home *** CD-ROM | disk | FTP | other *** search
/ Software 2000 / Software 2000 Volume 1 (Disc 1 of 2).iso / utilities / u584.dms / in.adf / German Killer / VT.Anleitung < prev    next >
Encoding:
Text File  |  1991-01-12  |  28.9 KB  |  769 lines
  1. Vt.Anleitung                                  Letzte Änderung 10.01.1991
  2. ------------------------------------------------------------------------
  3.  
  4.  
  5. 0. Inhaltsverzeichnis
  6.    ==================
  7.  
  8.     0. Inhaltsverzeichnis
  9.     1. Programmvoraussetzungen
  10.     2. Installation
  11.     3. Start aus dem CLI
  12.     4. Start von der Workbench
  13.     5. Nach dem Programmstart
  14.        5.1 Test auf KickRom
  15.        5.2 Test auf PAL-Screen
  16.        5.3 Vectortest
  17.            5.3.1 Vectoren unverändert
  18.            5.3.2 Virus gefunden (Methode 1)
  19.            5.3.3 Virus gefunden (Methode 2)
  20.            5.3.4 unbekanntes Programm gefunden
  21.        5.4 Programmvirentest Startup-sequence
  22.        5.5 Bootblocktest
  23.     6. Das Arbeitsmenü
  24.        6.1 Das Arbeitsfenster
  25.        6.2 Der Filerequester
  26.        6.3 Bootblöcke und Dateien laden und testen
  27.        6.4 Bootblöcke speichern und testen
  28.        6.5 Programmvirentest
  29.        6.6 Originalvectoren setzen
  30.        6.7 Startup-sequence einlesen
  31.        6.8 Ende
  32.     7. Tips zur Virenentfernung
  33.     8. Fehler und Unzulänglichkeiten
  34.     9. Zukunft und Kontaktadresse
  35.  
  36.  
  37. 1. Programmvoraussetzungen
  38.    =======================
  39.  
  40.       - fuer den PrgAblauf werden bis zu 95KB ChipMem benoetigt:
  41.         30KB eigenes Prg (mit Stack u. Speicher, fest im Prg. eingebaut)
  42.         30KB Hauptfenster (Betriebssystem)
  43.         15-20KB fuer Requester (Betriebssystem)
  44.         5KB kurzfristig fuer neu eingelegte Disk (Betriebssystem)
  45.         10KB FileRequester
  46.  
  47.       - KickStart (KickRom) V1.2 oder V1.3
  48.  
  49.       - KickEprom V2.0 fuer A2000C (exec 36.1000) = Kick 36.141
  50.         laeuft nicht mit exec 36.1010
  51.  
  52.       - PalScreen  (geht nicht immer, ist Commodore bekannt !!)
  53.  
  54.  
  55. 2. Installation
  56.    ============
  57.  
  58.    Vt fühlt sich überall wohl. Das Programm kann in jedem x-beliebigen
  59.    Verzeichnis abgelegt werden.
  60.  
  61.  
  62. 3. Start aus dem CLI
  63.    =================
  64.  
  65.                   Vtx.xx [-vz] [-bt] <RETURN>
  66.  
  67.    x.xx steht für die jeweilige Programmversion, also z.B.:
  68.  
  69.                   Vt2.05 -vz <RETURN>
  70.  
  71.    mit
  72.                   Vt.x.xx ? <RETURN>
  73.  
  74.    erhält man einen kleinen Hilfstext angezeigt. Die Parameter sind
  75.    optional und haben folgenden Bedeutung:
  76.  
  77.    -vz        Vt untersucht die Systemvektoren. Falls diese OK sind, wird
  78.               der Vt beendet! Dadurch kann man ihn hervorragend in die
  79.               Startup-sequence einbinden (möglichst spät, damit er even-
  80.               tuelle über die Startup-sequence ins System eindringende
  81.               Viren erkennt) ohne daß er mit seinem Arbeitsfenster er-
  82.               scheint. In diesem Falle überprüft er nur verschiedene Vec-
  83.               toren, den Bootblock in DF0: (siehe -bt) und eventuell die
  84.               Startup-sequence in df0:s/ und läßt danach die Startup-
  85.               sequence ihre Arbeit beenden.
  86.  
  87.    -bt        Der Bootblock von DF0: wird beim Programmstart NICHT getestet.
  88.               Dies veringert natürlich auch den Schutz.
  89.  
  90.  
  91. 4. Start von der Workbench
  92.    =======================
  93.  
  94.    Selbiger erfolgt wie üblich durch einen Doppelklick auf das Icon von Vt.
  95.  
  96.  
  97. 5. Nach dem Start
  98.    ==============
  99.  
  100.    Nach dem Start (siehe 3. bzw. 4.) führt der Vt IMMER automatisch folgende
  101.    Schritte durch:
  102.  
  103.    - Test auf KickRomV1.2, V1.3 oder V2.0
  104.    - Test auf PAL-Screen
  105.    - ein Fenster wird geoeffnet (muss immer kurz erscheinen !!!)
  106.    - einige Vectoren werden getestet und angezeigt
  107.    - Test von DF0:s/Startup-sequence auf Programmviren
  108.    - der Bootblock in DF0: wird überprüft
  109.  
