home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Highscreen Shareware Spiele
/
Image.iso
/
tools
/
mcafee
/
scan116.txt
< prev
next >
Wrap
Text File
|
1994-06-23
|
56KB
|
1,218 lines
VIRUSCAN Version 9.28 V116
Copyright (C) 1989 - 1994 by McAfee Associates
All rights reserved
Documentation by Aryeh Goretsky
Übersetzung durch Kirschbaum Software GmbH
McAfee Associates, Inc. (408) 988-3832 Telefon
2710 Walsh Avenue, Suite 200 (408) 970-9727 Fax
Santa Clara, CA 95051-0963 (408) 988-4004 Mailbox (25 Leitungen)
U.S.A. USR HST/v.32/v.42bis/MNP1-5
CompuServe GO MCAFEE
InterNet support@mcafee.COM
VIRUSCAN Version 9.28V116 Seite 1
INHALTSVERZEICHNIS
Was ist neu . . . . . . . . . . . . . . . . . . . . . . . . . 2
- neue Möglichkeiten und neu hinzugekommene Viren
in dieser Version
- Systemvoraussetzungen
Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . 3
- Erkennung bekannter Viren
- Erkennung von neuen und unbekannten Viren
- Erkennungsverfahren von bekannten Viren
- Erkennungsverfahren von neuen und unbekannten Viren
Originalzustand. . . . . . . . . . . . . . . . . . . . . . . . 5
- Überprüfen des Originalzustandes von SCAN.EXE
Programmstart. . . . . . . . . . . . . . . . . . . . . . . . . 7
- Die Anwendung von VIRUSCAN, genaue Erklärung der Parameter
Beispiele . . . . . . . . . . . . . . . . . . . . . . . . . . 15
- Beispiele häufig verwendeter Optionen
EXIT CODES . . . . . . . . . . . . . . . . . . . . . . . . . . 16
- Der Aufruf von VIRUSCAN über Batchdateien
Viren entfernen. . . . . . . . . . . . . . . . . . . . . . . . 16
- Wie Sie einen Virus von Hand entfernen
Registrierung . . . . . . . . . . . . . . . . . . . . . . . . 17
- Wie Sie VIRUSCAN registrieren
Technischer Support . . . . . . . . . . . . . . . . . . . . . 18
- Informationen, die Sie bei einem Anruf parat haben sollten
Bezug der aktuellen Versionen von Viruscan
- Mailbox, CompuServe und Internet
Anhang A . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
- Erstellen einer Virus-Textdatei mit der Option /EXT
Anhang B . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
- Wie Sie nur den Speicher auf Viren untersuchen
- Validation-codes: Tips und Tricks
- Formatieren infizierter Disketten unter DOS 5.00 & 6.00
- Erstellen einer Rettungsdiskette
Anhang C . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
- Meldungen in anderen Sprachen
VIRUSCAN Version 9.28V116 Seite 2
WAS IST NEU ?
Die Version V116 erkennt gegenüber V115 zusätzlich 21 neue Viren und
5 neue Varianten. Die Anzahl der insgesamt erkannten Viren beträgt damit
1.942 bzw. 2.928, wenn man alle Varianten mitzählt.
Eine vollständige Liste der erkannten Viren finden Sie in der Datei
VIRLIST.TXT. Bezüglich ausführlicher Beschreibung der Viren verweisen
wir auf Hypertext VSUM von Patricia Hoffman (Anmerkung: ebenfalls über
Kirschbaum Software erhältlich).
SYSTEMVORAUSSETZUNGEN
VIRUSCAN benötigt 411 KB freien Arbeitsspeicher und DOS 2.00 oder
höher. Zusätzlicher Speicher wird benötigt, wenn die Programm-Meldungen
in einer anderen Sprache ausgegeben werden sollen (nähere Einzelheiten
dazu in Anhang C).
VIRUSCAN läuft auf 3Com 3/Share und 3/Open, Artisoft LanTastic,
AT&T StarLAN, Banyan VINES, DEC Pathworks, IBM LAN Server, Microsoft
LAN Manager, Novell Netware und auf jedem anderen IBMNET oder NETBIOS
kompatiblen Netzwerkbetriebssystem. Bitte wenden Sie sich an McAfee
Associates oder an Ihren autorisierten Distributor, wenn Sie Ihr
Netzwerk in dieser Aufzählung nicht finden.
SCAN durchsucht Disketten, Festplatten, CD-ROM und komprimierte
Laufwerke (Superstor, Stacker, Doublespace, etc.) - auf Einzelplätzen,
vernetzten Rechnern und auch auf Netzwerk Fileserver Geräten nach
vorher vorhandenen - bekannten und unbekannten - Viren. Für Novell-
Fileserver mit Netware gibt es für den dauerhaften Virenschutz das NLM
(Netware Loadable Module) NETSHIELD.
Programm-Meldungen erfolgen standardmäßig in Englisch (default), jedoch
werden auch andere Sprachen unterstützt (siehe Anhang C).
HINWEIS: ACHTEN SIE UNBEDINGT DARAUF, DASS DIE DISKETTE, VON DER SIE
SCAN.EXE STARTEN, IMMER SCHREIBGESCHÜTZT IST.
ALLGEMEINES
VIRUSCAN Version 9.28V116 (Dateiname SCAN.EXE) dient zum Auffinden und
Erkennen von Viren für den IBM PC und kompatible Computer. SCAN findet
Viren, indem es das System nach Bytefolgen durchsucht, die für die
einzelnen Viren charakteristisch sind.
VIRUSCAN Version 9.28V116 Seite 3
Diese Methode funktioniert nur für Viren, die SCAN kennt. Es bewältigt
dabei 1.942 bekannte Viren und deren Variationen. Einige Viren wurden
nämlich verändert, so daß teilweise eine ganze Anzahl von Variationen
existieren. Zählt man auch diese, so kommt man auf eine Gesamtzahl von
2.928 Viren.
Alle bekannten Viren befallen einen oder mehrere der folgenden
Bereiche:
- die Partitionstabelle von Festplatten (auch "Master Boot Record"
genannt)
- den DOS-Bootsektor
- eine oder mehrere ausführbare Dateien auf Disketten und
Festplatten (Betriebssystemdateien, .EXE-Dateien, .COM-Dateien,
Overlaydateien oder beliebig andere Dateien mit ausführbarem
Programmcode)
- den Arbeitsspeicher
VIRUSCAN durchsucht nach Wunsch Dateien, Verzeichnisse, Laufwerke oder
das gesamte System nach bekannten Computerviren. Bei einer erkannten
Infektion zeigt es den Bereich bzw. Dateinamen an, zusammen mit der
Viren-Kennung, die für CLEAN-UP zur Beseitigung benutzt werden kann.
Infizierte Dateien können durch Angabe des Parameters /D restlos
beseitigt werden. Das Programm CLEAN-UP ermöglicht in den meisten
Fällen die vollständige "Heilung" der infizierten Datei bzw. des
befallenen Bereiches.
Die im Lieferumfang enthaltene Datei VIRLIST.TXT enthält eine Liste
aller von SCAN erkannten Viren zusammen mit den für CLEAN-UP
notwendigen Viren-Kennungen.
UNBEKANNTE UND NEUE VIREN
SCAN sucht aber auch nach neuen bzw. unbekannten Viren. Es benutzt dazu
drei unterschiedliche Verfahren:
- Durch Prüfsummen, die regelmäßig überprüft werden sollten, um Ver-
änderungen in Dateien oder kritischen Bereichen frühzeitig zu
erkennen.
- Untersuchung auf allgemein virentypische Erkennungsmerkmale
- Überprüfung aller kritischen Bereiche auf beliebige Bytemuster
(Signaturen), die bei Bedarf in einer Datei abgelegt werden können
VIRUSCAN Version 9.28V116 Seite 4
Erkennung von bekannten Viren
SCAN findet bekannte Viren, indem es das System nach Zeichenfolgen
durchsucht, die für die einzelnen Viren charakteristisch sind. Nach
"erfolgreicher" Suche wird eine entsprechende Meldung ausgegeben. Für
Viren, die sich selbst so verschlüsseln, daß die Bytefolgen bei jeder
Infektion anders sind, benutzt SCAN einen Erkennungsalgorithmus, der
auf statistischen und heuristischen Methoden beruht.
