home *** CD-ROM | disk | FTP | other *** search

---

/ Shareware 1 2 the Maxx / sw_1.zip / sw_1 / VIRUS / I_M123.ZIP / QUESTION.TXT

< prev

next >

Wrap

Text File  |  1992-07-14  |  26KB  |  464 lines

---

1. ╔═════════════════════════════════════════════════════════════════════════════╗
2. ║                                                                             ║
3. ║ Welcome to QUESTION.TXT!  Hopefully you'll find the answer to your question ║
4. ║ in this collection.                                                         ║
5. ║                                                                             ║
6. ║ o If you have a general question about data integrity, security, viruses,   ║
7. ║   system sectors or similar things, the help index in Integrity Master may  ║
8. ║   provide the answer (Hit F1 and then "I").  If that fails, read the manual ║
9. ║   (file I-M.DOC), especially part two on "Data Integrity and Viruses".      ║
10. ║                                                                             ║
11. ║ o If you're having trouble using the menus in Integrity Master try the      ║
12. ║   tutorial offered in SetupIM.                                              ║
13. ║                                                                             ║
14. ║ o If all else fails, please contact us or the Advanced Support Group for    ║
15. ║   assistance.  See details in file SUPPORT.DOC (IMVIEW SUPPORT.DOC          ║
16. ║   to read this file).                                                       ║
17. ║                                                                             ║
18. ╚═════════════════════════════════════════════════════════════════════════════╝
19. Q: I start SetupIM and suddenly nothing happens or I see the display
20.    scroll and then get disorganized.  The program seems to be stuck.
21.  
22. A: Insert formatted media (eg. diskettes) in all removable drives, run
23.    SetupIM, and try waiting about 10 seconds and hitting the ENTER key
24.    several times.  You may be using a program which is trying to write a
25.    message to the screen while SetupIM is checking out your disk drives.
26.    You can safely ignore any garbage which appears on your screen. SetupIM
27.    will write a full report to file IMPROC.TXT.  Be sure to check this
28.    file.   The most common cause for this type of problem is using
29.    DRIVER.SYS to assign a duplicate drive letter to a floppy drive:
30.  
31.    You may have a statement like this in the \CONFIG.SYS file:
32.  
33.                  DEVICE=DRIVER.SYS /D:0 /F:0
34.  
35.    The numbers could be 0 as above or have some other value.  DRIVER.SYS
36.    tries to write a message to the screen to ask you to insert a new
37.    disk and hit a key when SetupIM checks this drive. Deleting this line
38.    should solve the problem. Once you finish running SetupIM you may
39.    restore the line. IM will have know enough not to access the
40.    duplicate logical drive.
41.  
42. Q:  I want to do nothing other than scan a disk for known viruses how do
43.     I use Integrity Master to accomplish that?
44.  
45. A:  If this is a disk that you've already "INITIALIZED" with Integrity Master
46.     then just use the CHECK menu to check that disk.  If this a new disk to
47.     Integrity Master then use the INITIALIZE menu, to do an initialize of
48.     all the files.  You can save time in both cases by using the option
49.     menu to limit initializing or checking to executable programs.  You can
50.     also use the "V" option on the check menu to ONLY check for known viruses,
51.     but if you do this you lose all the additional benefits of integrity
52.     checking.
53.  
54. Q:  I'd like to setup a batch file that sometimes does a quick check and
55.     sometimes does normal, full integrity checking.  Since there's no command
56.     line option to change the type of checking, how do I do this?
57.  
58. A:  Set your options for quick checking by using the OPTIONS menu.  Then
59.     select the first option on that menu to save (Write) the parameter file.
60.     This saves your options in file IM.PRM.  You can now copy that file to a
61.     different file  let's say QC.PRM ("COPY IM.PRM QC.PRM").  Now execute IM
62.     and set your options back for full checking.  Save (Write) those
63.     options.  You now have two files: QC.PRM (for quick checking) and IM.PRM
64.     (for normal checking).  IM with no change will use the options in IM.PRM.