  110.  
  111. 5.1   Test auf KickRom
  112.       ----------------
  113.       Vt untersucht und erkennt automatisch welche Kickstart Version das
  114.       aufrufende System benutzt. Außerdem erhält man in der Kopfzeile
  115.       Informationen über Chip- und Fastmen sowie den benutzen Prozessortyp.
  116.  
  117. 5.2   Test auf PAL-Screen
  118.       -------------------
  119.       Vt arbeitet NUR mit der PAL-Bildschirmauflösung. Falls dieselbe nicht
  120.       vorhanden ist, bietet Vt einen Requester an, mit dem man einen Reset
  121.       (KReset) durchführen kann. Dies wird angeboten, da im KickRom 1.2 und
  122.       1.3 ein Fehler vorhanden ist, der dazu führt, daß der AMIGA im NTSC-
  123.       Modus bootet, obwohl man ihn auf PAL eingestellt hatte. Wer seinen
  124.       AMIGA in NTSC-Auflösung benutzt, kann den Vt NICHT einsetzen.
  125.  
  126.  
  127. 5.3   Vectortest
  128.       ----------
  129.       Vt untersucht einige Systemvektoren und zeigt diese auf dem Bild-
  130.       schirm an. Dabei wird immer der "Normalzustand" dieser Vektoren zum
  131.       Vergleich mit angezeigt. Dabei sind verschiedenen Ergebnisse möglich:
  132.  
  133.  
  134.    5.3.1 Die Vectoren sind unverändert.
  135.  
  136.       Vt verzweigt in das Hauptmenü (es sei denn der Start erfolgte mit
  137.       -vz, dann Programmende) nachdem er den Bootblockcheck (es sei denn
  138.       Aufruf mit -bt) überprüft hatte.
  139.  
  140.  
  141.    5.3.2 Vt hat einen ihm bekannten Virus gefunden (Methode 1)
  142.  
  143.       - Der Name des gefundenen Virus wird ausgegeben.
  144.       - Die entsprechenden Vectoren werden angezeigt und zurückgesetzt.
  145.       - Das Virusprogramm wird mit Nullen überschrieben (ein Reset ist
  146.         deshalb nicht erforderlich).
  147.       - Nach 2 Sekunden Programmende
  148.  
  149.  
  150.    5.3.3 Vt hat einen ihm bekannten Virus gefunden (Methode 2)
  151.  
  152.       Aus programmtechnischen Gründen, ist es bei einigen Viren (z.B.
  153.       Extreme) notwendig, bereits vor der Vectoranzeige das Virusprogramm
  154.       zu löschen und mit Nullen aufzufüllen. Es erscheint dann der folgende
  155.       Requester:
  156.                            XYZ-NameVirus
  157.                           war im Speicher
  158.                 Weiter                     Weiter
  159.  
  160.  
  161.    5.3.4 Vt hat einen Virus gefunden, den ich nicht habe
  162.  
  163.       Der Requester enthält vier umgedrehte Fragezeigen. Das jeweils eine
  164.       Testlangwort, wurde teilweise aus dem SourceCode mehrerer bekannter
  165.       Virenschutzprogramme (PD) entnommen. Der Vt bietet in diesem Fall
  166.       zwei Möglichkeiten an "KReset" und "Weiter" (siehe 5.3.5).
  167.  
  168.  
  169.    5.3.5 Vt hat ein ihm unbekanntes Programm entdeckt
  170.  
  171.       In diesem Falle erscheint der folgende Requester:
  172.  
  173.                        unbekanntes Programm
  174.                            im Speicher
  175.                    KReset                 Weiter
  176.  
  177.       Bei einem Klick auf "Weiter" werden keine Veränderungen vorgenommen
  178.       und der Vt wird beendet.
  179.  
  180.       Bei einem Klick auf "KReset" werden die Vectoren zurückgesetzt und
  181.       ein Reset wird ausgelöst (mit Romstartberechnung für Kick2.0). Dieser
  182.       Weg wurde gewählt, damit zukünftige Viren mit eigenen Task (hier
  183.       reicht das Zurücksetzen der Vectoren nicht mehr, sondern es muß auch
  184.       der Task entfernt werden) gelöscht werden können, ohne den Computer
  185.       auszuschalten.
  186.  
  187.  
  188. 5.4   Nach dem Vectortest macht Vt einen einfacher Programmvirentest für
  189.       die Startup-Sequence.
  190.  
  191.       Er untersucht die Datei df0:s/startup-sequence (und nur diese). Aus
  192.       diesem Grunde MUSS das Laufwerk df0: (natürlich nur wenn eine Disk im
  193.       Laufwerk ist)kurz anlaufen, damit der Vt die Datei einlesen kann.
  194.       Viren werden bisher nur erkannt und NICHT gelöscht. Folgende
  195.       Anstrengungen unternimmt der Vt zur Zeit:
  196.  
  197.       - Test auf Orginal Disk-Validator KS1.2/3   Länge : 1848 Bytes
  198.  
  199.       - Test auf langen Disk-Validator            Laenge: 1892 Bytes
  200.         Herkunft unbekannt, aber harmlos
  201.  