Erkennung von neuen und unbekannten Viren
SCAN überprüft auf neue und unbekannte Viren durch den Vergleich von
Dateien mit zuvor gespeicherte Prüfsummen. SCAN benutzt zwei Methoden
und speichert auf drei unterschiedliche Arten:
- Eine einfache 10 Zeichen lange Kennung wird an jede .COM- und .EXE-
Datei angehängt. Wenn eine Datei verändert wurde, so stimmt die für
diese Datei errechnete Prüfssumme nicht mehr mit dem gespeicherten
Wert in der angehängten Kennung überein. SCAN meldet somit eine unzu-
lässige Veränderung. Siehe auch /AV, /CV, /RV -Parameter.
- Eine erweiterte 52 Zeichen lange Kennung mit Daten zur Wiederher-
stellung kann ebenfalls angelegt werden. Diese kann wie die einfache
Kennung an das Ende der Datei angehängt werden oder in einer eigenen
separaten Datei (z.B. auf Diskette) gespeichert werden. CLEAN-UP kann
mit dieser Information infizierte Dateien, Partitionstabellen und
Bootsektoren leichter wieder herstellen. Siehe auch /AG, /CG, /RG,
sowie /AF, /CF, /RF -Parameter.
HINWEIS: Kennungen können nur an Dateien angehängt werden. Für die
Partitionstabelle, den Bootsektor und die Systemdateien werden
die notwendigen Daten in einer eigenen versteckten Datei
SCANVAL.VAL im Wurzelverzeichnis abgelegt.
HINWEIS: Programme, die sich selbst auf Originalzustand überprüfen
(wie z.B. LOTUS 1-2-3) dürfen nicht mit einer Kennung nach
der Methode /AV oder /AG erweitert werden. Man nimmt in
diesen Fällen den Parameter /AF (Add File), um die Kennung
in einer eigenen Datei abzulegen.
SCAN erkennt neue und unbekannte Viren manchmal auch dadurch, weil
diese Viren typische Sequenzen enthalten. Das können Sequenzen sein,
die immer wieder in verschiedenen anderen Viren gefunden wurden.
Nachdem Virenprogrammierer häufig Teile aus älteren Viren verwenden,
ermöglicht dies manchmal die zufällige Erkennung von ganz neuen Viren.
SCAN kann auch nach neuen Viren suchen, wenn der Anwender eine Liste
der Charakteristika dieser Viren in einer separaten Datei zur Verfügung
stellt. Hierzu dient der /EXT-Parameter.
VIRUSCAN Version 9.28V116 Seite 5
ORIGINALZUSTAND
Bevor Sie SCAN.EXE zum ersten Mal benutzen, sollten Sie überprüfen, ob
noch der Originalzustand gegeben ist. Mit dem Programm VALIDATE.COM,
welches zusammen mit VIRUSCAN ausgeliefert wird, können Sie den
Originalzustand der Datei SCAN.EXE überprüfen. Die Anleitungen
VALIDATE.DOC/TXT erläutern die Handhabung dieses Programms.
Die Ergebnisse der Version 9.28V116 müssen lauten:
FILE NAME: scan.exe
SIZE: 164,247
DATE: 6-15-1994
FILE AUTHENTICATION
Check Method 1: 0BC7
Check Method 2: 1E18
Wenn die Ihnen vorliegende Version von SCAN nicht die richtigen Werte
liefert, so wurde es entweder unzulässig verändert, oder es enthält mit
dem Parameter /SAVE gespeicherte Optionen enthalten. Starten Sie SCAN
nur mit dem Parameter /SAVE, um alle gespeicherten Optionen wieder zu
entfernen und rufen Sie VALIDATE erneut auf. Achten Sie darauf, daß Sie
SCAN nur von bekannten Quellen beziehen. Die neueste Version von
VIRUSCAN und die Prüfsummen für SCAN.EXE können Sie auch von der
Mailbox von McAfee Associates unter der amerikanischen Nummer (408)
988-4004 oder vom Computer Virus Help Forum in CompuServe (GO MCAFEE)
downloaden.
Bei seinem Aufruf testet sich VIRUSCAN selbst. Wenn SCAN in irgendeiner
Weise verändert worden ist, wird eine Warnmeldung ausgegeben und Sie
haben die Wahl, ob Sie abbrechen oder fortfahren wollen. Das Programm
wird auch danach nach Viren suchen. Sollte SCAN melden, daß es
verändert worden ist, sollten Sie sich unbedingt eine einwandfreie
Kopie von SCAN besorgen.
Alle Programme von McAfee Associates sind für die Mailbox mit PKWare's
PKZIP Version 2.04g komprimiert. Wenn Sie nach dem Entpacken der
einzelnen Dateien mit PKWare's Programm PKUNZIP Version 2.04g die
Meldungen "-AV" und "Authentic Files Verified! # FZW807 Zip Source:
McAFEE ASSOCIATES" nicht erhalten, sollten Sie die Programme nicht
starten.
Hinweis: Wenn diese Meldung nicht erscheint, benutzen Sie
vermutlich eine andere Version von PKUNZIP (evtl.
1.93A oder V1.10). Verwenden Sie möglichst PKUNZIP 2.04g
zum Entpacken der Dateien.
VIRUSCAN Version 9.28V116 Seite 6
ÜBERSICHT
VIRUSCAN durchsucht Dateien, Unterverzeichnisse, Disketten oder ganze
Systeme auf bestehende Virusinfektionen. Es erkennt den infizierenden
Virus und nennt die befallenen Bereiche (Speicher, Bootsektor, Datei).
Eine befallene Datei kann mit der Option /D überschrieben und gelöscht
werden. Darüberhinaus gibt es das Programm CLEAN-UP, welches befallene
Systeme automatisch desinfiziert und befallene Bereiche wenn möglich
wieder repariert und ist daher der Option /D von SCAN vorzuziehen.
Die Version 9.28V116 von VIRUSCAN erkennt alle 1.942 bekannten
Computerviren und deren Varianten. Einige Viren wurden verändert, so
daß mehr als ein Stamm existiert. Werden solche Veränderungen mit-
gezählt, so existieren 2.928 Virenvarianten. Die fünfzig verbreitetsten
Viren, die für mehr als 95% aller bekannten Infektionen verantwortlich
sind, werden von SCAN ebenfalls erkannt. Die Dateien VIRLIST(E).TXT
beschreiben alle Computerviren, die von SCAN erkannt werden.
Alle bekannten Computerviren befallen einen oder mehrere der genannten
Bereiche: die Partitionstabelle von Festplatte und Disketten [auch als
Master Boot Record bekannt = MBR]; den Bootsektor von DOS sowohl von
Festplatten als auch von Disketten und eine oder mehrere ausführbare
Dateien im System. Ausführbare Dateien sind Betriebssystemdateien,
.COM-, .EXE- und Overlaydateien oder jede andere Datei, die ausführ-
baren Code enthält. Ein Virus der mehr als einen Bereich befällt, zum
Beispiel den Bootsektor und eine ausführbare Datei, wird vielteiliger
Virus genannt.
VIRUSCAN erkennt jeden infizierten Bereich bzw. Datei und zeigt sowohl
den Namen des Virus als auch die für dessen Entfernung benötigte CLEAN-
UP I.D. an.
Mit Hilfe der Prüfsummenoptionen (/CV, /CG und /CF) kann VIRUSCAN auch
nach unbekannten Viren suchen. Dies geschieht indem für Dateien und
Systembereiche eine Prüfsumme errechnet wird und dann überprüft wird.
