VSHIELD Version 5.61V116 VSHIELD1 Version 0.2 CHKSHLD Version 0.4 Copyright (C) 1989 - 1994 by McAfee Associates. All rights reserved. Documentation by Aryeh Goretsky. šbersetzung von Kirschbaum Software GmbH. McAfee Associates, Inc. (408) 988-3832 Telefon 2710 Walsh Avenue, Suite 200 (408) 970-9727 Fax Santa Clara, CA 95051-0963 (408) 988-4004 Mailbox (25 Leitungen) U.S.A USR HST/v.32/v.42bis/MNP 1-5 CompuServe GO MCAFEE Internet support@mcafee.COM America OnLine MCAFEE VSHIELD Version 5.61V116 Seite 1 INHALTSVERZEICHNIS Kurzbeschreibung . . . . . . . . . . . . . . . . . . . . . . . 2 - Was VSHIELD leistet - Systemanforderungen Echtheit . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 - šberprfen des Originalzustandes von VSHIELD Was ist neu? . . . . . . . . . . . . . . . . . . . . . . . . . 3 - Leistung und neu hinzugekommene Viren dieser Version šbersicht . . . . . . . . . . . . . . . . . . . . . . . . . . 4 - Eine Anmerkung zu den Schaltern - Detaillierte Beschreibung von VSHIELD Anwendung und Optionen . . . . . . . . . . . . . . . . . . . . 6 - Die Anwendung von VSHIELD - Erl„uterung der Parameter - ERRORLEVEL bei der Programmierung von Batch-Dateien Beispiele . . . . . . . . . . . . . . . . . . . . . . . . . .12 - Beispiele h„ufig verwendeter Optionen Installation . . . . . . . . . . . . . . . . . . . . . . . . 13 - Wie Sie VSHIELD in Ihrem System installieren - VSHIELD in Netzwerkumgebungen Viren entfernen . . . . . . . . . . . . . . . . . . . . . . . 14 - Was zu tun ist, wenn ein Virus gefunden wird Registrierung . . . . . . . . . . . . . . . . . . . . . . . . 16 - Wie Sie VIRUSCAN registrieren Technischer Support . . . . . . . . . . . . . . . . . . . . 15 - Informationen die Sie bei einem Anruf parat haben sollten Anhang A . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 - Das Erstellen einer Liste fr die Option /CERTIFY Anhang B . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 - Beispiel fr Login-Script mit CHKSHLD VSHIELD Version 5.61V116 Seite 2 KURZBESCHREIBUNG VSHIELD ist ein Virenschutzprogramm fr IBM PC und Kompatible. Es hindert Viren, Ihren Rechner zu infizieren. Wenn VSHIELD zum ersten Mal geladen wird, durchsucht es zun„chst den Arbeits- speicher des PC, die Partitionstabelle, den Bootsektor, System- dateien und sich selbst nach bekannten Viren. Anschlieáend installiert es sich als TSR (Terminate-and-Stay-Resident-Programm) im Arbeitspeicher. VSHIELD prft auf Viren indem es nach Virenkennungen sucht und/oder die Prfsummen kontrolliert, die unter Umst„nden durch SCAN angeh„ngt wurden. Alle Programme werden geprft, bevor diese in den Speicher geladen werden. Wenn in einem aufgerufenen Programm ein Virus erkannt wird, so l„át VSHIELD nicht zu, daá dieses Prograqmm gestartet wird. Ebenso l„át VSHIELD nicht zu, daá ein Warmstart von einer Diskette durchgefhrt wird, auf der ein Bootvirus erkannt wurde. Auf Wunsch kann VSHIELD Dateien auf Ver„nderungen hin berprfen, wenn an diese Dateien vorher mit VIRUSCAN (SCAN) ein Prfcode angefgt worden ist. Dies hilft, neue unbekannte Viren zu erkennen. VSHIELD kann zus„tzlich zum šberprfen auf Viren benutzt werden, w„hrend Dateien kopiert werden. VSHIELD stellt auf Wunsch auch Zugriffskontrollen zur Verfgung, um das Risiko durch unerwnschte Software zu reduzieren. Es besteht aus zwei einzelnen Programmen. Das erste Programm VSHIELD.EXE berprft auf bekannte Viren und die durch SCAN angeh„ngten Prfcodes. VSHIELD1.EXE prft nur die mit SCAN angeh„ngten Prfcodes. Beide Programme berwachen jeden Programmaufruf, egal von welchem Laufwerk aus der Aufruf erfolgt, es sei denn, Sie haben etwas anderes angegeben. Das Programm VSHINST installiert ein Symbol (Icon) fr VSHIELD unter Windows 3.x. Mit diesem Symbol k”nnen VSHIELD-Meldungen aus- und eingeschaltet werden. Das Programm VSHWIN erm”glicht die Ausgabe von Meldungen, w„hrend WINDOWS 3.x aktiv ist. Mit dem Zusatzprogramm CHKSHLD kann in Verbindung mit Netzwerk- Login-Skripts festgestellt werden, ob VSHIELD resident im Speicher ist. VSHIELD l„uft auf jedem PC mit mindestens 256 KB Arbeitsspeicher und einer DOS Version 2.10 oder h”her. VSHIELD1 belegt 6 KB Arbeitsspeicher. Wenn VSHIELD normal geladen wird, ben”tigt es 46 KB des konventionellen Speichers (unterhalb 640 KB) bzw. 25 KB wenn EMS vorhanden ist. Mit der Swap-Option installiert sich nur der Programm-Kern mit 5 KB in den Speicher. VSHIELD kann auch in den oberen Speicherbereich geladen werden und belegt dann nur 1,5 KB konventionellen Speicher. VSHIELD Version 5.61V116 Seite 3 ORIGINALZUSTAND VSHIELD wird mit dem Programm VALIDATE ausgeliefert. Mit diesem Programm k”nnen Sie ausfhrbare Programmdateien auf deren Originalzustand berprfen. Eine Anleitung zum Gebrauch von VALIDATE finden Sie in