65.     Anytime, you want to do a quick check just invoke IM with: "IM QC.PRM" and
66.     you'll be using the quick check options.  If QC.PRM is not in the current
67.     directory, be sure to code the complete path on the control card (eg. "IM
68.     D:\utils\QC.PRM").
69.  
70. Q:  Sometimes IM comes up with different colors on the screen than before.
71.     What's going on?
72.  
73. A:  IM checks the DOS video mode indictor on your PC to see if you are
74.     in color or monochrome mode, as well as directly checking your video
75.     adapter.  This allows you to use the DOS "MODE BW80" to indicate
76.     that a two color display is present on a color adapter card.  Some
77.     programs change this value to an incorrect value.  If this happens
78.     to you, use the DOS mode command to set the video mode back to the
79.     correct state.  For example, enter "MODE CO80" to restore normal
80.     color mode.  You can also use the command line override (or SetupIM)
81.     so IM comes up using whatever colors you prefer.  "IM /C" would
82.     force IM to use color mode.
83.  
84. Q:  I just tried to check or initialize on my hard disk. Integrity Master
85.     replied that this disk was not working.  It IS working!  What's wrong?
86.                                                 ~~
87. A:  File "DISKhelp.TXT" describes how to correct this problem. Read file
88.     DISKhelp.TXT using your favorite program, copy it to your printer ("COPY
89.     DISKHELP.TXT PRN") or enter the command:
90.           IMVIEW DISKHELP.TXT
91.     to display this file.
92.  
93. Q: I just entered the command IMVIEW (or IMPRINT) and nothing happened. My
94.    PC just said "Bad command or file name".
95.  
96. A: IMVIEW.COM and IMPRINT.BAT must be either in the current directory or
97.    in one of the directories in your DOS path.  To put these in the path,
98.    enter the command PATH at the DOS prompt and you'll see a list of
99.    directories on your disk.  You can copy IMVIEW.COM or IMPRINT.BAT into any
100.    of these directories.
101.  
102. Q: I don't have my original DOS install diskettes to do a clean boot from. How
103.    do I install Integrity Master?
104.  
105. A: It's only important to have a certified clean copy if a virus may already
106.    in control of your PC.  In most cases you can safely install using your
107.    DOS files in place on your hard disk.  On some PCs such as the T1000
108.    laptop and some Radio Shack models DOS is stored in ROM (Read Only Memory).
109.    This copy of DOS is always a clean copy!   If there IS a chance that you
110.    may have virus active please take the time to borrow DOS diskettes from
111.    a friend or a computer store.  If you explain why you need this most people
112.    will be more than glad to help you.
113.  
114. Q: I use DOS 4.0. I get a message saying that SHARE needs to be loaded for
115.    large media, when I boot from diskette.   Do I need to copy SHARE.EXE to
116.     my Integrity Master boot floppy?
117.  
118. A:  Integrity Master does not need SHARE.  You may wish to copy it so other
119.     programs can use it.  If so, just copy it to your diskette. DOS will
120.     automatically load it when you boot.
121.  
122. Q:  I just checked several disks but I can't find the report file.  What
123.     happened?
124.  
125. A:  If you have the report file option turned on in automatic mode (check the
126.     OPTION menu), then the report file is written to the first disk that you
127.     check.  If you later switch to check another disk, without turning off the
128.     report file, the reports will still go to the same file on the same disk.
129.     You can choose to have this file always written to the same disk by
130.     selecting this on the OPTION menu.
131.  
132.     If you specified a report file name "of your choice", and did not
133.     include a drive or directory specification as part of the file
134.     name, then it will be written to the current disk and directory when
135.     you start checking or initializing.
136.  
137. Q:  Other anti-virus products don't say I have to boot my PC before checking
138.     my files; why do I have to boot before checking with Integrity Master?
139.  
140. A:  If you're satisfied with the level of protection obtained with other
141.     products, THEN YOU DON'T NEED TO BOOT.  IT IS OUR GOAL TO PROTECT AGAINST
142.     ALL VIRUSES NOT JUST KNOWN VIRUSES.  The reason we ask you to boot from
143.     a write protected floppy before checking, is that this is the ONLY way to
144.     be sure that a virus is not already resident and in control of your PC.