Die Prüfsumme kann am Ende von .COM- und .EXE-Dateien oder, für
Reparaturzwecke, in einer vom Benutzer angegebenen Datei an einer
anderen Stelle, z.B. auf einer Diskette gespeichert werden. Wurde die
Datei verändert, so stimmt diese Prüfsumme nicht mehr und es ist
möglich, daß diese Datei infiziert wurde. Wenn Sie die erweiterten
Möglichkeiten (/CG oder /CF) nutzen, so enthalten die Prüfcodes
Informationen, die dazu verwendet werden können, von unbekannten oder
neuen Viren infizierte Dateien oder Systembereiche wieder zu
reparieren.
SCAN verwendet zwei unabhängig voneinander errechnete CRC-Codes (Cyclic
Redundancy Check). Sich selbst prüfende Programme (wie zum Beispiel
Lotus 1-2-3) sollten nicht mit den Optionen /AV oder /AG geschützt
werden, da diese die Dateien verändern. Verwenden Sie stattdessen die
Option /AF die die Daten in einer getrennten Datei ablegt. Sehen Sie
bei ANWENDUNG und OPTIONEN unter /AF, /AG und /AV nach wenn Sie weitere
Informationen benötigen.
VIRUSCAN Version 9.28V116 Seite 7
Wenn Sie SCAN mit der Option /AV oder /AG aufrufen, so werden die
Prüfsummen nur an .COM- und .EXE-Dateien angehängt. Die Prüfsummen für
die Partitionstabelle, den Bootsektor und Systemdateien werden in der
versteckten Datei SCANVAL.VAL im Stammverzeichnis gespeichert.
VIRUSCAN kann den Bootsektor und die Partitionstabelle auch nach
unbekannten Viren durchsuchen. Wenn in einem der Bereiche ein viren-
ähnlicher Code gefunden wird, meldet SCAN, daß es einen Generic Boot
Sector oder MBR-Virus (Virus des primären Bootsektors) gefunden hat.
Mit Hilfe einer vom Anwender erzeugten Viren-Datendatei die Suchstrings
für neue Viren enthält, kann VIRUSCAN nach neuen Viren suchen.
Nach sieben Monaten wird VIRUSCAN eine Meldung am Bildschirm anzeigen,
daß das Programm nicht mehr aktuell ist, aber dennoch ganz normal
weiterarbeiten. Diese Meldung können Sie mit der SCAN-Option /NOEXPIRE
abschalten.
ANWENDUNG und OPTIONEN
WICHTIGER HINWEIS: VERWENDEN SIE, UM INFEKTIONEN VON VIRUSCAN ZU
VERMEIDEN, AUSSCHLIESSLICH SCHREIBGESCHÜTZTE DISKETTEN.
VIRUSCAN durchsucht Dateien und andere Systembereiche, die einen Virus
enthalten könnten. Wird ein Virus gefunden, so erfolgt eine Meldung mit
dem Namen der infizierten Datei bzw. des Bereiches und dem Namen des
erkannten Virus.
SCAN untersucht Dateien auf Viren anhand der Dateinamenserweiterung.
Die Vorgaben für diese Erweiterungen umfassen .APP, .BIN, .COM, .EXE,
.OV?, .PGM, .PIF, .PRG, .SWP, .SYS, und .XTP. Dateien mit anderen
Erweiterungen können mit Hilfe der Option /A durchsucht werden
Die gültigen Optionen für VIRUSCAN sind:
SCAN l1: ... l26: /? /A /AF Dateiname /AG Dateiname /AV Dateiname
/BELL /BMG /CERTIFY /CF Dateiname /CHKHI /CG /CV
/D /DATE /E .xxx .yyy .zzz /EXT Dateiname
/FAST /H /HELP /HISTORY Dateiname /MAINT
/MANY /NLZ /NOBREAK /NOEXPIRE /NOMEM /NOPAUSE
/NPKL /REPORT Dateiname /RF Dateiname /RG /RV
/SAVE /SHOWDATE /SUB @Dateiname
l1: ... l26: steht für den oder die möglichen Laufwerksbuchstaben
von A: bis Z:
VIRUSCAN Version 9.28V116 Seite 8
Die Optionen sind:
\ - nur das Stammverzeichnis und den Bootsektor
durchsuchen
/? /H /HELP - Hilfebildschirm anzeigen
/A - alle Dateien, auch Datendateien, nach Viren durchsuchen
/AD{x} - durchsucht alle Laufwerke {l = lokal, n = Netzwerk}
/AF Dateiname - Reparaturdaten/Prüfsummen in Datei speichern
/AG Dateiname - hänge Prüfsummen, Reparaturdaten an alle Dateien
AUSSER den in Dateiname genannten an
/AV Dateiname - Prüfsummen an alle Dateien AUSSER den in Dateiname
genannten anhängen
/BELL - jedesmal pfeifen, wenn ein Virus gefunden wird
/BMP - nur OS/2 Boot Manager Partition scannen.
/CERTIFY - Dateien aufzählen, die keine Prüfsummen enthalten
/CF Dateiname - auf Viren prüfen und die Reparaturdaten/Prüfsummen
aus Dateiname verwenden
/CHKHI - durchsuche den Speicher von 0 bis 1088 KB
/CG - überprüfen der Prüfsummen/Reparaturdaten
/CV - die Prüfsummen der Dateien kontrollieren
/D - infizierte Dateien überschreiben und löschen
/DATE - Datum des letzten Prüflaufes von VIRUSCAN speichern
/EXT d:Dateiname - suche mit Hilfe einer externen Virendatei
/FAST - die Ausgabegeschwindigkeit von VIRUSCAN erhöhen
/HISTORY Dateiname - Infektionsbericht erzeugen oder ergänzen
/M - Speicher nach allen Viren durchsuchen
(unten stehende Einschränkungen beachten)
/MAINT - prüfe Disketten die "invalid media" melden
(beschädigte Disketten)
/MANY - mehrere Disketten der Reihe nach prüfen
/NLZ - mit LZEXE komprimierte Dateien nicht prüfen
/NOBREAK - Ctrl+C / Ctrl+Break während des Suchvorgangs
ausschalten
/NOEXPIRE - Ablaufhinweis nicht anzeigen
/NOMEM - Speicher nicht prüfen
/NOPAUSE - Bildschirmpause während des Suchvorgangs abschalten
/NPKL - keine Überprüfung von Dateien, die mit PKLITE
komprimiert wurden
/REPORT d:Dateiname - Bericht über infizierte Dateien erstellen
/RF Dateiname - Reparaturdaten/Prüfsummen die in Dateiname
gespeichert sind löschen
/RG - Reparaturdaten/Prüfsummen von Dateien wieder
entfernen
/RV - Prüfsummen von den angegebenen Dateien entfernen
/SAVE - speichere angegebene Parameter als neue Standardwerte
/SHOWDATE - Datum des letzten Durchlaufs von VIRUSCAN anzeigen
(verwenden Sie /DATE um Datum und Zeit zu speichern)
/SUB - Unterverzeichnisse durchsuchen
@dateiname - suchen unter Verwendung der Optionen einer
Konfigurationsdatei
VIRUSCAN Version 9.28V116 Seite 9
ERLÄUTERUNG der einzelnen Optionen:
HINWEIS: Die /AV und /AG Parameter verändern ausführbare Dateien. Der
Parameter /SAVE verändert die Datei SCAN.EXE. Dies könnte beim
Einsatz von anderer Schutzsoftware zu Warnungen führen.
Die Option /A veranlaßt SCAN, ohne Rücksicht auf den Dateityp alle
Dateien im angegebenen Laufwerk zu durchsuchen und untersucht gleich-
zeitig auch einen größeren Teil der Dateien. Diese Option benötigt
deutlich mehr Zeit für die Überprüfung, verbessert dafür aber auch noch
die Suchqualität bei Overlay-Dateien. Diese Option sollten Sie immer
beim Durchsuchen von neuen Disketten verwenden und natürlich auch dann,
wenn ein Dateivirus bereits gefunden wurde.