  202.       - Suche nach BGS9 I in DF0:devs
  203.         Name: A0A0A0202020A0202020A0 (für das verschobene OrgPrg.)
  204.         also ein indirekter BGS9 I-Test
  205.  
  206.       - Suche nach BGS9 II in DF0:devs
  207.         Name: A0E0A0202020A0202020A0 (für das verschobene OrgPrg.)
  208.         also ein indirekter BGS9 II-Test
  209.  
  210.       - Suche nach Terrorists in DF0:
  211.         Name: A0202020A02020A020A0A0 (fuer das verschobene OrgPrg.)
  212.         also ein indirekter Terrorists-Test
  213.  
  214.       - Suche nach Disaster Master V2 in DF0:s
  215.         Name in startup: cls *
  216.         WICHTIG: Der Test erfolgt nur auf den 1. Befehl!
  217.  
  218.       - Suche nach JEFF-BUTONIC-Namen V3.00 in DF0:s
  219.         Name in startup: A0A0A0209B41
  220.         WICHTIG: Der Test erfolgt nur auf den 1. Befehl!
  221.  
  222.       - Suche nach Revenge of the Lamer I+II in DF0:
  223.         Name: A0A0A0A0A0
  224.  
  225.       - Test auf verschiedene Tarnnamen von Jeff-Butonic V1.31
  226.  
  227.       - Test auf TimeBomb V0.9
  228.  
  229.       - Test auf Timebomber
  230.  
  231.  
  232.  
  233. 5.5   Bootblocktest DF0:
  234.  
  235.       Vt untersucht automatisch den Bootblock der Diskette im Laufwerk DF0:
  236.       (also im internen Laufwerk). Mit der Option -bt wird dieser Test ab-
  237.       geschaltet. Es wird NUR DF0: untersucht. Wenn keine Diskette einge-
  238.       legt ist unterbleibt der Test. Selbstverständlich muß das Laufwerk
  239.       kurz anlaufen damit der Vt den Bootblock einlesen kann. Falls ein
  240.       anormaler Bootblock entdeckt wurde, verzweigt der Vt in das
  241.       Arbeitsmenü.
  242.  
  243.  
  244.  
  245. 6. Das Arbeitsmenü
  246.    ---------------
  247.  
  248.    Hierhin gelangt man nur, wenn die Option -vz nicht gesetzt (und keine
  249.    verdächtige Veränderung der Vectoren festgestellt) oder aber ein
  250.    Nichstandardbootblock in DF0: erkannt wurde. Es erscheint ein großes
  251.    Fenster über den gesamten PAL-Bildschirm. Im oberen Bereich gibt es
  252.    verschiedene Gadgets mittels welcher der Vt bedient wird. Den Rest des
  253.    Bildschirms belegt eine HEX- bzw. ASCII-Darstellung der bearbeiteten
  254.    Bootblöcke bzw. Files.
  255.  
  256.    Falls Sie Schreibzugriffe auf ihre Disketten planen, sollten Sie zwei
  257.    Sicherheitsvorkehrungen beachten:
  258.  
  259.        - Setzen Sie die Originalvectoren, auch wenn Sie deshalb ein reset-
  260.          festes Programm erneut laden müssen (vorher aber den Inhalt von
  261.          RAD: bzw. VD0: auf Diskette speichern).
  262.  
  263.        - Arbeiten Sie immer mit einer Sicherheitskopie (Auch mir könnten
  264.          Fehler unterlaufen)
  265.  
  266.  
  267. 6.1   Das Arbeitsfenster
  268.       ------------------
  269.       Vt öffnet ein rahmen- und gadgetloses Fenster auf dem Workbench-
  270.       screen. In seinem oberen Bereich des Bildschirms befinden sich die
  271.       Bedienungselemente des Vt. Von links nach rechts erstrecken  ich
  272.       4 größere orangefarben umrandete Felder deren Funktionen später
  273.       erklärt werden. Am rechten Rand befinden sich dann noch einige
  274.       Gadgets (grün bzw. orange umrandet).
  275.  
  276.       Der gesamte Bereich unterhalb dieses Bedienfeldes dient der
  277.       gleichzeitigen HEX- und ASCII-Anzeige von Bootblöcken bzw.
  278.       eingeladenen Dateien.
  279.  
  280.       ACHTUNG: Vt arbeitet ohne jegliche Sicherheitsabfrage. Also erst
  281.                denken und dann klicken.
  282.  
  283.  
  284. 6.2   Der Filerequester
  285.       -----------------
  286.       Vt arbeitet mit einem eigenen Filerequester der sich kaum von
  287.       von anderen Filerequestern unterscheidet. Somit sollte es keinerlei
  288.       Probleme bei seiner Bedienung geben. Der Requester kann komplett mit
  289.       der Maus bedient werden.
  290.  
  291.       ACHTUNG:  Bei der Verwendung von DMouse, Mach oder ähnlichen
  292.                 Utilities kann es passieren, daß der Filerequester durch
  293.                 hinter das Fenster des Vt rutscht. Im Arbeitsfenster werden
  294.                 dann keine Befehle mehr angenommen. In diesem Fall muß
  295.                 zuerst der Requester wieder in den Vordergrund gebracht
  296.                 (Bei DMouse geschieht das in der Standardeinstellung durch
  297.                 Drücken und Festhalten der linken und anschließendes
  298.                 Drücken der rechten Maustaste) und beendet werden. Dieses
  299.                 Problem ist von grundsätzlicher Natur und tritt bei allen
  300.                 Programmen auf.
  301.  
