home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Highscreen Shareware Spiele
/
Image.iso
/
tools
/
mcafee
/
vshld116.txt
< prev
next >
Wrap
Text File
|
1994-06-21
|
43KB
|
946 lines
VSHIELD Version 5.61V116
VSHIELD1 Version 0.2
CHKSHLD Version 0.4
Copyright (C) 1989 - 1994 by McAfee Associates.
All rights reserved.
Documentation by Aryeh Goretsky.
Übersetzung von Kirschbaum Software GmbH.
McAfee Associates, Inc. (408) 988-3832 Telefon
2710 Walsh Avenue, Suite 200 (408) 970-9727 Fax
Santa Clara, CA 95051-0963 (408) 988-4004 Mailbox (25 Leitungen)
U.S.A USR HST/v.32/v.42bis/MNP 1-5
CompuServe GO MCAFEE
Internet support@mcafee.COM
America OnLine MCAFEE
VSHIELD Version 5.61V116 Seite 1
INHALTSVERZEICHNIS
Kurzbeschreibung . . . . . . . . . . . . . . . . . . . . . . . 2
- Was VSHIELD leistet
- Systemanforderungen
Echtheit . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
- Überprüfen des Originalzustandes von VSHIELD
Was ist neu? . . . . . . . . . . . . . . . . . . . . . . . . . 3
- Leistung und neu hinzugekommene Viren dieser Version
Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . . 4
- Eine Anmerkung zu den Schaltern
- Detaillierte Beschreibung von VSHIELD
Anwendung und Optionen . . . . . . . . . . . . . . . . . . . . 6
- Die Anwendung von VSHIELD
- Erläuterung der Parameter
- ERRORLEVEL bei der Programmierung von Batch-Dateien
Beispiele . . . . . . . . . . . . . . . . . . . . . . . . . .12
- Beispiele häufig verwendeter Optionen
Installation . . . . . . . . . . . . . . . . . . . . . . . . 13
- Wie Sie VSHIELD in Ihrem System installieren
- VSHIELD in Netzwerkumgebungen
Viren entfernen . . . . . . . . . . . . . . . . . . . . . . . 14
- Was zu tun ist, wenn ein Virus gefunden wird
Registrierung . . . . . . . . . . . . . . . . . . . . . . . . 16
- Wie Sie VIRUSCAN registrieren
Technischer Support . . . . . . . . . . . . . . . . . . . . 15
- Informationen die Sie bei einem Anruf parat haben sollten
Anhang A . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
- Das Erstellen einer Liste für die Option /CERTIFY
Anhang B . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
- Beispiel für Login-Script mit CHKSHLD
VSHIELD Version 5.61V116 Seite 2
KURZBESCHREIBUNG
VSHIELD ist ein Virenschutzprogramm für IBM PC und Kompatible. Es
hindert Viren, Ihren Rechner zu infizieren. Wenn VSHIELD zum
ersten Mal geladen wird, durchsucht es zunächst den Arbeits-
speicher des PC, die Partitionstabelle, den Bootsektor, System-
dateien und sich selbst nach bekannten Viren. Anschließend
installiert es sich als TSR (Terminate-and-Stay-Resident-Programm)
im Arbeitspeicher.
VSHIELD prüft auf Viren indem es nach Virenkennungen sucht und/oder die
Prüfsummen kontrolliert, die unter Umständen durch SCAN angehängt
wurden. Alle Programme werden geprüft, bevor diese in den Speicher
geladen werden. Wenn in einem aufgerufenen Programm ein Virus erkannt
wird, so läßt VSHIELD nicht zu, daß dieses Prograqmm gestartet wird.
Ebenso läßt VSHIELD nicht zu, daß ein Warmstart von einer Diskette
durchgeführt wird, auf der ein Bootvirus erkannt wurde.
Auf Wunsch kann VSHIELD Dateien auf Veränderungen hin überprüfen, wenn
an diese Dateien vorher mit VIRUSCAN (SCAN) ein Prüfcode angefügt
worden ist. Dies hilft, neue unbekannte Viren zu erkennen.
VSHIELD kann zusätzlich zum Überprüfen auf Viren benutzt werden,
während Dateien kopiert werden.
VSHIELD stellt auf Wunsch auch Zugriffskontrollen zur Verfügung, um das
Risiko durch unerwünschte Software zu reduzieren.