/AD{x} - durchsucht alle Laufwerke nach Viren. Mit /ADL werden alle
lokalen Laufwerke geprüft, inklusive CD-ROM und komprimierter Lauf-
werke. Die Option /ADN veranlaßt ViruScan alle Netzwerklaufwerke zu
durchsuchen. Nur /AD bedeutet, daß sowohl lokale als auch Netzwerk-
laufwerke auf Viren geprüft werden.
Die Option /AF speichert Reparaturdaten und Prüfsummen für .COM- und
.EXE-Dateien, den Bootsektor und die Partitionstabelle einer Festplatte
in einer vom Anwender gewählten Datei auf einem beliebigen Laufwerk.
Die Dateigröße beträgt pro 1.000 Dateien etwa 20 KByte. Die Syntax ist
/AF Dateiname wobei Dateiname das Laufwerk und den Pfad an der die
Datei gespeichert werden soll mit einschließt.
Die Option /AG ermöglicht es dem Anwender, Reparaturdaten und
Prüfsummen für .COM- und .EXE-Dateien, den Bootsektor und die
Partitionstabelle eines Laufwerks zu speichern. Reparaturdaten
verlängern Dateien um zweiundfünfzig (52) Bytes. Die Reparaturdateien
für die Partitionstabelle und den Bootsektor werden separat in der
versteckten Datei SCANVAL.VAL im Stammverzeichnis gespeichert.
Ansonsten ist diese Option ähnlich der folgenden Option /AV. Für die
Raparatur benötigen Sie das Programm CLEAN-UP (CLEAN.EXE).
Die Option /AV ermöglicht es dem Anwender, an die überprüften Dateien
Prüfsummen anzuhängen. Wird ein komplettes Laufwerk angegeben, so
erzeugt SCAN auch Prüfsummen über die Partitionstabelle, den Bootsektor
und die Systemdateien dieses Laufwerkes. Prüfsummen verlängern die
Dateien um zehn (10) Bytes. Die Prüfsummen der Partitionstabelle, des
Bootsektors und der Systemdateien werden in der versteckten Datei
SCANVAL.VAL im Stammverzeichnis des geprüften Laufwerkes abgelegt.
Dateien die bereits gegen Computerviren immunisiert wurden, bzw.
selbsmodifizierend sind, sollten keine Prüfsummen erhalten. Um VIRUSCAN
davon abzuhalten, an diese Dateien Prüfsummen anzuhängen, kann eine
Liste dieser Dateien erstellt werden. Diese Liste enthält den voll-
ständigen Pfad und Namen jeder Datei, an die KEINE Prüfsumme angehängt
werden soll. Pro Zeile darf nur eine Datei aufgeführt werden.
Kommentare werden durch einen Stern am Zeilenanfang gekennzeichnet. Die
folgende Beispieldatei enthält Dateien, an die KEINE Prüfsummen
angehängt werden sollen:
VIRUSCAN Version 9.28V116 Seite 10
*Die Datenbank Clipper von Nantucket
C:\CLIPPER\BIN\CLIPPER.EXE
*Die Tabellenkalkulation 1-2-3 von Lotus
C:\123\123.COM
*Die Datenbank von Microsoft - FoxPro
C:\FOX\FOXPROLX.EXE
*SETVER von MS-DOS 5.0, welches sich selbst verändert
C:\DOS\SETVER.EXE
*PKWare's PKZIP-Programme prüfen sich vor dem Start selbst
C:\PKWARE\PKLITE.EXE
C:\PKWARE\PKZIP.EXE
C:\PKWARE\PKUNZIP.EXE
*Semware's QEdit text editor
C:\SEMWARE\Q.EXE
*Festplattenswapprogramm von Stac Technologies
C:\SWAPVOL.COM
*Symantec's Norton Utilities V6.01 Diskcacheprogramm
C:\NORTON\NCACHE.EXE
*WordStar enthält selbstverändernden Code
C:\WORDSTAR\WS.EXE
Diese Ausnahmeliste muß im ASCII-Format vorliegen. Wenn Sie ein
Textverarbeitungsprogramm zum Erstellen dieser Datei verwenden, stellen
Sie sicher, daß die Datei im ASCII-Format gespeichert wird.
Die Option /BELL veranlaßt VIRUSCAN dazu, nach jedem gefundenen Virus
einen Warnton auszugeben.
Mit der Option /BMP durchsucht Scan die OS/2 Boot Manager Partition.
Andere Bereiche als die Boot Manager Partition und der Boot Sektor
werden dabei nicht geprüft.
Die Option /CERTIFY prüft ein System auf Dateien, an die mit /AG oder
/AV Prüfsummen angehängt wurden. Dateien die keine Prüfsumme haben,
werden von VIRUSCAN als solche gemeldet und der ERROELEVEL wird von
SCAN auf 3 gesetzt.
Die Option /CF überprüft die mit /AF angehängten Prüfsummen. Der Aufruf
erfolgt mit /CF Dateiname, wobei Dateiname das Laufwerk und das
Verzeichnis enthalten muß, in dem die Daten gespeichert werden sollen.
Die Option /CG prüft die mit /AG angefügten Reaparaturdaten und
Prüfsummen. Wenn eine Datei oder ein Systembereich verändert wurde,
meldet SCAN daß eine Datei oder ein Systembereich verändert wurde und
eventuell eine Virusinfektion stattgefunden haben könnte. Die Option
/CG hat Vorrang vor der Option /CV.
Die Option /CHKHI prüft den Speicher zwischen 640 KB und 1.088 KB, der
auf 286er- und 386er-Systemen für Computerviren zugänglich ist. Darin
eingeschlossen ist die 384 KByte Upper Memory Area von 640 KB bis 1024
KB, sowie die 64 KB High Memory Area von 1024 KB bis 1088 KB. Auf XTs,
VIRUSCAN Version 9.28V116 Seite 11
bei denen eine Speichererweiterungskarte installiert ist, werden durch
diese Option die ersten 64 KB vom RAM zweimal durchsucht. Diese Option
ist in Verbindung mit /NOMEM nicht zulässig.
Die Option /CV überprüft die durch /AV angelegten Prüfcodes. Wenn die
Datei verändert worden ist, meldet SCAN, daß die Datei verändert worden
ist und diese Änderung eventuell auf einen Virus zurückzuführen ist.
Diese Option verlängert den Suchlauf um etwa 25%.
HINWEIS: Einige ältere Modelle von Hewlett Packard und Zenith verändern
den Bootsektor und die Partitionstabelle jedesmal wenn der
Computer hochgefahren wird. Dies führt dazu, daß SCAN den
Anwender laufend auf Veränderungen des Bootsektors oder der
Partitionstabelle hinweist, wenn die Option /CV verwendet wird.
Prüfen Sie in Ihrem Systemhandbuch, ob Ihr System einen solchen
selbstverändernden Bootcode verwendet.
Die Option /D weist VIRUSCAN an, den Benutzer zu fragen, ob infizierte
Dateien überschrieben werden sollen. Wählt der Benutzer "Y" so wird die
Datei mit dem Hexcode C3 [dem Return-Befehl] überschrieben und
anschließend gelöscht. Eine Datei die mit /D gelöscht worden ist, läßt
sich nicht wiederherstellen. Bootsektor- und Partitionstabellenviren
können mit der Option /D nicht gelöscht werden. Zur Desinfizierung
brauchen Sie stattdessen das Programm CLEAN-UP.
HINWEIS: Wenn die Option /D für Netzwerklaufwerke benutzt
wird muß der Anwender über "erase" oder "delete"
Rechte verfügen.
Die Option /DATE speichert Datum und Uhrzeit des letzten Durchlaufs von
VIRUSCAN, indem das Datum der Datei SCANVAL.VAL aktualisiert wird. Wenn
die Datei SCANVAL.VAL nicht existiert, wird sie von VIRUSCAN im
aktuellen Verzeichnis mit der Länge 0 erzeugt.