145.     If a virus is resident, you may be infecting files rather than checking
146.     them.  Integrity Master checks memory for resident viruses, so it is
147.     somewhat safe NOT to boot.  If you choose to do this be sure you always
148.     have the latest version of Integrity Master (We release a new version
149.     at least every 3 months); this is vital so that your version knows to
150.     look for the latest viruses which may be hiding in your PC's memory.
151.     On the other hand, if you boot from a good version of DOS on diskette,
152.     you can continue using your version of Integrity Master indefinitely
153.     and be safe from viruses!
154.  
155. Q:  I want to write my reports to my printer.  IM reports that my printer
156.     isn't working, but it is!  What can I do?
157.  
158. A:  You have a printer which is not compatible with the standard IBM BIOS
159.     functions that IM uses.  There's an easy way around this.  Just use
160.     the OPTION menu to write the reports to a file called "PRN".  This
161.     will allow DOS to route the print for you.
162.  
163. Q:  IM just detected a change to a program.   Only this one program changed,
164.     I don't think it's a virus.   What are some programs known to change
165.     themselves?
166.  
167. A:  There are too many programs to list them all here.  Many programs will be
168.     changed when you run the install or option update program for that
169.     program.  WordStar is a well known example.  A new program is SETVER.EXE
170.     which is part of DOS 5.  Whenever you run SETVER to set the DOS version
171.     for a program, SETVER stores this information by modifying its own code.
172.     This will result in IM reporting a change to SETVER.EXE every time you
173.     run the program.    Changing certain options in MicroSoft Windows (R)
174.     will also change the program itself (WIN.COM).
175.  
176. Q:  IM keeps reporting that my boot sector has changed.  It is NOT reporting
177.     a known virus. The boot sector seems to change every day. I don't think
178.     I've got a virus.  What's going on?
179.  
180. A:  If your boot sector keeps changing repeatedly and you have an older HP
181.     or Zenith PC, you may have one of the models that changes its boot
182.     sector every time you boot.  If you use a program like STACKER which
183.     establishes a virtual (not a real) disk, do not be concerned if the boot
184.     sector on the virtual (eg. Stacker) disk keeps changing.  This is normal
185.     behavior.  As a matter of fact, changes to the boot sector of any disk
186.     which can not be booted from, generally do not represent a problem.  If
187.     you have any doubt about whether it's a virus, save a few of your
188.     BOOT.SRL files (Run an Initialize boot sector after IM reports a change)
189.     and send these along with the other information called for in file
190.     SUPPORT.DOC to us.  We'll check to see if a virus might be present in
191.     your boot sector.
192.  
193. Q:  IM detected a virus on my PC.  I reloaded my system sectors and either
194.     deleted or reloaded all infected files, yet the virus keeps coming back!
195.     What should I do?
196.  
197. A:  Somewhere a virus is eluding your checks; please check the following:
198.  
199.   o Did you install IM after booting from a clean floppy?  It's absolutely
200.     vital to do a cold boot before checking.
201.  
202.   o Are you using a task switcher (or multi-tasker) such as windows?  If so,
203.     then this program may be saving some of your infected programs in its
204.     "swap" file.  This file often ends in the letters ".SWP".   Delete
205.     this file if it exists.
206.  
207.   o Be sure you check ALL files and floppies which come into contact with
208.     your computer.  You may have missed a file or diskette somewhere.  Please
209.     take the extra time and check them all.
210.  
211.   o It's possible that viral code is hidden somewhere other than an executable
212.     file.  IM normally checks only executable files (programs and overlays)
213.     for known viruses.  Try selecting "Disk for known Viruses" on the CHECK
214.     menu and selecting "Check All files" on that menu.  This will check
215.     all files as well as system sectors on your disk.  Check any other
216.     disks that you've been using.
217.  
218. Q:  I use an executable compression program (eg. PKlite), am I in danger
219.     of the compressed files being infected?
220.  