  302.  
  303.       Laufwerksgadgets:
  304.  
  305.       Das entsprechende Verzeichnis wird nach einem Klick auf eines dieser
  306.       Gadgets eingeladen. Bei mehr als 200 Einträgen pro Verzeichnis wird
  307.       es Schwierigkeiten geben. 200 Eintragungen sollten allerdings auch
  308.       für DH0:c ausreichend sein. Reserviert sind 200 x 30 = 6000 Bytes +
  309.       500 Bytes (Reserve).
  310.  
  311.       Das eingelesene Verzeichnis wird in der großen Liste angezeigt.
  312.       Unterverzeichnisse und Dateien sind jeweils alphabetisch sortiert,
  313.       wobei die Unterverzeichnisse (orange) am oberen Ende der Liste sind.
  314.       Falls die Liste mehr als 10 Eintragungen umfaßt, kann sie mittels des
  315.       Scrollbalkens an der rechten verschoben werden.
  316.  
  317.       Unterverzeichnisse (orange) werden mit einem Mausklick angewählt und
  318.       danach eingelesen.
  319.  
  320.  
  321.       Ende:
  322.  
  323.       Mit einem Klick auf Ende wird der Filerequester ohne eine Auswahl zu
  324.       treffen verlassen.
  325.  
  326.  
  327.       Parent:
  328.  
  329.       Mit einem Klick auf Parent gelangt man in das nächst höhere Ver-
  330.       zeichnis, sofern es ein solches gibt.
  331.  
  332.  
  333.       Pfad:
  334.  
  335.       Hier wird der Pfadnamen des in der Liste angezeigten Verzeichnisses
  336.       angegeben.
  337.       Es handelt sich um ein Stringgadget mit maximal 255 Zeichen Länge.
  338.       Man kann es anklicken und dann den Pfadnamen über die Tastatur
  339.       eingeben. Mit rechte Amigataste + x wird der Inhalt des Gadgets
  340.       gelöscht.
  341.       Das Gadget hat auch einen Undo-Puffer. D.h. solange es nicht
  342.       verlassen wird kann man seinen alten Inhalt durch Drücken der rechten
  343.       Amigataste + q wiederherstellen.
  344.       Links und rechts scrollen erfolgt mit den Cursortasten.
  345.       Über die Tastatur eingegebene Pfadnamen müssen sich an die normalen
  346.       Konventionen halten. D.h. ":" und "/" dürfen nicht vergessen werden.
  347.       Am Ende des Pfadnamens darf kein "/" stehen. Ein Beispiel:
  348.  
  349.          sys:devs/keymaps <RETURN>
  350.  
  351.  
  352.       Datei:
  353.  
  354.       Hier wird der Name der ausgewählten angezeigt. Es handelt sich
  355.       ebenfalls um ein Stringgadget mit Undo-Puffer.
  356.  
  357.  
  358.       DateiRe:
  359.  
  360.       Stringgadget mit Undo-Puffer. Hier wird der bei der Renamefunktion
  361.       verwendete Dateinamen INCLUSIVE kompletter Pfadangabe eingegeben. Der
  362.       komplette Pfad ist erforderlich da sich die Unterverzeichnisse der
  363.       alten und der neuen Datei unterscheiden können.
  364.  
  365.  
  366.       Rename:
  367.  
  368.       Die ausgewählte Datei (siehe Pfad: und Datei:) wird gelöscht und
  369.       in die in DateiRe: angegebene Datei kopiert. Das Löschen funktioniert
  370.       nur, wenn vorher die neue Datei erzeugt werden konnte.
  371.  
  372.       ACHTUNG: Ein Rename über verschiedene Laufwerke wird von AmigaDos
  373.                nicht unterstützt. Es gelt also z.B. nicht:
  374.  
  375.                     Pfad   : sys:devs
  376.                     Datei  : mountlist
  377.                     DateiRe: ram:mountlist
  378.  
  379.  
  380.       Delete:
  381.  
  382.       Mit einem Klick auf dieses Gadget versucht der Vt. die ausgewählte
  383.       Datei (siehe Pfad: und Datei:) zu löschen. Nötigenfalls werden vorher
  384.       die Schutzbits der betreffenden Datei gelöscht.
  385.  
  386.       Hinweis: Ich kenne drei Löschschutzvarianten, die das Löschen einer
  387.                Datei mit DOS-Routinen verhindern, also auch mit dem
  388.                Vt. nicht gelöscht werden können. Abhilfe schafft dann
  389.                nur der Einsatz eines Diskmonitors.
  390.  
  391.  
  392.       Save:
  393.  
  394.       Mit einem Klick auf dieses Gadget versucht der Vt. den Inhalt des
  395.       Speichers unter dem angegebenen Namen (siehe Pfad: und Datei:)
  396.       abzuspeichern. Es werden nur Bootblöcke, bzw. 1024 Bytes
  397.       abgespeichert.