Die Option /EXT ermöglicht es VIRUSCAN auf Basis einer Textdatei, die
vom Benutzer eingegebene Suchstrings enthält, nach Viren zu suchen. Die
Syntax um eine solche externe Virendatei anzuwenden ist /EXT
l:Dateiname. "l" steht für das Laufwerk und "Dateiname" ist der Name
der Datei, die die Suchstrings enthält. Hinweise zum Erstellen einer
solchen Virendatei finden Sie im Anhang A.
HINWEIS: Die Option /EXT ist dazu gedacht, Anwendern eine Möglichkeit zu
geben, eigene Suchstrings für eine Übergangszeit bzw. für den
Notfall mit in die Überprüfung einzubeziehen. In Verbindung mit
der Option /D werden infizierte Dateien gelöscht. Diese Option
ist nicht für die allgemeine Anwendung gedacht und sollte mit
Vorsicht angewendet werden.
Die Option /FAST beschleunigt VIRUSCAN, indem während des Suchlaufs auf
dem Bildschirm weniger Informationen angezeigt werden und Dateien, die
mit LZEXE- oder PKLITE komprimiert wurden, nicht intern überprüft
VIRUSCAN Version 9.28V116 Seite 12
werden bzw. weniger Dateien geprüft werden. Dies reduziert die
Zuverlässigkeit von SCAN.
Die Option /HISTORY speichert eine Liste der infizierten Dateien auf
der Festplatte. Die Datei wird im ASCII-Format gespeichert. Existiert
bereits eine solche Datei, so wird die neue Liste an das Ende dieser
Datei Angefügt. Der Aufruf erfolgt mit /HISTORY Dateiname, wobei
Dateiname das Laufwerk und das Verzeichnis für die Datei enthalten muß.
Die Option /M weist VIRUSCAN an, den Speicher nach allen Viren zu
durchsuchen, die sich im Speicher aufhalten können. Standardmäßig
durchsucht SCAN den Speicher nur nach gefährlichen und "Stealth"-Viren.
Dies sind Viren, die einen katastrophalen Datenverlust verursachen oder
sich während des Suchvorgangs weiter ausbreiten können. SCAN durchsucht
den Speicher in jedem Fall nach den folgenden Viren:
1024 1253 1530 15xx variant
1963 1971 2153 2560
3040 337 3445-Stealth 4096
500 512 557 702
ABC Agena Anthrax Antitelefonica
Aragon arcv B3 Blood Rage
Brain Budo Caz CD
Chang Coffee Shop Copyr-ug Cracky
Crusher Dark Avenger Davis Dir-2
DM-330 Doom II EEL Empire
End-of Evil Genius ExeBug Fam
Feist Fish Flu FORM
Frodo Soft Fune Futhark Geek
Greemlin Green HA HBT
Hellween 1182 Hi Highland Horror
Ice9 Iernim IOU Jeru Variant
Joanna Joshi Jump4Joy Kersplat
L1 Larry Leech LixoNuke
Lozinsky Lycee Magnum Malaga
Malaise Microbes Mirror Mocha
Monkey Mugshot Mummy Murphy
NCU Li Ninja Nomemklatura NOP
No-Int Nygus Nygus-KL Ontario-3
Otto P1R PCBB11 Penza
Phantom Piazzola Plastique Pogue
Pojer Problem Radyum Rattle
Reaper Reklama Rocko Sandwich
SBC Scr-2 Scroll Scythe
Sentinel Sergant Silence Sk
Sk1 Sma-108a Soyun Stealthb
Sticky Stoned (Vari) Sunday-2 SVC
Tabulero Taiwan3 Ten Bytes Tequila
Thursday 12th Turbo Turkey Twin-351
V2100 V2P6 V600 Vietnamese
Walker Whale Windmill Yan2050a
Youth Zaragoza
VIRUSCAN Version 9.28V116 Seite 13
Wenn einer dieser Viren im Speicher gefunden wird, bricht SCAN sofort
ab und weist den Anwender an, sein System auszuschalten und von einer
virenfreien Diskette neu zu booten. Die Option /M verlängert den
Suchlauf um 6 bis 20 Sekunden.
HINWEIS: Das Anwenden der Option /M in Verbindung mit anderen
Antivirenprodukten kann zu Fehlalarmen führen, wenn dieses
andere Programm seine Suchstrings nicht aus dem Speicher
entfernt.
Die Option /MAINT wird dazu verwendet, Festplatten zu durchsuchen, die
mit DOS 4.0 oder darüber partitioniert wurden und von einem Bootsektor-
oder Partitonstabellenvirus befallen sind. Der Zugriff auf eine solche
Festplatte verursacht normalerweise die Meldung "invalid media". Die
Option /MAINT durchsucht nur die Partitionstabelle und den Bootsektor,
keine Dateien.
HINWEIS: Die Option /MAINT kann nur auf lokale Laufwerke
angewandt werden. Soll der Boot Sektor oder die
Partitionstabelle von einem Netzwerklaufwerk geprüft
werden, muß man Scan vom Server starten, nicht von
einer Workstation.
Die Option /MANY wird dazu verwendet, mehrere Disketten im angegebenen
Laufwerk der Reihe nach zu durchsuchen. Will der Anwender mehr als eine
Diskette auf Viren überprüfen, so kann der Anwender dies mit dieser
Option tun, ohne SCAN jedesmal neu aufrufen zu müssen. Wenn ein System
bereits desinfiziert wurde, so können die Optionen /MANY und /NOMEM
dazu verwendet werden, den Prüfvorgang von Disketten zu beschleunigen.
Die Option /NLZ teilt VIRUSCAN mit, nicht in Dateien die mit LZEXE
komprimiert wurden, nach Viren zu suchen. SCAN wird diese Programme
aber nach wie vor auf Infektionen überprüfen, die nach der
Komprimierung erfolgt sind.
Die Option /NOBREAK verhindert, daß SCAN während des Suchvorgangs durch
Control+C oder Control+Break abgebrochen wird.
Die Option /NOMEM dient dazu, den Speichertest zu übergehen. Sie sollte
nur verwendet werden, wenn sicher ist, daß das System virenfrei ist.
Diese Option kann nicht in Verbindung mit /CHKHI oder /M verwendet
werden.
VIRUSCAN Version 9.28V116 Seite 14
Die Option /NOEXPIRE schaltet die Altersmeldung ab, die erscheint, wenn
SCAN älter als sieben Monate ist und davor warnt, daß es in Bezug auf
neue Viren nicht mehr auf dem aktuellen Stand ist.
Die Option /NOPAUSE schaltet die Meldung "More? ( H = HELP )" ab. Diese
erscheint, wenn SCAN den Bildschirm mit Meldungen vollgeschrieben hat.
Dadurch kann SCAN auf einem extrem infizierten System ohne Eingreifen
des Anwenders gestartet werden.
Die Option /NPKL weist VIRUSCAN an, mit PKLITE komprimierte Dateien,
nicht intern zu durchsuchen. SCAN wird solche Dateien aber weiterhin
auf Infektionen prüfen, die nach der Komprimierung erfolgt sein
könnten.
Die Option /REPORT erstellt eine Liste aller infizierten Dateien. Diese
Datei wird als ASCII Textdatei auf Diskette gespeichert. Existiert
bereits eine solche Datei, so wird sie überschrieben. Der Aufruf
erfolgt mit /REPORT Dateiname, wobei Dateiname das Laufwerk und das
Verzeichnis für die Datei enthalten muß.
Die Option /RF entfernt Reparaturdaten und Prüfsummen für Dateien aus
der Datei die die Reparaturdaten und Prüfsummen enthält. Der Aufruf
erfolgt mit /RF Dateiname, wobei Dateiname das Laufwerk und das
Verzeichnis für die Datei mit den Reparaturdaten und Prüfsummen
enthalten muß.
Die Option /RG entfernt Prüfsummen und Reparaturdaten, die mit der
Option /AG angehängt wurden.
Die Option /RV dient dazu, die einmal angehängten Prüfsummen wieder zu
entfernen. Sie kann dazu verwendet werden die Prüfsummen einer
Diskette, eines Unterverzeichnisses oder von Datei(en) zu entfernen.