Es besteht aus zwei einzelnen Programmen. Das erste Programm
VSHIELD.EXE überprüft auf bekannte Viren und die durch SCAN angehängten
Prüfcodes. VSHIELD1.EXE prüft nur die mit SCAN angehängten Prüfcodes.
Beide Programme überwachen jeden Programmaufruf, egal von welchem
Laufwerk aus der Aufruf erfolgt, es sei denn, Sie haben etwas anderes
angegeben.
Das Programm VSHINST installiert ein Symbol (Icon) für VSHIELD unter
Windows 3.x. Mit diesem Symbol können VSHIELD-Meldungen aus- und
eingeschaltet werden.
Das Programm VSHWIN ermöglicht die Ausgabe von Meldungen, während
WINDOWS 3.x aktiv ist.
Mit dem Zusatzprogramm CHKSHLD kann in Verbindung mit Netzwerk-
Login-Skripts festgestellt werden, ob VSHIELD resident im Speicher ist.
VSHIELD läuft auf jedem PC mit mindestens 256 KB Arbeitsspeicher
und einer DOS Version 2.10 oder höher. VSHIELD1 belegt 6 KB
Arbeitsspeicher. Wenn VSHIELD normal geladen wird, benötigt
es 46 KB des konventionellen Speichers (unterhalb 640 KB)
bzw. 25 KB wenn EMS vorhanden ist. Mit der Swap-Option
installiert sich nur der Programm-Kern mit 5 KB in den
Speicher. VSHIELD kann auch in den oberen Speicherbereich
geladen werden und belegt dann nur 1,5 KB konventionellen
Speicher.
VSHIELD Version 5.61V116 Seite 3
ORIGINALZUSTAND
VSHIELD wird mit dem Programm VALIDATE ausgeliefert. Mit diesem
Programm können Sie ausführbare Programmdateien auf deren
Originalzustand überprüfen. Eine Anleitung zum Gebrauch von VALIDATE
finden Sie in der Datei VALIDATE.TXT.
Die Prüfergebnisse für die Version 5.61V116 müssen lauten:
Name Größe Datum Prüfergebnisse
--------------------------------------------------------
CHKSHLD.EXE S:8,171 D:08-17-93 M1: 7B3C M2: 1B48
VALIDATE.COM S:12,197 D:03-24-92 M1: D5BB M2: 166F
VSHIELD.EXE S:52,673 D:06-15-94 M1: B8E4 M2: 00F3
VSHIELD1.EXE S:18,833 D:06-24-93 M1: F414 M2: 13F5
VSHINST.EXE S:9,780 D:08-11-93 M1: 44A6 M2: 1D0F
VSHWIN.EXE S:15,927 D:08-17-93 M1: 874E M2: 0CB1
Wenn Ihre Version andere Werte liefert, dann liegt entweder eine
unzulässige Veränderung vor oder es wurden mit dem /SAVE Parameter
Ergänzungen vorgenommen. Starten Sie deshalb VSHIELD nur mit dem /SAVE
Parameter, um eventuelle Ergänzungen zu beseitigen. Danach führen Sie
nochmals eine Überprüfung mit VALIDATE durch. Die neueste Version von
VSHIELD und die Prüfcodes für VSHIELD.EXE und VSHIELD1.EXE können Sie
auch aus der Mailbox von McAfee Associates erhalten. Diese Mailbox ist
unter der amerikanischen Nummer (408) 988-4004 zu erreichen.
WAS IST NEU?
VShield Version 116 bewältigt alle Viren, die von der aktuellen Version
von ViruScan erkannt werden.
VSHIELD Version 5.61V116 Seite 4
Weitere Informationen zu neuen Viren in dieser Version finden Sie in
der Dokumentation zu VIRUSCAN und in der Datei VIRLIST.TXT. Bezüglich
ausführlicher Beschreibung der bekannten Viren verweisen wir auf
Hypertext VSUM von Patricia Hoffman (Anm.: ebenfalls über Kirschbaum
Software erhältlich).
DAS HILFSFORUM FÜR COMPUTERVIREN IN COMPUSERVE
McAfee Associates unterhält das McAfee Virus Help Forum über CompuServe.
SCAN-Updates, Vireninformationen und Programmsupport erhalten Sie, wenn
Sie nach einem beliebigen Compuserve-Prompt "GO MCAFEE" eingeben. Eine
kostenlose Einführungsmitgliedschaft zu Compuserve ist möglich. Genaueres
finden Sie in der beiligenden Compuserve-Datei (COMPUSER.NOT).