  398.  
  399.       ACHTUNG: Auch hier gibt es keine Sicherheitsabfrage. Es ist
  400.                dringendst zu empfehlen, den Dateinamen grundsätzlich über
  401.                die Tastatur einzugeben. Mit der Maus ausgewählte und somit
  402.                bereits existierende Dateien werden ohne Rückfrage
  403.                überschrieben.
  404.  
  405.  
  406.       Load:
  407.  
  408.       Mit einem Klick auf dieses Gadget versucht der Vt. die ausgewählte
  409.       Datei (siehe Pfad: und Datei:) in den Speicher zu laden und
  410.       anzuzeigen. Allerdings werden nur die ersten 1024 Bytes eingelesen
  411.       und angezeigt (siehe Block-Gadget). Eigentlich ist diese Funktion
  412.       zum Laden eines gespeicherten Bootblocks gedacht, aber man kann
  413.       damit jede beliebige Datei (z.B. startupII) laden und die ersten 1024
  414.       Bytes anschauen.
  415.  
  416.  
  417.       Status:
  418.  
  419.       Hier werden die Fehlermeldungen des Filerequesters angegeben.
  420.  
  421.  
  422. 6.2   Bootblöcke und Dateien laden und testen
  423.       ---------------------------------------
  424.       Dies ist der orangefarbene Block am linken Rand. In seiner untersten
  425.       Zeile steht -> Speicher. Hiermit können Bootblöcke bzw. archivierte
  426.       Bootblöcke oder andere Dateien in den Speicher geladen und auf Viren
  427.       überprüft werden.
  428.  
  429.  
  430.       Laufwerksgadgets:
  431.  
  432.       Nicht angeschlossene Laufwerke sind schraffiert dargestellt. Durch
  433.       Klick auf ein angeschlossenes Laufwerk wird der Bootblock der dort
  434.       eingelegten Disk in den Speicher eingelesen auf drei Langwörter
  435.       getestet und auf dem Bildschirm angezeigt. Sollten ein Virenname und
  436.       vier umgedrehte Fragezeichen erscheinen, so besitze ich diesen
  437.       Bootblockvirus NICHT und habe ein entsprechendes Langwort in einer
  438.       Veröffentlichung gefunden. Hier lehne ich jede Verantwortung ab!
  439.       Bitte schicken Sie diese Bootblöcke an mich!
  440.  
  441.  
  442.       File
  443.  
  444.       Durch einen Klick auf dieses Gadget wird der Filerequester aufge-
  445.       rufen. Es können alle unter 6.1 beschriebenen Funktionen benutzt
  446.       werden. Es ist somit auch möglich, einen früher archivierten
  447.       Bootblock wieder in den Speicher zu laden um ihn dann wieder auf
  448.       Disk zu schreiben.
  449.  
  450.  
  451.  
  452. 6.3   Bootblöcke schreiben und archivieren
  453.       ------------------------------------
  454.       Dies ist der zweite orangefarbene Block von links. In seiner
  455.       obersten Zeile steht Speicher ->. Hiermit können Bootblöcke bzw.
  456.       archivierte Bootblöcke archiviert bzw. installiert werden.
  457.  
  458.  
  459.       Laufwerksgadgets:
  460.  
  461.       Nicht angeschlossene Laufwerke sind schraffiert dargestellt. Durch
  462.       Klick auf ein angeschlossenes Laufwerk wird die im Speicher befind-
  463.       liche Datei (1024 Bytes!) in den Bootblock der dort eingelegten Disk
  464.       geschrieben. Damit ist es also auch möglich Bootblöcke zu kopieren.
  465.  
  466.       ACHTUNG: Auch hier gibt es keine Sicherheitsabfrage. Wer hier
  467.                voreilig klickt, riskiert den Verlust seines möglicherweise
  468.                wichtigen Bootblocks. Als Sicherheitsmaßnahme sei hier der
  469.                im übrigen immer noch wirksamste Schutz vor Bootblockviren,
  470.                der Schreibschutz der Diskette, empfohlen.
  471.  
  472.  
  473.       File
  474.  
  475.       Durch einen Klick auf dieses Gadget wird der Filerequester aufge-
  476.       rufen. Es können alle unter 6.1 beschriebenen Funktionen benutzt
  477.       werden. Achtung bei der Benutzung des Filerequesters stehen IMMER
  478.       dessen sämtliche Funktionen zur Verfügung, egal aus welchem
  479.       Programmteil er aufgerufen wurde.
  480.  
  481.  
  482.  
  483. 6.4.  Bootblöcke bearbeiten
  484.       ---------------------
  485.       Dies ist der dritte orangefarbene Block von links. In seiner obersten
  486.       Zeile steht Speicher. Hier können Bootblöcke angeschaut und
  487.       bearbeitet werden. Sämtliche Änderungen werden NUR im Speicher
  488.       vorgenommen. Das Schreiben (Installieren auf Disk) und archivieren
  489.       von Bootblöcken erfolgt erst, wenn eine der in 6.3 beschriebenen
  490.       Aktionen ausgeführt wird.
  491.  
  492.  