/RV entfernt auf einer Diskette die Prüfsummen der Partitionstabelle,
des Bootsektors und der Systemdateien. Diese Option ist in Verbindung
mit /AV nicht zulässig.
Die Option /SAVE setzt neue Parameter für alle nachfolgenden Aufrufe
von VIRUSCAN. Die Optionen werden gespeichert, indem die Ausführbare
Datei SCAN.EXE entsprechend verändert wird. Zum Beispiel setzt der
Aufruf
SCAN /NOMEM /REPORT FILE1 /NOPAUSE /SAVE
die Standardparameter von SCAN auf /NOMEM, /REPORT und /NOPAUSE.
Der Aufruf von SCAN nur mit dem Parameter /SAVE, entfernt die
veränderten Parameter und setzt diese auf die ursprünglichen Werte von
SCAN zurück.
VIRUSCAN Version 9.28V116 Seite 15
Wenn Sie die Datei SCAN.EXE nicht ändern wollen, so verwenden Sie
stattdessen die Option @Dateiname. Diese Option ermöglicht es, die
Optionen in einer separaten Textdatei zu speichern.
HINWEIS: Sollten Sie die Option /SAVE verwenden, so müssen Sie die
Version 0.4 von VALIDATE einsetzen, wenn Sie die Prüfsummen von
SCAN ab der Version 89 prüfen wollen. Da /SAVE die ausführbare
Datei SCAN.EXE verändert, werden sich auch die Prüfcodes ändern,
wenn eine ältere Version von VALIDATE eingesetzt wird. Die
Version 0.4 von VALIDATE liefert immer die gleichen Prüfsummen,
ob die Option /SAVE nun verwendet wurde oder nicht.
Prüfsummenprogramme anderer Hersteller können unter Umständen
unterschiedliche Ergebnisse vor und nach dem Aufruf von /SAVE
liefern. /SAVE sollte daher vom Systemverwalter angehängt
werden, bevor das Programm auf einem Gerät installiert wird,
welches andere Prüfsummenprogramme verwendet.
Die Option /SHOWDATE zeigt das Datum und die Uhrzeit des letzten
Durchlaufs von SCAN an. Es wird nicht nach Viren gesucht.
HINWEIS: Wenn SCAN mit der Option /SHOWDATE aufgerufen wird, so wird
*NICHT* nach Viren gesucht, sondern nur das Datum des letzten
Durchlaufs angezeigt.
Die Option /SUB ermöglicht es, Unterverzeichnisse in
Unterverzeichnissen ebenfalls durchsuchen zu lassen. Bisher hat SCAN
Unter-Unterverzeichnisse nur dann durchsucht, wenn ein ganzes Laufwerk
(z.B. C:) durchsucht wurde.
Die Option @Dateiname ermöglicht es dem Anwender, die benötigten
Optionen und/oder zu durchsuchenden Bereiche des Systems in einer
Konfigurationsdatei zu speichern. SCAN liest dann bei jedem Aufruf
diese Datei und führt die Anweisungen aus. Die einzelnen Optionen
müssen durch Leerzeichen voneinander getrennt werden, während
Systembereiche (Laufwerke oder Unterverzeichnisse oder Dateien) in
einer separaten Zeile stehen müssen. Eine solche Datei könnte wie folgt
aussehen:
/A /BELL /CV /NOMEM /REPORT C:\VIRUSCAN\SCAN.LOG
C:
D:\BBS
E:\MCAFEE\CLEAN-UP\CLEAN.EXE
Die erste Zeile enthält die Optionen für VIRUSCAN, während die anderen
Zeilen die Namen der zu durchsuchenden Dateien, Unterverzeichnisse und
Laufwerke enthalten. Wenn Sie zur Erstellung einer solchen Datei ein
Textverarbeitungsprogramm verwenden, achten Sie bitte darauf, daß die
Datei im ASCII-Format gespeichert wird.
VIRUSCAN Version 9.28V116 Seite 16
BEISPIELE
Die folgenden Beispiele demonstrieren verschiedene Möglichkeiten, SCAN
aufzurufen.
SCAN C:
Um das Laufwerk C: zu durchsuchen
SCAN F:
Um das Laufwerk F: in einem Novell Netzwerk zu
durchsuchen
SCAN F: G: H: /A /D
Durchsucht alle Dateien in den Netzwerklaufwerken
F:, G: und H: und löscht sofort alle infizierten
Dateien, wenn Viren gefunden werden.
SCAN A:R-HOOPER.EXE
Um die Datei "R-HOOPER.EXE" im Laufwerk A: zu durchsuchen
SCAN A: /A /CV
Um alle Dateien im Laufwerk A: zu durchsuchen und Prüfsummen
für unbekannte Viren zu kontrollieren
SCAN C: D: E: /AV /NOMEM
Um Prüfsummen an die Dateien in den Laufwerken C:, D: und E:
anzuhängen; den Speicher nicht überprüfen
SCAN C: D: /M /A
Den Speicher und alle Dateien in den Laufwerken C: und D: nach
allen Viren durchsuchen.
SCAN C: /EXT A:BEISPIEL.ASC /BELL
Das Laufwerk C: nach bekannten Viren und auch nach den in der
vom Benutzer angelegten Datei BEISPIEL.ASC im Laufwerk A:
angegebenen Suchstrings durchsuchen und bei jedem gefundenen
Virus pfeifen
SCAN C: /M /NOPAUSE /REPORT A:INFECTN.RPT
Im Speicher und im Laufwerk C: nach allen Viren suchen und
ohne Bestätigungen eine Liste der infizierten Dateien in der
Datei INFECTN.RPT im Laufwerk A: ablegen
SCAN C: D: /NOPAUSE /REPORT B:VIRUS.RPT
Um die Laufwerke C: und D: ohne Unterbrechung durchsuchen zu
lassen und im Laufwerk B: eine Berichtdatei Namens VIRUS.RPT
zu erstellen.
SCAN E:\USER\DUNN E:\USER\LUCAS E:\USER\THOMAS /SUB
Um alle Unterverzeichnisse in den Verzeichnissen
USER\DUNN, USER\LUCAS und USER\THOMAS im Laufwerk
E: zu durchsuchen.
VIRUSCAN Version 9.28V116 Seite 17
SCAN C: D: E: /FAST /CERTIFY
Um die Laufwerke C:, D: und E: im Schnelldurchlauf zu
durchsuchen. Gleichzeitig auf Dateien prüfen, die keine
Prüfsummen enthalten.
SCAN @C:\SCANOPTN.LST
Starten von VIRUSCAN unter Verwendung der Konfigurationsdatei
SCANOPTN.LST, die sich im Stammverzeichnis der Platte C:
befindet.
SCAN /AD /M
Überprüft alle lokalen Festplatten und den Arbeitsspeicher
EXIT CODES
Bei Programmende setzt VIRUSCAN den DOS-ERRORLEVEL. Der ERRORLEVEL
wird dazu verwendet, um Batch-Dateien das Ergebnis von Programmen
mitzuteilen. Die von SCAN übergebenen ERRORLEVELS sind wie folgt:
Errorlevel │ Beschreibung
═══════════╪══════════════════════════════════════════
0 │ Keine Viren gefunden
1 │ Einen oder mehrere Viren gefunden
2 │ Abnormales Programmende (Programmfehler)
3 │ Eine oder mehr ungeprüfte Dateien gefunden
4 │ SCAN durch Ctrl-C or Ctrl-Break abgebrochen
Wenn der Anwender den Suchvorgang abbricht, setzt SCAN den ERRORLEVEL
auf 4. Sie können die Option /NOBREAK dazu verwenden, ein Abbrechen zu
verhindern.
VIREN ENTFERNEN
Was sollten Sie tun, wenn Sie einen Virus finden? Die Firma Kirschbaum
Software GmbH bietet Ihnen Hilfestellung bei der manuellen Entfernung
von Viren, vertreibt Desinfizierungsprogramme und weitere Informationen
über Viren.