221. A:  If a virus should infect ANY of your files, compressed or not, IM can
222.     detect this fact.  So if a virus should infect a compressed executable
223.     file, IM will have no trouble detecting this.  On the other hand if a
224.     known virus infects a program and then that program is compressed, IM
225.     may or may not recognize the virus in the compressed file.  However if
226.     the virus should attempt to spread, IM will detect this.
227.  
228. Q:  IM just detected a virus in one of my system sectors, and says to
229.     reload the system sector.  I've never run an "Initialize", so I don't
230.     have the sector reload file (.SRL).  Help!   What do I do?
231.  
232. A:  This reinforces an important point: DO AN INITIALIZE ON ALL YOUR DISKS
233.     SO THAT YOU CAN EASILY RECOVER ANY DAMAGE TO A SYSTEM SECTOR.  Don't wait;
234.     DO IT NOW!  If you lost your boot sector, you're in luck, otherwise you
235.     have some serious work ahead of you.
236.  
237.     BEFORE YOU DO ANYTHING, POWER OFF AND BOOT FROM A WRITE PROTECTED DISKETTE
238.     CONTAINING A CLEAN COPY OF DOS THEN:
239.  
240.   o You can manually reload the DOS boot sector by entering the command:
241.     "SYS C:" where "C" is the drive with the damaged boot sector.  You must
242.     logged on to drive A: when you enter this command.
243.  
244.   o Manually reloading partition sectors is MUCH more difficult.  Before you
245.     go any further, make sure you have as much of your data backed up as
246.     possible.  There is a serious risk that what you are about to do may
247.     render your disk unreadable!  Try one of the following options:
248.  
249.     1) If you have DOS 5, try the command: "FDISK /MBR" to create a new
250.        partition sector (AKA Master Boot Record).  Be careful; this is NOT
251.        documented and may not always work.
252.  
253.     2) If you can locate an identically formatted hard disk you could use IM
254.        (INITIALIZE partition sector) to capture the sector reload file and
255.        then reload it on your damaged disk (use Reload "Missing Partition")
256.        to accomplish this.
257.  
258.     3) Some of the utility programs such as Norton or MACE may be able to
259.        repair this sector. If they don't replace the sector, you could use
260.        one of the sector editors to write zeros over the first part of the
261.        boot sector and then turn the "disk fix-it" program loose again.  Our
262.        testing shows that these programs don't always succeed and may
263.        further damage your disk.
264.  
265.     4) The last alternative is to do a low level format.  This completely
266.        removes all data from your hard disk.  See the next question for
267.        details on how to do this.
268.  
269. Q:  How do I do a low-level format?
270.  
271. A:  This procedure varies with the type of computer your have and the type
272.     of disk controller board.  If you have an IBM PC then you have (or can
273.     get) a diskette containing a program to low level format your drive.
274.     Some other manufacturers provide this also.  Running SPINRITE to do a
275.     low-level format is NOT what we want to do here.  We MUST do a
276.     DESTRUCTIVE format. Check the documentation that came with your disk
277.     controller board for the technique to low-level format or call the
278.     manufacturer for information on how to do this.  Be sure to explain that
279.     all you really want to do is to replace the partition sector (master
280.     boot record).  They may have a utility to do just that.  The procedure
281.     for some common Western Digit controllers is as follows:
282.  
283.     Enter "DEBUG"  (from your DOS boot diskette)
284.  
285.     at the DEBUG prompt ("-") enter: "g=C800:5"   (press ENTER)
286.  
287.     at this point you should be able to follow the directions. You will need
288.     to know whether you are formatting your first on second hard disk and
289.     the layout (heads and cylinders plus and bad tracks) but often you can
290.     just hit ENTER and accept the defaults.  To find the bad track list open
291.     your PC and look on the drive itself.
292.  
293. Q:  I was just checking a diskette for viruses and IM detected the
294.     DataCrime 2 virus in a file.  When I restarted IM it detected the
295.     DataCrime virus resident in memory!  I never executed the program
296.     which was infected, so how did the virus get control of my PC?
297.  