der Datei VALIDATE.TXT. Die Prfergebnisse fr die Version 5.61V116 mssen lauten: Name Gr”áe Datum Prfergebnisse -------------------------------------------------------- CHKSHLD.EXE S:8,171 D:08-17-93 M1: 7B3C M2: 1B48 VALIDATE.COM S:12,197 D:03-24-92 M1: D5BB M2: 166F VSHIELD.EXE S:52,673 D:06-15-94 M1: B8E4 M2: 00F3 VSHIELD1.EXE S:18,833 D:06-24-93 M1: F414 M2: 13F5 VSHINST.EXE S:9,780 D:08-11-93 M1: 44A6 M2: 1D0F VSHWIN.EXE S:15,927 D:08-17-93 M1: 874E M2: 0CB1 Wenn Ihre Version andere Werte liefert, dann liegt entweder eine unzul„ssige Ver„nderung vor oder es wurden mit dem /SAVE Parameter Erg„nzungen vorgenommen. Starten Sie deshalb VSHIELD nur mit dem /SAVE Parameter, um eventuelle Erg„nzungen zu beseitigen. Danach fhren Sie nochmals eine šberprfung mit VALIDATE durch. Die neueste Version von VSHIELD und die Prfcodes fr VSHIELD.EXE und VSHIELD1.EXE k”nnen Sie auch aus der Mailbox von McAfee Associates erhalten. Diese Mailbox ist unter der amerikanischen Nummer (408) 988-4004 zu erreichen. WAS IST NEU? VShield Version 116 bew„ltigt alle Viren, die von der aktuellen Version von ViruScan erkannt werden. VSHIELD Version 5.61V116 Seite 4 Weitere Informationen zu neuen Viren in dieser Version finden Sie in der Dokumentation zu VIRUSCAN und in der Datei VIRLIST.TXT. Bezglich ausfhrlicher Beschreibung der bekannten Viren verweisen wir auf Hypertext VSUM von Patricia Hoffman (Anm.: ebenfalls ber Kirschbaum Software erh„ltlich). DAS HILFSFORUM FšR COMPUTERVIREN IN COMPUSERVE McAfee Associates unterh„lt das McAfee Virus Help Forum ber CompuServe. SCAN-Updates, Vireninformationen und Programmsupport erhalten Sie, wenn Sie nach einem beliebigen Compuserve-Prompt "GO MCAFEE" eingeben. Eine kostenlose Einfhrungsmitgliedschaft zu Compuserve ist m”glich. Genaueres finden Sie in der beiligenden Compuserve-Datei (COMPUSER.NOT). šBERSICHT VSHIELD ist ein speicherresidentes Programm, das Viren daran hindert, Ihren PC zu infizieren. VSHIELD tut dies, indem es die Programmdateien prft, bevor diese in den Speicher geladen und ausgefhrt werden. Wird ein Virus gefunden, oder stimmen die Prfdaten nicht mehr, oder ist das aufgerufene Programm nicht in der /CERTIFY-Liste enthalten, so erlaubt VSHIELD keine Ausfhrung dieses Programmes und hindert damit den Virus daran, den Computer zu infizieren. VSHIELD berprft auch die Diskette von der Ihr Computer gebootet werden soll auf Bootsektorviren und prft auf Wunsch w„hrend des Kopierens oder wann immer auf eine Datei zugegriffen wird. Wenn der Aufruf von VSHIELD in der AUTOEXEC.BAT erfolgt, so wird es bei jedem Systemstart installiert. Es wird den Speicher, die Partitions- tabelle, den Bootsektor, Systemdateien und sich selbst auf Viren berprfen und sich dann resident, als TSR-Programm, installieren. Von diesem Zeitpunkt an werden alle Programmaufrufe zuvor auf Viren untersucht. VSHIELD Version 5.61V116 Seite 5 Wird das Ger„t von einer infizierten Diskette gebootet, erkennt VSHIELD eine eventuelle Infektion erst beim n„chsten Aufruf von VSHIELD, da sich VSHIELD im Speicher befinden muá, um einen Virus zu erkennen. VSHIELD verfgt ber vier vom Anwender w„hlbare Schutzniveaus - Das Niveau I, das von VSHIELD1 zur Verfgung gestellt wird, berprft die Prfcodes die mit der Option /AV bzw. /AG von VIRUSCAN angefgt worden sind (n„hres dazu finden Sie in der Dokumentation zu VIRUSCAN). Wenn bei einem Programm diese Prfcodes nicht mehr stimmen, kann es nicht mehr ausgefhrt werden. Wenn Prfcodes fr die Partitionstabelle und den Bootsektor angelegt worden sind, so berprft VSHIELD1 auch diese. Das Niveau I bietet nur einen minimalen Schutz und wird nicht fr den normalen Gebrauch empfohlen. Stattdessen sollten Sie VSHIELD verwenden. - Das Niveau II, das von VSHIELD zur Verfgung gestellt wird, berprft die Programmdateien auf Virensignaturen. Eine Virussignatur ist ein Teil des Viruscodes, der fr den betreffenden Virus typisch ist. Wird ein Virus gefunden, so erlaubt VSHIELD das Ausfhren des infizierten Programmes nicht. VSHIELD erlaubt es gleichfalls nicht, daá von einer, mit einem Partitionstabellen- oder Bootsektorvirus infizierten Diskette ein Warmstart durchgefhrt wird. - Das Niveau III, das mit VSHIELD /CV installiert wird, ist eine Kombination der Niveaus I und II. - Das Niveau IV das mit VSHIELD /CERTIFY realisiert wird, kombiniert das Niveau III mit einer Zugriffskontrolle bei der angegeben wird, welche Programme gestartet werden drfen. Jedes Schutzniveau hat besondere M”glichkeiten, aber auch Nachteile. VSHIELD1 (Niveau I) ben”tigt am wenigsten Systemspeicher, n„mlich 6 Kb, bietet dafr aber den geringsten Schutz. VSHIELD (Niveaus II bis IV) ben”tigt 46 KB an konventionellen Speicher, bzw. 25 KB wenn EMS vorhanden. Dies kann durch Laden in den oberen