Es gibt zunächst das universelle Virenentfernungsprogramm CLEAN-UP, das
die meisten bekannten Viren entfernt. Es wird immer zusammen mit SCAN
aktualisiert, um auch neue Viren entfernen zu können. Auch dieses
Programm können Sie entweder von Kirschbaum Software GmbH beziehen oder
in einer Kennenlernversion aus der McAfee-Mailbox, den mcafee.COM und
SIMTEL20 Archiven in InterNet oder dem McAfee Virus Help Forum in
CompuServe downloaden.
Es wird wärmstens empfohlen, daß Sie auf fachmännische Hilfe zurück-
greifen, wenn Sie mit gefährlichen Viren umgehen müssen. Eine Liste
solcher Viren finden sie weiter oben bei der Option /M. Insbesondere
bei Viren, die Daten beschädigen oder deren Verlust verursachen können,
bei Bootsektor- und Partitionstabellenviren, da ein Fehler bei deren
Entfernung zu einem völligen Datenverlust auf diesem Medium führen
kann.
VIRUSCAN Version 9.28V116 Seite 18
Wenn Sie von Hand einen Datei-Virus gänzlich entfernen wollen, so
können Sie mit den Optionen /A und /D von SCAN alle infizierten Dateien
löschen. Genauso wie beim Entfernen von Bootsektor- oder Partitions-
tabellenvirus, sollten Sie Ihren Rechner vorher ausschalten und von
einer einwandfreien, schreibgeschützten Bootdiskette starten. Nach
diesem Start sollten Sie vor weiteren Schritten alle wichtigen Daten
sichern.
REGISTRIERUNG
Sollten Sie noch nicht registriert sein, so wenden Sie sich bitte an
Kirschbaum Software GmbH Tel: 0 80 67 / 10 16
Kronau 15 Fax: 0 80 67 / 10 53
D-83550 Emmering bei Wbg.
Dort können Sie alle Modalitäten zur Registrierung der Produkte von
McAfee Associates erfahren. Auch bei privater Benutzung der McAfee-
Programme ist die Registrierung unbedingt erforderlich!
Einmal registriert, brauchen Sie sich während der Lizenzdauer um die
Beschaffung der jeweils aktuellen Version keine Gedanken mehr zu
machen, vorausgesetzt Sie nehmen den von Kirschbaum Software
angebotenen Updateservice in Anspruch. Die regelmäßige Zusendung aller
neuen Versionen ist dann sichergestellt.
TECHNISCHER SUPPORT
Um einen schnellen und effektiven Support zu erleichtern, werden Sie
gebeten, bei Rückfragen die folgenden Informationen bereit zu halten:
- den Namen und die Version des Programmes
- Typ und Hersteller des Computers, der Festplatte, sowie aller
Peripheriegeräte
- die Versionsnummer des von Ihnen verwendeten Betriebssystems,
sowie der verwendeten TSR-Programme und Systemtreiber
- Ausdrucke von CONFIG.SYS und AUTOEXEC.BAT
- Einen Ausdruck vom Speicherinhalt wie er zum Beispiel von MEM
(erst ab DOS 4.0) oder ähnlichen Programmen erstellt wird
- Eine genaue Beschreibung Ihres Problems. Bitte seien Sie so
genau wie möglich. Hilfreich ist, wenn Sie eine Hardcopy Ihres
Bildschirms haben bzw. sich am Computer befinden.
McAfee Associates können Sie erreichen über BBS, CompuServe, FAX oder
InterNet rund um die Uhr, oder über Telefon 001 408 988 3832, von
Montag bis Freitag von 7:00 bis 17:30 (Pacific Time = 9 Stunden später
als MEZ).
VIRUSCAN Version 9.28V116 Seite 19
McAfee Associates, Inc. (408) 988-3832 office
3350 Scott Blvd. Bldg. 14 (408) 970-9727 fax
Santa Clara, CA 95054-3107 (408) 988-4004 BBS (25 lines)
U.S.A USR HST/v.32/v.42bis/MNP 1-5
CompuServe GO MCAFEE
Internet support@mcafee.COM
America Online MCAFEE
Die Hotline der Firma Kirschbaum Software GmbH ist von Montag bis
Freitag in der Zeit von 9.00 Uhr bis 16.00 Uhr zu erreichen.
DAS HILFSFORUM FÜR COMPUTERVIREN IN COMPUSERVE
McAfee Associates unterhält das McAfee Virus Help Forum über
CompuServe. SCAN-Updates, Vireninformationen und Programmsupport
erhalten Sie, wenn Sie nach einem beliebigen Compuserve-Prompt "GO
MCAFEE" eingeben. Eine kostenlose Einführungsmitgliedschaft zu
Compuserve ist möglich. Genaueres finden Sie in der beiligenden
Compuserve-Datei (COMPUSER.NOT).
INTERNET ACCESS TO McAFEE ASSOCIATES SOFTWARE
The latest versions of McAfee Associates' anti-viral software is now
available by anonymous ftp (file transfer protocol over the Internet
from the site mcafee.COM. If your domain resolver does not support
names, use the IP# 192.187.128.1.
McAfee Associates' anti-viral software may also be found at the
Simtel20 archive site WSMR-SIMTEL20.Army.MIL in the PD1:<MSDOS.Virus>
directory and its associated mirror sites.
ANHANG A: Erstellen einer Virus-Textdatei mit der Option /EXT
HINWEIS: Die Option /EXT ist ausschließlich für Notfälle und
Forschungszwecke gedacht. Sie stellt eine Übergangslösung dar um
neue Viren aufzuspüren, bis eine neue Version von SCAN auf den
Markt kommt. Detaillierte Kenntnisse über Viren und
Suchstringtechniken sind die Voraussetzungen für den Einsatz
dieser Option. Es wird eine Stringlänge von 10 bis 15 Byte
empfohlen.
Die externe Virendatei muß mit einem Texteditor erstellt werden, der
die Texte als reine ASCII-Dateien ablegt. Stellen Sie sicher, daß jede
Zeile mit CR/LF abgeschlossen wird.
Die Virusdatei muß folgendes Format haben
#Kommentar zu Virus_1
"aabbccddeeff..." Virus_1_Name
#Kommentar zu Virus_2
"gghhiijjkkll..." Virus_2_Name
.
.
"uuvvwwxxyyzz..." Virus_n_Name
VIRUSCAN Version 9.28V116 Seite 20
aa, bb, cc usw. stehen dabei für die hexadezimalen Werte (Bytes) nach
denen Sie suchen lassen wollen. Jede Zeile in dieser Datei
repräsentiert einen Virus. Der Name für jeden Virus muß angegeben
werden und kann bis zu 25 Zeichen lang sein. Auch Anführungszeichen (")
am Anfang und Ende jedes hexadezimalen Suchstrings müssen angegeben
werden.
SCAN benutzt diese Textdatei um den Speicher, in der Partitionstabelle,
dem Bootsektor, den Systemdateien, allen .COM- und .EXE- und
Overlaydateien mit den Erweiterungen .APP, .BIN, .COM, .EXE, .OV?,
.PGM, .PIF, .PRG, .SWP, .SYS und .XTP nach Viren zu suchen.
Die Virenstrings können Joker enthalten. Die beiden zulässigen Joker
sind:
Joker für eine feste Position
Das Fragezeichen "?" repräsentiert an der angegebenen Position im String
ein beliebiges Byte. Der Suchstring:
"57 41 47 4E ? 52 20"
findet zum Beispiel "57 41 47 4E 45 52 20", "57 41 47 4E 9C 52 20", oder
jeden ähnlichen String, unabhängig davon welches Byte sich an fünfter
Stelle befindet.