298. A:  The virus wasn't really resident or in control of your PC. What happened
299.     was that a piece of the viral code was left somewhere in memory -
300.     probably in one of DOS's file buffers.  Although IM takes great pains to
301.     clear its own buffers and areas of memory, it's not unusual to get a
302.     false indication of the virus being active in memory after detecting
303.     a virus in a file or system sector.
304.  
305. Q:  I have indicated that I didn't want virus checking, yet IM reported a
306.     virus anyway. Why?
307.  
308. A:  If your display indicates "Virus check off", IM will still check for
309.     known viruses whenever it doesn't noticeably slow things down.  Also if
310.     you request a scan for known viruses on the Check menu, IM will always
311.     check for viruses.
312.  
313. Q:  Since there's a menu option on the CHECK menu to scan for known viruses,
314.     why is there no command line option to do this?
315.  
316. A:  We believe that scanning for known viruses is a helpful but seriously
317.     flawed technology.  Many products use this as their primary defense
318.     against viruses.  We want to discourage people from depending upon this
319.     technique and certainly don't want Integrity Master to be used as a mere
320.     virus scanner.  Integrity Master automatically checks for signs of known
321.     viruses whenever you initialize or whenever it detects a change to an
322.     executable program as well as when you tell it to scan for known varies.
323.  
324. Q:  When I first start IM and SetupIM, I see something red flash on my screen,
325.     but I can't make out what it says.
326.  
327. A:  When IM and SetupIM first start they look for the parameter file (IM.PRM)
328.     which contains all your option settings.  On some PCs this can be a
329.     slow process, so IM announces that it is: "Searching for and reading
330.     parameter file."   On faster PCs, this message appears as barely a blur!
331.  
332. Q: IM reports invalid time and date stamps on many of my files.  Do I have
333.    a virus?
334.  
335. A: Maybe!  If it's only executable files with the illegal values, you'll
336.    need to check further to make sure there's no unknown virus on the
337.    loose.  If you have such a virus IM, should be detecting unexplained
338.    changes to executable programs.  Try following the procedures
339.    outlined in the manual (or the I-M.DOC file) for determining if file
340.    changes are due to viruses.  (Basically, what you do is to run a full
341.    check, execute a suspect program, cold boot, and run another full
342.    check.)  There are some common causes for files to have illegal time
343.    and date stamps (such as 62 seconds):
344.  
345.    1) There is reportedly a backup program ("Intelligent Backup") which
346.       marks files by setting the seconds field to an illegal value.
347.  
348.    2) Some anti-virus products attempt to "immunize" your files by setting
349.       the seconds of time stamp of your programs to 62.  This works only
350.       against a handful of viruses but some programs do this anyway.
351.  
352.    3) Central Point's (PC Tools) Datamon will reportedly mark rencrypted files
353.       by setting the seconds field to 62.
354.  
355.  Q: IM says I have a virus resident in memory, but I doubt this, since I have
356.     another anti-virus product which reports nothing.  What's going on?
357.  
358.  A: Some anti-virus products execute as a resident program (TSR) to monitor
359.     your system and check for signs of known viruses.  To check for these
360.     viruses, they use fragments of the same viruses that IM checks for.
361.     It's a standard practice to keep these fragments encrypted or stored in
362.     pieces, but some products don't follow this practice.  You probably have
363.     such a product.  To double check, remove any line in your CONFIG.SYS and
364.     AUTOEXEC.BAT file which executes this product.  Cold boot your PC.  Now
365.     run IM.  If the other product was at fault, IM will now detect no virus.
366.  
367.  Q: When I run IM under Microsoft Windows, it reports "General failure"
368.     reading some files.  This is supposed to be a hardware error.  What's
369.     happening?
370.  
371.  A: Microsoft Windows has certain files open.  When IM tries to read these
372.     files it is unable to.  The message returned to IM varies from one PC
373.     to another.  On some PCs, you may see merely that certain files can not
374.     be opened.  On other PCs (such as yours), a critical error is returned to
375.     IM.  IM is simply reporting the error returned to its critical error
376.     handler.  We are looking into ways to determine the true rather than
377.     the simply the reported cause of errors such as this.