Speicher auf 1,5 KB reduziert werden. Die Option /SWAP bel„át nur den Kern im Speicher und l„dt den Rest des Programmes nur bei Bedarf in den Speicher. VSHIELD1 verlangsamt jeden Ladevorgang im Mittel um eine Sekunde. VSHIELD verlangsamt jeden Programmaufruf im Mittel um eine Sekunde und jeden Warmstart im Mittel um sechs Sekunden. Die Option /SWAP verz”gert jeden Ladevorgang nochmals um eine Sekunde, da es sich jedesmal selbst von Diskette nachladen muá, bevor es andere Dateien prfen kann. Wenn das gewnschte Programm einmal geladen ist, verlangsamt VSHIELD das System in keiner Weise. Es sei denn Programme werden aufgerufen, die andere Programme laden und die Optionen /ACCESS oder /COPY gew„hlt wurde. HINWEIS: VSHIELD und VSHIELD1 drfen nicht gleichzeitig installiert werden. Das Programmm CHKSHLD wird verwendet um zu prfen, ob sich VSHIELD im Speicher befindet. CHKSHLD kann entweder nach einer beliebigen Version von VSHIELD oder nach einer ganz bestimmten Version suchen. Letztere M”glichkeit kann dazu verwendet werden, eine Workstation vom Netzwerkserver aus mit der neuesten Version zu versehen. VSHIELD Version 5.61V116 Seite 6 ANWENDUNG und OPTIONEN WICHTIGER HINWEIS: ERSTELLEN SIE SICH EINE SICHERUNGSKOPIE VON VSHIELD, INDEM SIE DIE PROGRAMME AUF EINE LEERE FORMATIERTE DISKETTE KOPIEREN UND DIESE ANSCHLIESSEND MIT EINEM SCHREIBSCHUTZ VERSEHEN. Um einen optimalen Schutz vor Viren zu bieten, sollte VSHIELD bzw. VSHIELD1 am Ende der AUTOEXEC.BAT eingefgt werden. Wenn Sie in der AUTOEXEC.BAT eine Benutzeroberfl„che wie zum Beispiel die DOSSHELL von MS-DOS starten, so muá VSHIELD zuvor aufgerufen werden. Das Laden von Cacheprogrammen oder Netzwerktreibern nach VSHIELD kann dazu fhren, daá VSHIELD deaktiviert wird. Um dies zu vermeiden, rufen Sie VSHIELD mit dem Parameter /RECONNECT erneut auf. CHKSHLD sollte vom Netzwerkloginskript aufgerufen werden. Wenn sich VSHIELD im Speicher befindet, wird der ERRORLEVEL gesetzt. Dies k”nnen Sie sich zunutze machen, um VSHIELD auf dem aktuellen Stand zu halten. Ein Hinweis zum Gebrauch der Optionen: VSHIELD wurde so entworfen, daá auch dann ein guter Schutz gew„hrleistet ist, wenn keine der unten genannten Optionen verwendet wird. Das Einfgen von VSHIELD in die AUTOEXEC.BAT ohne jeden Parameter stellt, zumindest fr die meisten F„lle, einen ausreichenden Schutz dar. In denjenigen F„llen, wo es Probleme mit dem freien Speicher gibt, k”nnen Sie die Hochlade-Option (/LH) oder die Swap-Option (/SWAP) verwenden, um Speicher einzusparen. Die anderen Optionen sollten nur verwendet werden, um VSHIELD im Bedarfsfall an besondere Umgebungen oder Sicherheitsvorschriften anzupassen. VSHIELD bietet viele M”glichkeiten um die Bedrfnisse von Firmen, Netzwerken und Sicherheitsumgebungen zu erfllen, die jeweiligen Nachteile fr das System bzw. die Zugriffseinschr„nkungen mssen jedoch jeweils genau abgew„gt werden. EMS-Untersttzung VSHIELD untersttzt die Lotus-Intel-Microsoft Expanded Memory Spezifikation (LIM-EMS) Version 3.2. Wenn Erweiterungsspeicher nach dieser Spezifikation vorhanden ist, wird er automatisch von VSHIELD benutzt, um darin Daten zu speichern. Der Bedarf an konventionellen (unter 640 KB) bzw. oberen Speicher (zwischen 640KB und 1MB) wird dadurch auf 25 KB reduziert, der Rest wandert in den EMS. Die Nutzung von EMS kann durch die Option /NOEMS verhindert werden. Die Optionen /SWAP und /CF {dateiname} vertragen sich nicht mit Erweiterungsspeicher und k”nnen nur zusammen mit /NOEMS eingesetzt werden. VSHIELD Version 5.61V116 Seite 7 Liste aller VSHIELD-Optionen: /ACCESS - auf Viren prfen, wenn eine Datei ge”ffnet wird /BOOT - Prft bei jedem Diskettenzugriff den Boot-Sektor /CERTIFY dateiname - Zugriffskontrolle ber die Ausnahmeliste einschalten /CF dateiname - benutzt die in dateiname gespeicherten Rettungsdaten /CHKHI - Prfe den oberen Speicherbereich auf 286ern und 386ern /CONTACT Meldung - Meldung zeigen, wenn ein Virus gefunden wird /COPY - w„hrend des Kopiervorgangs auf Viren berprfen /CV - die Prfcodes von VIRUSCAN berprfen /IGNORE d1:...d26: - Programmaufrufe von den Laufwerken l1 bis l26 ignorieren /LH - VSHIELD im High Memory installieren (nur DOS 5.0) /LOCK - System blockieren wenn ein Virus gefunden wird /M - bei der Installierung den Speicher auf Viren berprfen (siehe unten stehende Einschr„nkungen) /NB - šberprfung des Bootsektors ausschalten /NI6510 - behebt Problem mit Racal Datacomm NI6510 /NOBREAK - Ctrl-Break / Ctrl-C w„hrend der Installation unterdrcken /NOCONT - das Ausfhren nicht zugelassener Programme verhindern /NODISK - erm”glicht das Laden von Workstations aus, die ber keine Festplatte verfgen /NOEMS - Erweiterungsspeicher nach LIM-EMS Version 3.2 wird nicht genutzt /NOFLOPPY - Unterdrckt die šberprfung