Joker für Bereiche
Der Stern "*", gefolgt von einer Bereichszahl in Klammern "(" und ")",
stellt eine wechselnde Zahl von benachbarten, zufälligen Bytes dar. So
findet der Suchstring:
"E9 7C *(4) 37 CB"
"E9 7C 00 37 CB", "E9 7C 00 11 37 CB", und "E9 7C 00 11 22 37 CB". Der
String "E9 7C 00 11 22 33 44 37 CB" würde nicht passen, da der Abstand
zwischen 7C und 37 größer ist als 4 Bytes. Der Bereich kann bis zu 99
Bytes betragen.
Es können bis zu 10 verschiedene Joker beider Typen in einem Virusstring
angegeben werden.
KOMMENTARE
Das Doppelkreuz "#" am Zeilenanfang kennzeichnet Kommentare. Machen Sie
davon Gebrauch um in externen Virendateien Kommentare einzubauen. Zum
Beispiel:
#Neuer COM-Virus der am 22.01.91 in der Datei
#FRITZ.COM aus Schneiderland gefunden wurde
"53 48 45 45 50" Fritz-1 [F-1]
Kommentare können Sie dazu verwenden, um eine Beschreibung des Virus
einzufügen, den Namen der ursprünglich befallenen Datei, wo und wann er
gefunden wurde, und so weiter.
VIRUSCAN Version 9.28V116 Seite 21
ANHANG B: Verschiedene Anwendungshinweise
NUR DEN SPEICHER NACH VIREN DURCHSUCHEN
VIRUSCAN ist in der Lage, nur den Speicher nach Viren zu durchsuchen.
In diesem Fall wird SCAN die Festplatte nicht auf Viren überprüfen.
Diese Option ist für Netzwerkverwalter nützlich, die die einzelnen
Workstations überprüfen müssen, bevor sich diese im Netz einloggen
dürfen. Die Workstations, aufgrund von mangelndem Speicherplatz,
VSHIELD aber nicht installieren können. Der einzugebende Befehl lautet:
SCAN NUL /M /CHKHI
Indem Sie NUL als das zu durchsuchende Laufwerk angeben, wird SCAN den
Speicher (hoch bis 1088 KB wenn Sie die Option /CHKHI angeben) nach
Viren durchsuchen und zu DOS zurückkehren, ohne irgendeine Festplatte
zu durchsuchen. SCAN setzt den DOS-ERRORLEVEL wie gewohnt.
PRÜFCODES VON VIRUSCAN
Wenn Sie neue Software oder Programme auf Ihrem Rechner installieren
und VIRUSCAN oder VSHIELD mit der Option /CF, /CG oder /CV zur
Überprüfung der Prüfsummen aufrufen, müssen Sie mit der Option /AF, /AG
oder /AV von VIRUSCAN die Prüfsummen an die neuen Dateien anhängen.
Zusätzlich muß unter Umständen die versteckte Datei SCANVAL.VAL, die
die Prüfsummen der Partitionstabelle, des Bootsektors, des COMMAND.COM
und der Systemdateien enthält, ersetzt werden (machen Sie die Datei mit
dem DOS-Befehl ATTRIB sichtbar und löschen Sie sie).
Der schnellste Weg um die Prüfsummen zu aktualisieren besteht darin,
alle Prüfsummen zunächst mit der Option /RV zu entfernen und dann mit
/AV wieder überall anzufügen.
HINWEIS: Dies gilt genauso für alle neuen DOS-Versionen wie für jedes
andere Programm, das Sie auf Ihrem Rechner installieren.
FORMATIEREN INFIZIERTER DISKETTEN unter DOS 5.00 und 6.00
Wenn Sie mit MS-DOS 5.0 infizierte Disketten neu formatieren, passen
Sie bitte auf, daß Sie beim Aufruf von FORMAT den Parameter /U mit
angeben. Dadurch wird die Diskette formatiert, und der ursprüngliche
(infizierte) Bootsektor nicht gesichert. Diese Maßnahme verhindert, daß
der Virus erneut aktiviert wird, wenn die Formatierung der Diskette mit
UNFORMAT aufgehoben wird.
VIRUSCAN Version 9.28V116 Seite 22
ERSTELLEN EINER RETTUNGSDISKETTE MIT DER OPTION /AF
Die Option /AF die seit der Version 90 von SCAN verfügbar ist, erstellt
eine separate Datei, die Reparaturdaten und Prüfsummen enthält. Diese
Datei kann auch außerhalb des Systems (auf einer Diskette,
Netzwerklaufwerk, Band oder ähnlichem) gespeichert werden, und im
Bedarfsfall herangezogen werden, um das System zu überprüfen bzw. bei
Infektionen mit unbekannten Viren wieder zu desinfizieren.
Um eine Rettungsdiskette zu erzeugen, erstellen Sie sich eine
Bootdiskette mit "format A: /S" und kopieren sich VIRUSCAN (SCAN.EXE)
und CLEAN-UP (CLEAN.EXE) auf diese Diskette. Dann lassen Sie SCAN mit
der Option /AF die Festplatte überprüfen. Zum Beispiel:
SCAN C: D: /AF A:\SCANCRC.CRC
prüft die Laufwerke C: und D: auf bekannte Viren und erstelle eine
Datei Namens SCANCRC.CRC die die Reparaturdaten und Prüfsummen enthält.
Wenn SCAN fertig ist, bringen Sie an der Diskette den Schreibschutz an.
Um den Rechner auf eine Infektion zu prüfen, schalten Sie den Rechner
aus. Dann legen Sie die Rettungsdiskette ein, und schalten den Rechner
wieder ein. Der Rechner wird jetzt von der Diskette booten. Dann geben
Sie auf DOS-Ebene folgendes ein:
SCAN C: D: /CF A:\SCANCRC.CRC
um die Laufwerke C: und D: mit den in der Datei SCANCRC.CRC
gespeicherten Daten zu vergleichen.
Um Ihr System zu desinfizieren, schalten Sie den Rechner aus, legen Sie
die Rettungsdiskette ins Laufwerk A: ein und schalten Sie den Rechner
wieder ein. Der Rechner startet daraufhin von der Diskette. Danach
geben Sie auf DOS-Ebene folgende ein:
CLEAN C: D: /GRF A:\SCANCRC.CRC
Dadurch werden die Laufwerke C: und D: mit Hilfe der in der Datei
SCANCRC.CRC auf Diskette gespeicherten Daten wieder restauriert.
VIRUSCAN Version 9.28V116 Seite 23
Anhang C : Meldungen in anderen Sprachen
VIRUSCAN kann alle Meldungen in anderen Sprachen ausgeben, wenn diese
in Form einer Datei MCAFEE.MSG zur Verfügung stehen. Ist keine solche
Datei in dem Verzeichnis vorhanden, aus dem SCAN.EXE gestartet wurde,
dann werden alle Meldungen in Englisch angezeigt.
Um eine andere Sprache zu nutzen, kopieren Sie das jeweilige Sprach-
modul in das gleiche Verzeichnis, in dem auch SCAN.EXE gespeichert ist
und ändern Sie danach den Namen der Datei in MCAFEE.MSG um. Nachdem Sie
SCAN gestartet haben, wird es automatisch nach einer solchen Datei
MCAFEE.MSG suchen.
Die Datei mit den deutschen Meldungen heißt GERMAN.MSG
Hinweis: Wenn ein Modul für Programm-Meldungen in anderer Sprache benutzt
wird, erhöht sich der Speicherbedarf von Scan um die Größe
der entsprechenden .MSG-Datei (zwischen 15 und 25 KB).
WICHTIGE INFORMATION ZUM SCHLUSS :
Aufgrund der ganzen Problematik bei Virenschutzprogrammen besteht immer
die Möglichkeit, daß ein Virus gemeldet wird, obwohl kein Virus
vorhanden ist.
Wenn Sie eine solche Falschmeldung erhalten, dann treten Sie bitte mit
McAfee über Telefon 001 408 988-3832 oder über FAX 001 408 970-9727 in
Verbindung oder senden die fragliche Datei elektronisch an die Mailbox
001 408 988-4004 zusammen mit Ihrem Namen, Anschrift und Ihrer
Telefonnummer, CompuServe Kennung etc..