  493.       BLK0 bzw. BLK1
  494.  
  495.       Vt. zeigt 512 Bytes im HEX- und im ASCII-Format an. Um die anderen
  496.       512 Bytes ansehen zu können, muß dieses Gadget angeklickt werden.
  497.       Jeder weitere Klick schaltet erneut zwischen den beiden Blöcken um.
  498.       Im Gadgettext erscheint immer der gerade nicht sichtbare Block. In
  499.       der rechten oberen Ecke zeigt der Vt. zusätzlich den Namen des
  500.       sichtbaren Blockes an.
  501.  
  502.  
  503.       Lam3
  504.  
  505.       Dieses Gadget ist normalerweise schraffiert und nur dann aktivierbar
  506.       wenn Vt den Virus Lamer3 gefunden hat. Dieser verschiebt nämlich den
  507.       Originalbootblock codiert in Block 2 und 3 der Disk. Vt. ent-
  508.       schlüsselt nach Klick auf dieses Gadget die Blöcke 2 und 3 und
  509.       schreibt dann den Originalbootblock in den Speicher, damit man
  510.       diesen wieder auf seiner Disk installieren kann (siehe 6.3).
  511.  
  512.       PROBLEME: Wenn der Kopierschutz bereits auf Track Null beginnt
  513.                 (Longtrack usw.)ist die Disk im Eimer. Allerdings war
  514.                 sie das bereits in dem Moment in dem sich Lamer3 auf
  515.                 ihr breit machte.
  516.                 Wenn ein File oder BootblockIntro Block 2 u 3 belegt hat,
  517.                 so ist diese Datei durch den Lamer3 zerstört worden.
  518.  
  519.  
  520.       Insta.
  521.  
  522.       Erstellt einen normalen Bootblock. Wird dieser installiert (siehe
  523.       6.3) kann von der betreffenden Disk gebootet werden (Natürlich nur,
  524.       wenn die entsprechenden Systemdateien auf der Disk sind). Klicke auf:
  525.  
  526.                   AD  für altes (normales) AmigaDosSystem
  527.                   FF  fuer FastFileSystem
  528.  
  529.  
  530.       NoBoot
  531.  
  532.       Erstellt einen NICHT-bootfähigen Bootblock. Wird dieser installiert
  533.       (siehe 6.3) kann von der betreffenden Disk nicht gebootet werden.
  534.       Klick auf:
  535.  
  536.                   AD  für altes (normales) AmigaDosSystem
  537.                   FF  fuer FastFileSystem
  538.  
  539.  
  540. 6.5. Programmvirentest
  541.      -----------------
  542.      Dies ist der rechte orangefarbene Block. In seiner obersten Zeile
  543.      steht der Text PrgVTest. Mit diesem Programmteil ist es möglich die
  544.      entsprechenden Disks bzw. Harddisks auf Programmviren zu untersuchen.
  545.  
  546.      Diskette einlegen und WARTEN bis die Laufwerks-LED erloschen
  547.      ist (erübrigt sich bei Festplatten).
  548.  
  549.      Gewünschtes Laufwerksgadget anklicken (Nicht angeschlossene Laufwerke
  550.      sind schraffiert).
  551.  
  552.      Vt testet nun rekursiv das komplette Laufwerk (inclusive aller
  553.      Unterverzeichnisse) auf Programmviren. Die Namen der gestesteten
  554.      Dateien erscheinen in dem Bildschirmbereich, der sonst die
  555.      Bootblöcke anzeigt. Nach dem vollständigen Check wird im rechten
  556.      oberen Bereich des Fensters die Dauer des Tests ausgegeben.
  557.  
  558.      Der Test kann jederzeit durch einen Doppelklick mit der RECHTEN
  559.      Maustaste abgebrochen werden.
  560.  
  561.      Möglicherweise gibt es beim Multitasking Probleme, da der Vt einige
  562.      Zeiger verbogen hat (z.B. bei Lamer3).
  563.  
  564.      Momentan spürt Vt die folgenden Programmviren auf:
  565.  
  566.    - IRQ I, IRQ II, BGS9 I, BGS9 II, Disaster Master, Revenge Lamer1+2;
  567.      Originalprogramme die von Bgs9 I, BGS9 II oder Terrorists verschoben
  568.      wurden; XENO, JEFF-BUTONIC I+II, Terrorists, THE SMILY CANCER,
  569.      Traveling Jack I+II, Return Of The Lamer (Disk-Validator), CCCP-Link,
  570.      TimeBomb V0.9, Time Bomber
  571.  
  572.    - Möglicherweise wird auch der Colors Virus Carrier gefunden obwohl ich
  573.      diesen noch nicht habe.
  574.  
  575.      Vt ist nunmehr auch in der Lage gefundene Viren sofort zu löschen.
  576.      Wird er fündig so erscheint ein Requester mit dem Namen des Viruses.
  577.      Mit einem Klick auf "Löschen" wird dieser dann auf der Disk gelöscht.
  578.      Sofern er ein Originalprogramm verschoben hat, versucht Vt dieses
  579.      wieder an seinen richtigen Platz zu kopieren. Man kann dem Virus aber
  580.      auch durch Klick auf "Weiter" noch eine kleine Gnadenfrist gewähren
  581.      (nicht vergessen den Virus so bald als möglich zu löschen).