des Boot-Sektors bei Disketten /NOMEM - den Speicher nicht berprfen /NOREMOVE - die Option /REMOVE ausschalten /ONLY d1...d26 - das Laden von Programmen nur auf bestimmten Lauf- werken berwachen /RECONNECT - Verbindungen der Systeminterrupts nach Laden eines Netzwerkes neu aufbauen /REMOVE - VSHIELD aus dem Speicher entfernen /SAVE - Kommandozeilenparameter als Standardwerte sichern /SWAP Pfadname - nur den Kern von VSHIELD in den Speicher (5KB) installieren /F Pfadname - nur zusammen mit /SWAP und DOS 2.1 verwenden. /WINDOWS Pfadname - Aktiviert den VSHWIN Windows Modus Die Option /ACCESS veranlaát VSHIELD, Programme jedesmal auf Viren zu untersuchen, wenn die Programmdatei aus irgendwelchen Grnden ge”ffnet wird. Das k”nnten DOS-Operationen sein, wie z.B. ATTRIB, COPY, DIR, REN, oder auch Dateizugriffe durch Utility-Programme. /ACCESS verlangsamt jeden Dateizugriff um etwa 15 - 20 %. Deshalb ist eine Kombination mit /CF, /CV oder /CG nicht zu empfehlen. Die Option /ACCESS kann nicht mit /SWAP, /BOOT oder /COPY kombiniert werden. Die Option /ACCESS ist fr besonders gef„hrdete Bereiche, wie zum Beispiel offene Computerlabore in Universit„ten oder Softwareentwickler gedacht. Diese Option verhindert unter anderem, daá ein Entwickler eine infizierte Datei komprimiert und weitergibt. Achtung: /ACCESS muá anstelle von /COPY benutzt werden, wenn Kopiervorg„nge unter 4DOS oder WINDOWS Dateimanager berwacht werden sollen. /BOOT weist VSHIELD an, bei jedem Diskettenzugriff den Boot-Sektor zu berprfen. Diese Option funktioniert nicht in Verbindung mit dem WINDOWS-Dateimanager. Benutzen Sie deshalb ersatzweise innerhalb WINDOWS die Option /ACCESS. Die Optionen /ACCESS, /COPY und /SWAP k”nnen nicht gleichzeitig mit /BOOT benutzt werden. VSHIELD Version 5.61V116 Seite 8 Die Option /CERTIFY verhindert den Start von Programmen, die nicht durch SCAN angeh„ngte Prfsummen ausgestattet sind. /CERTIFY funktioniert nur dann, wenn /CF, /CG oder /CV benutzt wurde. Diese Option ist fr Systemverwalter gedacht, die Anwender daran hindern wollen, Programme aufzurufen, die Viren einschleusen k”nnten. Damit auch mit Programmen gearbeitet werden kann, die mit angeh„ngten Prfsummen nicht mehr einwandfrei arbeiten, k”nnen Sie eine Liste "berprfter" Programme erstellen. Eine Anleitung, wie eine solche Ausnahmeliste zu erstellen ist, finden Sie im Anhang A. HINWEIS: Die Anwendung von /CERTIFY ohne /CV oder eine Ausnahmeliste blockiert die Ausfhrung aller Programme, auáer der internen Befehle von DOS. Die Option /CF benutzt die Rettungsdaten, die mit VIRUSCAN /AF abgelegt wurden. Wenn eine Datei oder ein sonstiger kritischer Bereich ver„ndert wurde, so meldet VSHIELD, daá m”glicherweise eine Infektion vorliegt. Der Aufruf lautet /CF dateiname. Wobei dateiname die Datei angibt, in die mit scan /af die Prf- und Reparaturdaten geschrieben wurden. Die Option /CF vertr„gt sich nicht mit EMS und muá deshalb immer zusammen mit /NOEMS angewendet werden. Option /CG prft die Check- und Reparaturdaten, die mit scan /ag an die Dateien angeh„ngt wurden. Wenn eine Datei oder ein Systembereich ver„ndert wurde, meldet VSHIELD, daá eine Vireninfektion vorliegen k”nnte. Die Option /CHKHI prft auf Ger„ten mit den Prozessoren 80286/386/486 den oberen Speicherbereich (ber 640 KB). Dies schlieát den Upper Memory Bereich von 640 - 1024 KB und den High Memory Bereich von 1024 - 1088 KB ein. Diese Option kann nicht in Verbindung mit /NOMEM verwendet werden. Die Option /CONTACT zeigt auf dem Bildschirm eine beliebige Meldung an, wenn ein Virus gefunden wird. Eine solche Meldung kann 50 Zeichen lang sein, und jedes Zeichen auáer dem Backslash "\" enthalten. Wenn die Meldung mit einem Schr„gstrich "/" oder einem Bindestrich "-" anf„ngt, so muá die Meldung in Anfhrungszeichen geschrieben werden. Die Option /COPY erm”glicht es VSHIELD, Dateien auf Viren zu berprfen, wenn diese kopiert werden. In Verbindung mit COPY oder DIR wird der Bootsektor des Bootlaufwerks (Laufwerk A:) ebenfalls auf Viren berprft. Diese Option funktioniert nicht unter 4DOS und WINDOWS, deshalb sollten Sie in Verbindung mit diesen Programmen ersatzweise /ACCESS benutzen. /COPY ist zusammen mit den Optionen /ACCESS, /BOOT oder /SWAP nicht zul„ssig. Die Option /CV berprft die Prfcodes die von SCAN an .EXE und .COM- Dateien angeh„ngt wurden. Wenn eine Datei ver„ndert wurde, stimmen die Prfsummen nicht mehr berein und VSHIELD wird melden, daá die Datei ver„ndert wurde und eventuell eine Infektion stattgefunden haben k”nnte. Eine Anleitung zum Anh„ngen von Prfesummen finden Sie in der Dokumentation von VIRUSCAN. Die Option /F wird ben”tigt, wenn unter DOS 2.0 die Option /SWAP verwendet wird. Die Option /F teilt VSHIELD mit, von wo aus es geladen wurde. Nach