378.  
379.  Q: I'm using STACKER on my PC and IM keeps reporting boot sector corruption
380.     on my stacker volume.  What gives?
381.  
382.  A: STACKER closely simulates an actual DOS disk drive on its volume. It
383.     pretends to have an actual boot sector.  This boot sector is not a real
384.     boot sector and may change from moment to moment.  Viruses can not spread
385.     by infecting this boot sector and since it can change at any time,
386.     checking this boot sector is a waste of time.  When you check a STACKER
387.     volume, just check the files and not the system sectors. Don't do a
388.     "Check Entire disk integrity" which includes the system sectors on the
389.     STACKER volumes.  If you use the command line, use "/CD" rather than
390.     "/CE".  Automatic handling of STACKER volumes will be available soon.
391.  
392.  Q: IM reports corruption of its own report file.  Why?
393.  
394.  A: This can happen in only one circumstance.  If you select a report
395.     file with a name of your own choice and then check the disk and
396.     directory containing that report file, IM will write to that file
397.     between the time that it checks it and the time that the file is
398.     closed.  We recommend using auto-named report files or placing them
399.     on a disk different from the disk being checked to avoid this message.
400.  
401.  Q: I found a damaged directory or a report file on a floppy that IM
402.     was checking...
403.  
404.  A: Do not remove a diskette if IM is writing a report file to it unless
405.     IM has fully finished its processing.  The report file will still be
406.     open and inserting another diskette can cause DOS to write incorrect
407.     information to the second disk.  After you see the statistics summary,
408.     you may remove the first disk.
409.  
410.   Q: I am getting errors when reading a disk I think is working OK.
411.      Why does IM report an error.
412.  
413.   A: See file DISKhelp.TXT
414.  
415.   Q: How do I get rid of that wait for keypress at the end of processing.
416.  
417.   A: If you enter a command line parameter such as "/CR" or "/CD", and
418.      specify no pause either by using the option menu or with the
419.      "/N" or "/NE" parameter, IM will pause only briefly after it
420.      finishes checking.
421.  
422.   Q: How can I quickly remove boot sector viruses (such as Stoned or
423.      Michelangelo) from numerous diskettes?
424.  
425.   A: If your diskettes are bootable, the DOS "SYS" command can be used to
426.      quickly remove boot sector viruses.  (You can always try the SYS command
427.      it won't hurt anything)  Be sure to boot from a write protected copy
428.      of DOS and then issue the "SYS x:"  command (x is the disk you wish
429.      to clean).
430.  
431.      For non-bootable disks, locate an uninfected disk of the same type
432.      as that which is infected.  Use IM to initialize the boot sector data
433.      for that diskette.  Temporarily remove all other "BOOT.SRL" files
434.      from your disks.  Make sure the "BOOT.SRL" (boot sector reload file)
435.      which IM just created is present either in your current directory
436.      or in the root directory of one of your disks.  Now:
437.  
438.      o Run IM and turn the report file off.
439.  
440.      o Change to the drive containing an infected floppy (Commands menu).
441.  
442.      o Tell IM to reload the boot sector.
443.  
444.      o Insert and another diskette and keep reloading. IM will locate the
445.        BOOT.SRL file on one of your other disks and reload the sectors on
446.        each floppy diskette.
447.  
448.   Q: How can I avoid having separate report files on each disk IM checks?
449.  
450.   A: Use the Options menu to set the auto-named report file to go to
451.      a specific disk of your choosing.  All reports will then go to this
452.      disk, independent of the disk being checked.
453.  
454.   Q: I see:  "Changes in directory xxxxxx:" but no changes appear on my
455.      screen.  Why is this?
456.  
457.   A: If you have asked IM to exclude files or directories from checking,
458.      IM will remove their associated integrity data the next time you
459.      run a check.  If you have asked IM not to tell you about excluded files
460.      or directories, it will still alert you that it is updating the
461.      integrity data for directories where something is being excluded.
462.      This notice appears only once when IM first removes the preexisting
463.      integrity data for the excluded files and directories.
464.