is smaller then demanded approximetly
  319. 500KB, situation can occure, that some functions of AVG
  320. will not be accessible (help, list of heuristic markings),
  321. In case of critical shortage of memory the program edns
  322. reporting internal error.
  323.  
  324. Problem - Disk manager (Western Digital)
  325.  
  326. Manufacurer of well known hard disks, Western Digital,
  327. supplies with their products programs called Disk Manager
  328. (DM). This software allows organising disks larger then
  329. 500MB.
  330.  
  331. DM uses its own structure of writing system areas
  332. describing division of hard disk to logical disks of the
  333. following type:
  334.  
  335. In first sector (Usualy partition table) is written starter
  336. of this program. DM is therefore started automaticaly
  337. every time computer is booted - before operating system.
  338.  
  339. In another sectors of first track (these are usualy unused)
  340. keeps its own information about partition of hard disk -
  341. these are coded.
  342.  
  343. If you boot computer standard way - that is the system is
  344. sourced from hard disk, then DM is activated. It is then
  345. active in the memory all the time for other software it
  346. creates illusion of standard form of partion table. In
  347. practice most programs can be used without any problems.
  348.  
  349. Significant differnce makes then booting from floppy disk.
  350. At that time DM is not active in the memory it is not
  351. capable of creating illusion of partition table. Partition
  352. table as it is written to the hard disk is not readible by
  353. operating system and it comes to conclusion that hard disk
  354. is not available - hard disk c: does not exist.
  355.  
  356. After booting from system diskette device c: is not
  357. accessible.
  358.  
  359. Critical situation occures when computer equiped with DM is
  360. attacked by any (even very primitive) virus, attacking
  361. partition table. This virus overwrites original starter DM
  362. with its own code and original contents will transfer to
  363. another sectors (mostly unused) - ther are unfortunetly
  364. tables of DM which are then unrecoverably damaged.
  365.  
  366. The result of virus attack on hard disk equiped with DM is
  367. total unaccessibility of hard disk and information written
  368. to it - most likely loss of all data - currently there is
  369. not known simple way of recovering access to the hard
  370. disk.
  371.  
  372. From the above information we conclude that Disk Manager
  373. represents non standard software which in combination with
  374. computer viruses represents big danger for data written to
  375. the hard disk.
  376.  
  377. Problem - Driver's message in graphical enviroment
  378.  
  379. Resident driver writes its messages (in text regime) on
  380. firs line of screen - red line and allows user to choose
  381. next function from keyboard. Problem is reporting in
  382. graphical  enviroment - driver does not report in to
  383. graphical enviroment. This could be influenced by setiing
  384. parameter /GRWR.
  385.  
  386. Setting parameter to /GRWR+ determine that driver can
  387. report important messages in graphical enviroment. Because
  388. standard concept in graphical expression does not exist,
  389. driver uses for writing messages standard function of
  390. BIOS, which are binding by all graphics cards. If driver
  391. during usage of graphcal application needs to report
  392. message, the message will be placed according to current
  393. position of cursor and it can look different according to
  394. enviroment. (Graphical application do not usualy adhere to
  395. same standard). In graphical application which do not mend
  396. their graphical exits correctly can occure partial
  397. breaking of screen.
  398.  
  399. In the MS WINDOWS enviroment the situation is as follows.
  400. Communication between user and driver AVGSYS is secured by
  401. AVGSYSW.EXE.  The behaviour of the driver is then
  402. determined by application enviroment in which the event
  403. happened:
  404.  
  405. If the controlled event happens during WINDOWS application
  406. standard window will appear with message and choice for
  407. user. (Parameter /GRWR doe not influence this case).
  408.  
  409. If  the event happens in the window DOS application (under
  410. Windows) and this application is a text application and it
  411. is not enclosed to window ,the message will be reported in
  412. standard way for MS-DOS enviroment - that means red line
  413. on first line on the screen.  (Parameter /GRWR doe not
  414. influence this case).
  415.  
  416. If  the event happens in the window DOS application (under
  417. Windows) and this application is enclosed to window ,then
  418. it is application using graphical exit and permission or
  419. suppression depends on settings of parameter /GRWR.
  420.  
  421. Problem - Memory cannot be tested in program AVGW
  422.  
  423. After you start program AVGW (for Windows) it is not
  424. possible to test operating memory RAM despite the fact
  425. that driver ACGSYS.EXE is installed.
  426.  
  427. Presence of driver AVGSYS.EXE is not connected with testing
  428. memory RAM in WINDOWS enviroment. The problem is absence
  429. of program AVGSYSW.EXE. This program must be started
  430. before WINDOWS. Program AVGSYSW.EXE has two functions:
  431.  
  432. Ensures communication between user and driver AVGSYS.EXE in
  433. WINDOWS enviroment.
  434.  
  435. Allows program AVGW.EXE to access operating memory which
  436. under WINDOWS cannot be tested.
  437.  
  438. Solution: before starting windows execute AVGSYSW.EXE
  439.  
  440. End of file PROBLEM.TXT
  441.