dem F muá der vollst„ndige Pfadname angegeben werden. Die Option /IGNORE gibt an, bei welchen Laufwerken Programmstarts ignoriert werden sollen. Ignorierte Laufwerke werden nicht auf Viren berprft. Es k”nnen bis zu 26 Laufwerke ignoriert werden. Diese Option ist fr Netzwerke gedacht in denen Virenschutzmechanismen installiert wurden. Auf Stand-alone Rechnern oder Netzwerken ohne jegliche Virenschutzmechanismen sollten Sie diese Option nicht verwenden. Die Option /LH l„dt VSHIELD in den Upper Memory. Damit /LH verwendet werden kann, muá ein Speicherverwaltungsprogramm wie zum Beispiel EMM386.EXE von Microsoft (fr 386er bzw. 486er) oder QEMM von Quarterdeck (fr 286er, 386er und 486er), NetRoom von Helix oder 386^MAX von Qualitas eingesetzt werden. Diese Option kann nicht mit /SWAP kombiniert werden. VSHIELD Version 5.61V116 Seite 9 Die Option /LOCK blockiert das ganze System, falls ein Virus gefunden wird, so daá das System nicht infiziert werden kann. In diesem Fall sollten Sie die Option /CONTACT ebenfalls verwenden, um dem Anwender mitzuteilen was zu tun ist. Die Option /M weist VSHIELD an, den Speicher nach allen bekannten speicherresidenten Viren zu durchsuchen, bevor es sich selbst installiert. Standardm„áig sucht VSHIELD nur nach gef„hrlichen ("Stealth") Viren. Wird w„hrend der Installation ein gef„hrlicher Virus gefunden, bricht VSHIELD ab und weist den Anwender an, das System auszuschalten, von einer virenfreien DOS-Diskette neu zu starten und das System nach Viren zu durchsuchen. Eine Liste der gef„hrlichen Viren finden Sie in der Dokumentation zu VIRUSCAN. Diese Option kann mit /NOMEM nicht kombiniert werden. Mit der Option /NB durchsucht VSHIELD weder die Partitionstabelle, noch den Bootsektor. Dies gilt sowohl bei der Installation, als auch bei Neustarts. Die Option /NB kann benutzt werden, um VSHIELD vom Netzwerk- Server zu laden. Die Option /NI6510 verhindert ein Problem zwischen VSHIELD und Racal- Datacomm NI6510 Netzwerkkarten: Wenn ein PC neu gebootet wurde, traten pl”tzlich fehlerhafte Datenpakete im Netzwerk auf. Dieses Problem betrifft nur den NI6510. Auswirkungen auf andere Produkte treten nicht auf. Die Option /NOBREAK deaktivert die šberwachung der Tastenkombination Ctrl-Break bzw. Ctrl-C, so daá VSHIELD w„hrend der Installation nicht abgebrochen werden kann. Die Option /NOCONT hindert den Anwender daran, nach der Meldung "Proceed Anyway Y/N" mit nicht-geprften Programmen weiterzuarbeiten. Die Option /NODISK schaltet die šberprfung des Bootsektors und der Partitionstabelle w„hrend der Installation ab. Dadurch kann VSHIELD von einem Netzwerkserver geladen werden. Die Option /NOEMS muá angegeben werden, wenn EMS vorhanden ist aber von VSHIELD nicht genutzt werden soll. Dies ist unbedingt notwendig in Zusammenhang mit den Optionen /CF und /SWAP. /NOFLOPPY unterdrckt die šberprfung des Boot-Sektors von den Diskettenlaufwerken A: und B:. Die Option /NOMEM dient dazu, jegliche Speicherberprfung auf Viren w„hrend der Installation zu unterbinden. Sie sollte nur dann verwendet werden, wenn das System mit Sicherheit virenfrei ist. Diese Option kann nicht in Verbindung mit den Optionen /CHKHI oder /M verwendet werden. Die Option /NOREMOVE verhindert, daá VSHIELD mit der Option /REMOVE wieder aus dem Speicher entfernt werden kann. Diese Option kann nicht mit /REMOVE kombiniert werden. Die Option /ONLY teil VSHIELD mit, auf welchen Laufwerken Programmstarts berwacht werden sollen. Alle anderen Laufwerke werden ignoriert. Diese Option kann nicht mit /IGNORE kombiniert werden. Die Option /RECONNECT wird dazu benutzt, um, nachdem andere Programme wie zum Beispiel Netzwerktreiber oder Cacheprogramme Interruptvektoren verbogen haben, diese wieder in den ursprnglichen Zustand zu versetzen. So k”nnen Sie sich das permanente entfernen und neuladen von VSHILED sparen, wenn Sie sich in ein Netzwerk einloggen m”chten. Die Option /REMOVE destalliert VSHIELD und entfernt das Programm aus dem Speicher. Wenn andere speicherresidente Programme nach VSHIELD geladen wurden, so kann VSHIELD nicht entfernt werden. Diese Option kann mit der Option /NOREMOVE deaktivert werden. VSHIELD Version 5.61V116 Seite 10 VSHINST VSHINST erm”glicht es, ein Icon in der Windows-Oberfl„che zu installieren, mit dem man die VSHIELD-Meldungen aus- und einschalten kann. Um VSHINST zu starten, benutzen Sie den Befehl Datei- Ausfhren im Windows Dateimanager. Der volle Pfadname von VSHINST muá dabei angegeben werden. Das Programm VSHINST erzeugt eine Gruppe mit dem Namen MCAFEE im Windows-Verzeichnis und installiert in dieser Gruppe ein Icon fr VShield. Damit VSHINST richtig installiert werden kann und korrekt arbeiten kann muá der Windows Programm Manager als Shell voreingestellt sein; VSHWIN muá