home *** CD-ROM | disk | FTP | other *** search
/ The Best of Select: Games 9 / CD_1.iso / viruskil / fprot221 / virstop.doc < prev    next >
Text File  |  1995-12-13  |  6KB  |  131 lines
  1.                               VIRSTOP
  2.  
  3. Note for Windows '95 users: VIRSTOP is not designed to be run under
  4.    Windows '95, and will only work partially in that environment - it
  5.    is not able to check boot sectors on access.  Also, you may need to
  6.    use the /NOTRACE switch (see below) to be able to run VIRSTOP at all.
  7.    (Note that the Win '95 version of VIRSTOP does not have those problems).
  8.  
  9. The primary purpose of the VIRSTOP.EXE program is to prevent the execution
  10. of programs infected with known viruses.
  11.  
  12. VIRSTOP installs itself in RAM as a standard TSR and intercepts the
  13. so-called "Load-and-execute" function.  This means that whenever an attempt
  14. is made to run a program VIRSTOP gets a chance to examine it first.
  15.  
  16. VIRSTOP uses a simple but fast search to check for viruses, but it does
  17. not make an accurate identification - F-PROT.EXE is necessary for that
  18. purpose.
  19.  
  20. IMPORTANT! ...  VIRSTOP does not detect the same number of viruses as
  21. F-PROT.  In particular, VIRSTOP does not detect most polymorphic viruses. 
  22. It is therefore recommended that VIRSTOP only be used as one component of
  23. the virus protection - do not rely on it alone.
  24.  
  25. If VIRSTOP finds a virus, it will abort the execution of the program,
  26. display a message and return an error.  For example, if you attempt to run
  27. a program infected with the Cascade virus, with VIRSTOP active in memory,
  28. you might see something like this:
  29.  
  30.         This program is infected with the Cascade virus.
  31.         Cannot execute A:\INF-PROG.COM
  32.  
  33. VIRSTOP has a secondary function as well - it attempts to check for any
  34. active boot sector virus when it is run. 
  35.  
  36. The recommended way to load VIRSTOP is to load it from the CONFIG.SYS
  37. file, with a command such as:
  38.  
  39.                     DEVICE=C:\F-PROT\VIRSTOP.EXE
  40.  
  41. Or, if you are using DOS 5 (or 6), you can instead use
  42.  
  43.                     DEVICEHIGH=C:\F-PROT\VIRSTOP.EXE
  44.  
  45. IMPORTANT! - If any memory managers, such ar 386MAX, HIMEM or QEMM are
  46. used, they must be loaded before VIRSTOP.
  47.  
  48. In order to test if VIRSTOP is properly installed, the program F-TEST is
  49. provided.  It is NOT a virus, but it is detected by VIRSTOP the same way as
  50. a virus-infected program.
  51.  
  52. If VIRSTOP is not installed or not active, F-TEST will print out a message
  53. saying so when run and return a code of 1, which can be checked with the
  54. ERRORLEVEL command. If VIRSTOP is active and working, it will display a
  55. message to that effect.
  56.  
  57. If you are using software that takes over the "load-and-execute" function,
  58. in particular Novell Netware and PC-NFS, F-TEST may say that VIRSTOP is
  59. not active.  To make VIRSTOP work properly under those circumstances, you
  60. must either...
  61.  
  62.     Load VIRSTOP from AUTOEXEC.BAT (after the network software is loaded),
  63.     instead of CONFIG.SYS.
  64.  
  65. or
  66.  
  67.     Put a command like the following in AUTOEXEC.BAT, after you load
  68.     the network software:
  69.  
  70.         C:\F-PROT\VIRSTOP /REHOOK
  71.  
  72. VIRSTOP.EXE includes one additional feature - it is designed to be able to
  73. detect if it has been infected by a "stealth" virus.  It is also often (but
  74. not always) able to detect attempts to run "stealth"-virus infected
  75. programs, even though the virus is active in memory.
  76.  
  77. VIRSTOP supports the following command-line switches:
  78.  
  79.         /DISK:X - do not store search strings in memory, but read them
  80.         in from disk when necessary.  This reduces the memory requirements
  81.         down to around 3500 bytes.  The :X indicates which drive to use for
  82.         store the two "swap" files, _VIRSTOP.TMP (which stores the part
  83.         of memory overwritten by VIRSTOP) and _VIRSTOP.SWP, which is a
  84.         copy of VIRSTOP.EXE, allowing the original copy to be updated
  85.         while VIRSTOP is running.
  86.  
  87.         Notes:
  88.                 If the drive letter is not specified, it defaults to C:
  89.  
  90.                 The drive should be a fast, local drive - not a network
  91.                 drive.  RAMdisks are ideal.
  92.  
  93.                 /DISK can now be used if you run VIRSTOP from a diskette
  94.                 which is later removed, as the original file is not
  95.                 accessed, just the _VIRSTOP.SWP copy.
  96.  
  97.                 If this switch is used, and VIRSTOP is loaded from CONFIG.SYS,
  98.                 it is critical that the full path name is given.
  99.  
  100.                 DO NOT USE /DISK IF YOU USE DEVICEHIGH= TO LOAD VIRSTOP
  101.                 (LOADHI seems to work OK, though).
  102.  
  103.         /OLD - do not complain, even if the program has "expired".  Use of
  104.         this switch is not recommended.
  105.  
  106.         /REHOOK   Re-hook INT 21h, if VIRSTOP was loaded before Netware or
  107.         another similar program that takes over the "load-and-execute"        
  108.         function.
  109.  
  110.         /NOTRACE  Using this swith makes VIRSTOP work properly on machines
  111.         that are using old (and not 100% Intel-compatible) versions of the
  112.         Cyrix 486SLC processor.  It will also fix some compatibility
  113.         problems with the 386MAX and BlueMax memory managers. However,
  114.         this switch should not be used unless necessary, as it makes
  115.         VIRSTOP ineffective against stealth viruses that are run before
  116.         VIRSTOP is loaded.
  117.  
  118.         /NOMEM    Do not perform a memory scan when starting.
  119.  
  120.         /FREEZE   Stop the computer when a virus is found.
  121.  
  122.         /[NO]COPY [Do not] check files when they are accessed/copied.
  123.                   The default is /NOCOPY
  124.  
  125.         /[NO]BOOT [Do not] check boot sectors when a diskette is accessed.
  126.                   The default is /BOOT.
  127.  
  128.         /[NO]WARM [Do not] check the diskette in drive A: when the user
  129.                   presses Ctrl-Alt-Del.  The default is /NOWARM
  130.  
  131.