  582.  
  583.      Vt kann nach wie keine Linkviren aus einem befallenen Programm
  584.      entfernen. Deshalb bietet der Requester in diesem Falle auch nur
  585.      "Weiter" an. Über den Filerequester (siehe 6.1) ist es jedoch möglich
  586.      den Virus samt befallenem Programm zu löschen.
  587.  
  588.      Vt kann ebensowenig möglicherweise erforderliche Korrekturen der
  589.      Startup-sequence vornehmen (siehe 7).
  590.  
  591.      Es folgt eine Liste, welche Aktion der Vt bei den einzelnen
  592.      Programmviren vornimmt:
  593.  
  594.          Disaster Master:
  595.              löscht cls
  596.          Revenge Lamer 1 u. 2 :
  597.              löscht A0A0A0A0A0
  598.          Jeff-Butonic 1 u. 2 :
  599.              löscht unsichtb. File oder Alias-Name (s.b. Jeff-Beschreibung)
  600.          TimeBomb V0.9:
  601.              löscht .info in c
  602.              und falls vorhanden pic.xx in Root
  603.          TimeBomber:
  604.              löscht virustest
  605.              und falls vorhanden VIRUSTEST.DATA
  606.          Return of the Lamer:
  607.              löscht Disk-Validator
  608.              (Änderung der startup-s. nicht notwendig !!)
  609.          BGS9 1+2 und Terrorists:
  610.              versucht zuerst Rename mit unsichtbarem File (Änderung der
  611.              startup-sequence dann nicht notwendig !!) falls unsichtbares
  612.              File nicht gefunden wird, wird die Löschung des Virenprogramms
  613.              angeboten
  614.  
  615.  
  616.  
  617. 6.6  Originalvectoren setzen
  618.      -----------------------
  619.      Diese Funktion wird durch einen Klick auf das Gadget
  620.      "setze Org.Vec im Speicher" ausgeführt. Vt setzt dann alle Vecotren in
  621.      ihren Originalzustand zurück. Programme werden NICHT wie beim
  622.      Programmstart mit Nullen aufgefüllt. Denken Sie daran vorher den
  623.      Inhalt ihrer resetfesten RAMDisk auf Disk zu sichern. Auch hier gibt
  624.      es keine Sicherheitsabfrage!
  625.  
  626.  
  627. 6.7  Startup-sequence einlesen
  628.      -------------------------
  629.      Dies sind die grün umrandeten Gadgets am rechten oberen Rand neben dem
  630.      Text Startup. Durch einen Klick auf eines dieser Gadgets versucht der
  631.      Vt die ersten 1024 Bytes der Startup-sequence im Verzeichnis S von der
  632.      entsprechenden Disk einzulesen und auf dem Bildschirm darzustellen.
  633.      Umschalten wie unter 6.4 beschrieben. Dies ist dafür vorgesehen, daß
  634.      man die erste Zeile auf $A0 usw. untersuchen kann.
  635.  
  636.      ACHTUNG: Nicht $0A mit $A0 verwechseln.
  637.  
  638.               Eine Anzeige von startupII oder startup-sequence.hd ist so
  639.               nicht möglich, kann aber mit dem Filerequester (siehe 6.1.)
  640.               vorgenommen werden.
  641.  
  642. 6.8  Ende
  643.      ----
  644.      Nachdem alles zur Zufriedenheit erledigt ist will man sicherlich auch
  645.      den Vt wieder verlassen. Mit einem Klick auf Ende (rechts oben)
  646.      geschieht dies dann auch. Es erfolgt keine Sicherheitsabfrage, der Vt
  647.      wird sofort beendet.
  648.  
  649.  
  650. 7. Tips zur Virusentfernung
  651.    ------------------------
  652.  
  653.    Entferne BGS9 I und II :
  654.  
  655.    Schaue nach was in der 1.Zeile der startup-sequence steht. (Merken)
  656.    Arbeite bis in Pfad: z.B. sys:devs steht. Klicke im grossen Scroll-
  657.    fenster genau unterhalb des letzten sichtbaren Befehls. Gib in
  658.    DateiRe: sys:c/gemerkter_Name ein und klicke Rename an. Das wars.
  659.  
  660.  
  661.    Entferne Terrorists:
  662.  
  663.    Wie oben, nur steht das unsichtbare File diesmal im Hauptverzeichnis.
  664.  
  665.  
  666.    Entferne Lamer_Revenge und Jeff_Butonic V3.00:
  667.  
  668.    Klicke unsichtbares File im Hauptverzeichnis an und dann Delete. Die
  669.    erste Zeile in der startup-sequence muss mit einem ASCII-Editor (z.B.
  670.    DME) entfernt werden.
  671.  
  672.  
  673.    Entferne Disaster Master:
  674.  
  675.    Als Pfad: sys:c und als Datei cls auswählen. Anschließend mit Delete
  676.    löschen. Die erste Zeile in der startup-sequence muss mit einem ASCII-
  677.    Editor gelöscht werden.
  678.  
  679.  
  680.    Problem der unsichtbaren Files:
  681.  