vorher mit der Windows-Option von Vshield installiert worden sein und Windows muá im geschtzten Modus laufen. Die Option /SAVE wird dazu verwendet, die angegebenen Parameter fr sp„tere Aufrufe zu speichern. Die Optionen werden gespeichert, indem die ausfhrbare Datei VSHIELD.EXE ver„ndert wird. So setzt der Aufruf VSHIELD /LH /M /NOBREAK /SAVE die Standardparameter von VSHIELD werden damit auf /LH, /M und /NOBREAK gesetzt. Wenn Sie VSHIELD nur mit /SAVE aufrufen, so werden die Parameter wieder entfernt und die Originalparameter restauriert. Die Option /SWAP veranlaát VSHIELD, nur seinen Kern (3 KByte) resident zu installieren und sich selbst bei Bedarf zu laden. Wenn nach /SWAP ein Pfad angegeben wird, so l„dt sich VSHIELD von diesem Pfad anstatt von dem Verzeichnis aus, von dem es gestartet wurde. In Verbindung mit der Option /COPY oder /ACCESS ist diese Option nicht zul„ssig. HINWEIS: Der Parameter /SWAP sollte nur dann verwendet werden, wenn der Computer ber einen begrenzten freien Speicher fr speicherresidente Programme verfgt. Es wird empfohlen VSHIELD wann immer m”glich ohne den Parameter /SWAP zu verwenden . Die Option /WINDOWS erlaubt die Ausgabe von Meldungen unter WINDOWS 3.x ber eine Windows-Dialogbox. Dies wird erreicht, durch die Installation von VSHWIN.EXE im Windows-Verzeichnis und einer Ver„nderung der WIN.INI Datei, damit VSHWIN bei jedem Windowsstart automatisch geladen wird. VSHIELD sucht beim Start mit der Option /WINDOWS nach einem Verzeichnis WINDOWS im aktuellen Laufwerk. Wenn WINDOWS dort nicht zu finden ist, muá der Pfad angegeben werden, in den VSHWIN.EXE installiert werden soll. ACHTUNG: Die Option /WINDOWS nimmt die notwendigen Erg„nzungen fr WINDOWS vor und muá nur einmal ausgefhrt werden. Wenn diese Option angegeben wird, ohne daá Windows gestartet wird, so hat dies keinen Einfluá. Damit VSHWIN unter Windows Meldungen ausgeben kann, muá VShield mit der Option /ACCESS gestartet werden. ERRORLEVELS VSHIELD setzt bei seiner Installierung den DOS Errorlevel wie folgt: Wert ³ Beschreibung ÄÄÄÄÄÄÅÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ 0 ³ keine Viren gefunden 1 ³ einen oder mehr Viren gefunden 2 ³ Programmabbruch (Fehler) VSHIELD Version 5.61V116 Seite 11 Zul„ssige Parameter von VSHIELD1 sind nachfolgend aufgefhrt: VSHIELD1 /NB /REMOVE Die Optionen sind: /NB - den Bootsektor bei der Installation und Neustarts nicht berprfen /REMOVE - VSHIELD1 aus dem Speicher entfernen Die Option /NB veranlaát VSHIELD1 dazu, den Bootsektor und die Partitionstabelle bei der Installation und Neustarts nicht zu berprfen. Durch /REMOVE wird VSHIELD1 aus dem Speicher entfernt. Wenn andere speicherresidente Programme nach VSHIELD1 geladen wurden, so kann VSHIELD1 nicht entfernt werden. Zul„ssige Parameter von CHKSHLD sind nachfolgende aufgefhrt: CHKSHLD /DEBUG /Q /V xxxxx /? /H /HELP Die Optionen sind: /DEBUG - Version und Errorlevel auf dem Bildschirm anzeigen /Q - Stiller Modus (Keine Anzeigen auf dem Bildschirm) /V xxxxx - šberprfen ob die Version 'xxxxx' von VSHIELD installiert ist /? /H /HELP - Hilfebildschirm anzeigen Die Option /DEBUG zeigt die Version des installierten (wenn resident) VSHIELD und den zurckgelieferten Errorlevel auf dem Bildschirm an. Die Option /Q unterdrckt die Anzeige von Informationen auf dem Bildschirm. Die Option /V prft, ob sich eine bestimmte Version von VSHIELD im Speicher befindet. Zum Beispiel "5.4 V104" fr die Version 5.4 V104. Achtung: Wenn zwischen der Release- und der Versionsnummer ein Leerzeichen vorkommt, muá der Ausdruck in Anfhrungszeichen gesetzt werden. Die Optionen /?, /H oder /HELP zeigen einen Hilfebildschirm an. DIE ERRORLEVEL VON CHKSHLD CHKSHLD setzt den Errorlevel auf einen der folgenden Werte: ERRORLEVEL ³ BESCHREIBUNG ÄÄÄÄÄÄÄÄÄÄÄÅÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ 0 ³ VSHIELD ist resident im Speicher, oder, falls /V ³ verwendet wurde, befindet sich die angegebene Version ³ resident im Speicher 1 ³ VSHIELD ist resident im Speicher, stimmt aber nicht ³ mit /V berein 2 ³ VSHIELD ist nicht resident im Speicher 3 ³ Programmabbruch (Fehler) VSHIELD Version 5.61V116 Seite 12 ANWENDUNG CHKSHLD ist prim„r fr Netzwerkverwalter gedacht, damit diese die Systeme der Anwender auf VSHIELD berprfen k”nnen, bevor sich diese ins Netz einloggen drfen. Fr private Anwender oder Anwender ohne Netzwerk ist dieses Programm nicht empfehlenswert. Ein Loginscript fr Novell NetWare finden Sie im Anhang B. BEISPIELE Die folgenden Beispiele zeigen Aufrufe mit verschiedenen Parametern: VSHIELD Um VSHIELD zu installieren (Schutzniveau II) VSHIELD /CV Um VSHIELD zu installieren (Schutzniveau III) VSHIELD /CERTIFY AUSNAHME.LST Um VSHIELD (Schutzniveau IV) mit der Ausnahmen-Liste AUSNAHME.LST zu