  682.    Ich arbeite daran. Als Krücke mag jetzt dienen: Klicke genau eine Zeile
  683.    unterhalb des letzten sichtbaren Files und dann Load. Taucht hinter
  684.    Status "nichts gewählt" auf, so existiert kein unsichtbares File. Keine
  685.    Angst vor Load! Es wird n u r geladen und n i c h t aktiviert!
  686.  
  687.  
  688.  
  689. 8. Fehler und Unzulänglichkeiten
  690.    -----------------------------
  691.  
  692.    - Probleme mit Mach2.4, dann nehmen Sie bitte MachII V2.6 (z.B.Fish254)
  693.      oder MachIII (z.B.Fish378) und lesen Sie bitte Mach2.6Doc! Tip von
  694.      J.K. fuer Mach2.4, während des Starts von Vt den Mauszeiger bewegen.
  695.  
  696.    - Vt ist nicht speicherresident. Bitte versuchen Sie erst gar nicht das
  697.      P-Bit zu setzen, es kommt doch nur ein Guru beim residenten Start
  698.      heraus.
  699.  
  700.    - Vt kann IRQ I, IRQ II, Xeno, und THE SMILEY CANCER NICHT aus einem
  701.      befallenen File entfernen.
  702.  
  703.    - Vt kann BGS 9 I, BGS 9 II und Terrorists NICHT von Disk löschen, es
  704.      sei denn man wählt den Umweg über den Filerequester (siehe oben).
  705.  
  706.    - Vt kann DISASTER MASTER, JEFF-Butonic und THE SMILEY CANCER NICHT aus
  707.      der Startup-sequence entfernen.
  708.  
  709.    - Vt läuft  NICHT mit A3000  (Grund: MMU ????)
  710.  
  711.    - Vt läuft  NICHT mit Kickit B1-Bx
  712.  
  713.    - mit gepatchten Kickepromversionen erwarte ich Probleme
  714.  
  715.    - mit KickDisk V1.2 Vers.33.166 laeuft mein Prg. nicht
  716.      (Trackdisk.device liegt an anderer Stelle)
  717.  
  718.    - Es werden nur Viren ohne KReset gelöscht, die ich selbst
  719.      reassembliert habe. Leider werden die Virenroutinen immer besser
  720.      (immer mehr Listen und Zeiger verändert), sodaß mit vernünftigen
  721.      Aufwand der Originalzustand nicht mehr hergestellt werden kann.
  722.      Deshalb macht der Vt inzwischen auch bei einigen Viren, die ich
  723.      reassembliert habe, nur noch KRESET! Alles andere ist mir zu
  724.      gefährlich (Zeiger vergessen, Task nicht erkannt usw.).
  725.  
  726.    - Pfadangaben dürfen max. 255 Bytes (durch AmigaDos festgelegt) lang
  727.      werden - sonst gibt es einen Guru ! also z.B.
  728.      dh0:sub1/sub2...subx/PrgName max. 255 Buchstaben
  729.  
  730.    - Die Pfad/FileNamen-Ausgabe wird nach 80 Buchstaben pro Zeile ab-
  731.      gebrochen. Hat mir das Fenster zu sehr verunstaltet.
  732.  
  733.    - Der Filerequester beherrscht nur 200 Eintragungen in einem Directory.
  734.      Bei mehr Einträgen pro Verzeichnis gibt's Ärger. Es sollte aber
  735.      selbst für DH0:c genügen. Reserviert sind 200 x 30 = 6000 Bytes + 500
  736.      Bytes (Reserve).
  737.  
  738.  
  739.  
  740. 9. Zukunft und Änderungswünsche
  741.    ----------------------------
  742.  
  743.    Der Vt wird sofort nach Erhalt neuer Viren um die Erkennung derselben
  744.    erweitert.
  745.  
  746.    Ich freue mich über Änderungswünsche. Die entsprechenden Texte bitte auf
  747.    Diskette schicken und mit "an Heiner" kennzeichnen. Aber bitte als
  748.    ASCII-Text und nicht im Format ihrer Lieblingstextverarbeitung oder
  749.    sogar gecruncht. Frei nach Murphy habe ich nämlich gerade diese
  750.    Programme nicht.
  751.  
  752.    Bitte Disk mit "Viren" und "an Heiner" kennzeichnen! Adresse und Tel.
  753.    nicht vergessen, ein kleiner erklärender Text wäre nicht schlecht
  754.    (Beides aber nicht unbedingt notwendig, da nur der VIRUS zählt).
  755.  
  756.    Hinweis: Ich suche  NUR Viren! Die Diskette wird nach dem Kopieren des
  757.             Virusbootblocks bzw. des Virusprogramms sofort formatiert.
  758.             Adresse und Telefonnummer wandern nach der Virusanalyse in den
  759.             Papierkorb, da keine Rückfragen mehr notwendig sind. Ich pflege
  760.             meine Zusagen auch einzuhalten!
  761.  
  762.    Heiner Schneegold
  763.    Am Steinert 8
  764.    8701 Eibelstadt
  765.    (W-Deutschland)
  766.  
  767.    Tel: 09303/8369
  768.    (19.00 - 20.00 Uhr)
  769.