installieren. VSHIELD /SWAP Um den Kern von VSHIELD resident zu installieren und den Rest vom Stammverzeichnis der Diskette/Festplatte bei DOS 3.0 Systemen oder darber nachzuladen VSHIELD /SWAP /F C:\VSHIELD.EXE Um den Kern von VSHIELD resident zu installieren und den Rest vom Stammverzeichnis der Diskette/Festplatte bei DOS 2.0- Systemen nachzuladen. VSHIELD /CV /CONTACT "Bitte an den Systembetreuer wenden" Um das Schutzniveau III von VSHIELD zu installieren und die Meldung zwischen den Anfhrungszeichen ausgeben, wenn ein Virus gefunden wird. VSHIELD /M /CHKHI /CV /LH /WINDOWS VSHIELD durchsucht den konventionellen Speicher, den Upper- Memory und den High-Memory nach allen speicherresidenten Viren bevor es sich selbst im oberen Speicher mit dem Schutzniveau II installiert, im windows-kompatiblen Modus. VSHIELD /RECONNECT VSHIELD nach dem Laden von Netzwerktreibern erneut aktivieren. CHKSHLD /V "5.4 V104" /Q Prft, ob die Version 5.4 V104 installiert ist. Es erscheit keine Meldung. VSHIELD Version 5.61V116 Seite 13 INSTALLATION Fr einen optimalen Schutz sollten Sie VSHIELD als letzten Eintrag in die AUTOEXEC.BAT aufnehmen. Wenn Sie mit einer Benutzeroberfl„che arbeiten, dann rufen Sie VSHIELD in der AUTOEXEC.BAT vor dieser Benutzeroberfl„che auf. EIN HINWEIS ZU VSHIELD IN NETZWERKEN Wenn Sie Netzwerktreiber verwenden, so *MUSS* VSHIELD NACH den Netzwerktreibern mit /RECONNECT erneut aufgerufen werden. VSHIELD kann sonst Programmaufrufe nicht mehr wahrnehmen, weil die Netzwerktreiber die Systeminterrupts von DOS ersetzen. Es wird empfohlen, daá VSHIELD nicht im Swap-Modus betrieben wird, sofern der Arbeitspeicher dies zul„át. Die Option /SWAP verkabgsant das System und kann in Verbindung mit Programmen die den Speicher nicht korrekt anfordern Probleme verursachen. Sollten Probleme auftreten, entfernen Sie den Parameter /SWAP und booten Sie das Ger„t neu. Verfgen Sie nicht ber ausreichend Speicher um VSHIELD ohne den Swap-Modus zu betreiben, so verwenden Sie stattdessen VSHIELD1. Netzwerke, auáer dem Microsoft LAN Manager, deren Workstations unter Windows 3.0 auf einem HPLJ II (oder kompatibel) ber das Netzwerk drucken wollen, k”nnten Probleme mit Datensalat am Drucker bekommen, wenn VSHIELD installiert ist. Dies ist der Fall, weil andere Netzwerktreiber den Drucker unter Umst„nden nicht richtig umleiten. Das Problem kann behoben werden, indem der Text "LPT1:" durch "LPT1.PRN" ersetzt oder auf Windows 3.1 upgedatet wird. "LPT1.OS2:" in der WIN.INI darf nicht ge„ndert werden. Startet man VSHIELD von einem Netzwerk-Laufwerk, so sollte man fr VSHIELD die Attribute EXECUTE ONLY, READ ONLY und SHAREABLE vergeben. Wenn die Arbeitsstation von einem lokalen Laufwerk gebootet wird, dann ist /NODISK anzugeben. Wird die Arbeitsstation ber eine BOOT ROM auf einer Netzwerkkarte gebootet, dann gibt man als Option /NB an. VSHIELD Version 5.61V116 Seite 14 DAS ENTFERNEN VON VIREN Was sollen Sie tun, wenn Sie einen Virus finden? Hilfestellung bei der manuellen Entfernung von Viren, Virenentfernungsprogramme und weitere Informationen ber den Virus k”nnen Sie bei Kirschbaum Software GmbH bekommen. Es gibt auch noch das universelle Virenentfernungsprogramm CLEAN-UP, das die meisten bekannten Viren entfernt. Zusammen mit SCAN wird es regelm„áig upgedated um auch neue Viren entfernen zu k”nnen. Auch dieses Programm k”nnen Sie entweder bei Kirschbaum Software GmbH kaufen oder von der Mailbox bei McAfee Associates, dem McAfee Virus Help Forum in CompuServe oder dem mcafee.COM Archiv im Internet downloaden. Es wird w„rmstens empfohlen, daá Sie auf fachm„nnische Hilfe zurckgreifen, wenn Sie mit Viren umgehen mssen und im Umgang mit Antivirenprodukten bzw. Virenschutzmethoden unerfahren sind. Dies trifft besonders bei kritischen Viren und Partitionstabellen- und Bootsektorviren zu, da eine nicht sachgem„áe Entfernung dieser Viren einen Verlust aller Daten auf der/den infizierten Diskette(n) verursachen kann. Eine Liste der kritischen Viren finden Sie in der Dokumenation von VIRUSCAN. Bitte wenden Sie sich an die Firma Kirschbaum Software GmbH, wenn Sie Hilfe bei der Entfernung von Viren ben”tigen. Wenn Sie einen Dateien befallenden Virus von Hand entfernen wollen, so k”nnen Sie alle infizierten Dateien mit den Parametern /A und /D von SCAN berschreiben und l”schen. Bevor Sie einen Bootsektor- oder Partitionstabellenvirus entfernen, sollten Sie mit einer virenfreien Diskette einen Kaltstart durchfhren und alle wichtigen Daten sichern. REGISTRIERUNG Sollten Sie noch nicht registriert sein, so wenden Sie sich bitte an Kirschbaum Software GmbH Kronau 15 D-83550 Emmering bei Wbg. Tel. 0 80 67 / 10 16 Fax 0 80 67 / 10 53 Dort k”nnen Sie alle Modalit„ten zur Registrierung der Produkte von McAfee Associates erfahren. Einmal registriert, brauchen Sie sich brigens um die Beschaffung der jeweils aktuellen Version keine Gedanken mehr zu machen. Die regelm„áige Zusendung der aktuellen Versionen ist in der Registriergebhr enthalten. VSHIELD Version 5.61V116 Seite 15 TECHNISCHER SUPPORT Um einen schnellen und effektiven Support zu erleichtern, werden Sie gebeten bei Rckfragen die folgenden Informationen bereit zu halten: - den Namen und die Version des Programmes - Typ und Hersteller des Computers, der Festplatte sowie aller Peripherieger„te - die Versionsnummer des von Ihnen verwendeten Betriebssystems, sowie der verwendeten TSR-Programme und Systemtreiber - Ausdrucke von CONFIG.SYS und AUTOEXEC.BAT - Einen Ausdruck vom Speicherinhalt wie er zum Beispiel von MEM (erst ab DOS 4.0) oder „hnlichen Programmen erstellt wird - Eine genaue Beschreibung Ihres Problems. Bitte seien Sie so genau wie m”glich. Hilfreich ist, wenn Sie eine Hardcopy Ihres Bildschirms haben bzw. sich am Computer befinden. Die Hotline der Firma Kirschbaum Software GmbH ist von Montag bis Freitag in der Zeit von 9.00 Uhr bis 16.00 Uhr zu erreichen. Per Fax k”nnen Sie uns rund um die Uhr erreichen. Kirschbaum Software GmbH Tel. 0 80 67 / 10 16 Kronau 15 Fax. 0 80 67 / 10 53 D-83550 Emmering bei Wbg. VSHIELD Version 5.61V116 Seite 16 ANHANG A: Das Erstellen einer Ausnahmeliste fr die Option /CERTIFY HINWEIS: Die Option /CERTIFY ist fr die F„lle vorgesehen, wo von nicht geprfter Software ein erh”htes Infektionsrisiko ausgeht. Diese Option ist nicht geeignet, wenn in regelm„áigen Abst„nden neue Software in ein System eingebracht werden soll. Wenn die Ausnahmeliste mit einem Editor oder einer Textverarbeitung erstellt wird, muá diese als reiner ASCII-Text abgespeichert werden. Stellen Sie sicher, daá jede Zeile mit einem Wagenrcklauf (CR) und Zeilenvorschub (LF) abgeschlossen wird. Wird /CERTIFY in Verbindung mit /CV gestartet, so k”nnen nur Dateien gestartet werden, an die mit VIRUSCAN Prfsummen angefgt wurden bzw. die in der Ausnahmeliste enthalten sind. Wird /CERTIFY in Verbindung mit /CV und einer Ausnahmeliste aber ohne SCAN-Prfsummen betrieben, k”nnen nur die Programme aufgerufen werden, die in der Ausnahmeliste aufgefhrt sind. Die Ausnahmeliste hat folgendes Format: l:\pfadnam1\datein1.erw *Kommentar . . l:\pfadnamx\dateinx.erw *weitere Kommentare "l:" steht dabei fr das Laufwerk, "\pfadnam1\" steht fr den Pfadnamen und "datein1.erw" steht fr den Namen einschlieálich Namenserweiterung dieser Datei. Eine Ausnahmeliste kann bis zu 1.000 Zeichen umfassen. Kommentarzeilen beginnen mit einem Stern "*" und werden von VSHIELD ignoriert. Wird /CERTIFY ohne eine Ausnahmeliste installiert, so k”nnen nur interne DOS-Befehle ausgefhrt werden. Es k”nnen dann keinerlei Programme gestartet werden. VSHIELD Version 5.61V116 Seite 17 Anhang B: Verschiedene Anwendungshinweise BEISPIEL EINES NOVELL LOGIN-SCRIPTS UND EINER BATCH-DATEI FšR VSHIELD UND CHKSHLD Das folgende Listing ist ein Beispiel fr ein Login-Script fr einen Netzwerkverwalter unter Novell NetWare. Das Login-Script ermittelt den ERRORLEVEL von Novell NetWare und zeigt dann auf dem Anwenderbildschirm die Fehlermeldungen an. Das Script wechselt dann in eine Batchdatei, das den Anwender ausloggt, wenn mit CHKSHLD ein interner Fehler aufgetreten ist, VSHIELD nicht installiert wurde oder auf dem einloggenden Rechner eine „ltere Version installiert ist. (Anfang des Novell Einloggsscripts) #CHKSHLD /V "5.4 V104" IF ERROR_LEVEL = "3" THEN FIRE PHASERS 5 TIMES WRITE "In CHKSHLD ist ein interner Fehler aufgetreten." WRITE "Bitte wenden Sie sich an den Systemverwalter." #COMMAND /C NOLOGIN.BAT EXIT ELSE IF ERROR_LEVEL = "2" THEN FIRE PHASERS 5 TIMES WRITE "VSHIELD ist auf Ihrem Rechner nicht installiert." WRITE "Zugriff verweigert." WRITE "Bitte wenden Sie sich an den Systemverwalter." #COMMAND /C NOLOGIN.BAT EXIT ELSE IF ERROR_LEVEL = "1" THEN FIRE PHASERS 5 TIMES WRITE "Es ist eine alte Version von VSHIELD installiert." WRITE "Der Netzwerkzugriff wurde verweigert." WRITE "Bitten Sie den Systemverwalter eine neue Version" WRITE "zu installieren." #COMMAND /C NOLOGIN.BAT EXIT END END END (Ende des Novell Einloggsscripts) (Anfang der Beispieldatei NOLOGIN.BAT) ECHO OFF REM Den Anwender aus dem Netzwerk ausloggen LOGOUT (Ende der Beispieldatei NOLOGIN.BAT) Natrlich k”nnen auch komplexere Login-Scripts erstellt werden, die z.B. an den Supervisor eine Nachricht bermitteln wenn ein Fehler auftritt oder die Version von VSHIELD aktualisieren, wenn der Anwender sich einloggt und so weiter. Dieses Beispiel soll auch nur als Beispiel fr die Anwendung von CHKSHLD dienen. Aus Sicherheitgrnden wird empfohlen die Datei NOLOGIN.BAT auf dem lokalen Laufwerk des Anwenders anzulegen.