ÜBERSICHT
VSHIELD ist ein speicherresidentes Programm, das Viren daran hindert,
Ihren PC zu infizieren. VSHIELD tut dies, indem es die Programmdateien
prüft, bevor diese in den Speicher geladen und ausgeführt werden. Wird
ein Virus gefunden, oder stimmen die Prüfdaten nicht mehr, oder ist das
aufgerufene Programm nicht in der /CERTIFY-Liste enthalten, so erlaubt
VSHIELD keine Ausführung dieses Programmes und hindert damit den Virus
daran, den Computer zu infizieren. VSHIELD überprüft auch die Diskette
von der Ihr Computer gebootet werden soll auf Bootsektorviren und prüft
auf Wunsch während des Kopierens oder wann immer auf eine Datei
zugegriffen wird.
Wenn der Aufruf von VSHIELD in der AUTOEXEC.BAT erfolgt, so wird es bei
jedem Systemstart installiert. Es wird den Speicher, die Partitions-
tabelle, den Bootsektor, Systemdateien und sich selbst auf Viren
überprüfen und sich dann resident, als TSR-Programm, installieren. Von
diesem Zeitpunkt an werden alle Programmaufrufe zuvor auf Viren
untersucht.
VSHIELD Version 5.61V116 Seite 5
Wird das Gerät von einer infizierten Diskette gebootet, erkennt VSHIELD
eine eventuelle Infektion erst beim nächsten Aufruf von VSHIELD, da
sich VSHIELD im Speicher befinden muß, um einen Virus zu erkennen.
VSHIELD verfügt über vier vom Anwender wählbare Schutzniveaus
- Das Niveau I, das von VSHIELD1 zur Verfügung gestellt wird, überprüft
die Prüfcodes die mit der Option /AV bzw. /AG von VIRUSCAN angefügt
worden sind (nähres dazu finden Sie in der Dokumentation zu
VIRUSCAN). Wenn bei einem Programm diese Prüfcodes nicht mehr
stimmen, kann es nicht mehr ausgeführt werden. Wenn Prüfcodes für die
Partitionstabelle und den Bootsektor angelegt worden sind, so
überprüft VSHIELD1 auch diese. Das Niveau I bietet nur einen
minimalen Schutz und wird nicht für den normalen Gebrauch empfohlen.
Stattdessen sollten Sie VSHIELD verwenden.
- Das Niveau II, das von VSHIELD zur Verfügung gestellt wird, überprüft
die Programmdateien auf Virensignaturen. Eine Virussignatur ist ein
Teil des Viruscodes, der für den betreffenden Virus typisch ist.
Wird ein Virus gefunden, so erlaubt VSHIELD das Ausführen des
infizierten Programmes nicht. VSHIELD erlaubt es gleichfalls nicht,
daß von einer, mit einem Partitionstabellen- oder Bootsektorvirus
infizierten Diskette ein Warmstart durchgeführt wird.
- Das Niveau III, das mit VSHIELD /CV installiert wird, ist eine
Kombination der Niveaus I und II.
- Das Niveau IV das mit VSHIELD /CERTIFY realisiert wird, kombiniert
das Niveau III mit einer Zugriffskontrolle bei der angegeben wird,
welche Programme gestartet werden dürfen.
Jedes Schutzniveau hat besondere Möglichkeiten, aber auch Nachteile.
VSHIELD1 (Niveau I) benötigt am wenigsten Systemspeicher, nämlich 6 Kb,
bietet dafür aber den geringsten Schutz.
VSHIELD (Niveaus II bis IV) benötigt 46 KB an konventionellen
Speicher, bzw. 25 KB wenn EMS vorhanden. Dies kann durch
Laden in den oberen Speicher auf 1,5 KB reduziert werden.
Die Option /SWAP beläßt nur den Kern im Speicher und lädt den Rest des
Programmes nur bei Bedarf in den Speicher.
VSHIELD1 verlangsamt jeden Ladevorgang im Mittel um eine Sekunde.
VSHIELD verlangsamt jeden Programmaufruf im Mittel um eine Sekunde und
jeden Warmstart im Mittel um sechs Sekunden. Die Option /SWAP verzögert
jeden Ladevorgang nochmals um eine Sekunde, da es sich jedesmal selbst
von Diskette nachladen muß, bevor es andere Dateien prüfen kann.
Wenn das gewünschte Programm einmal geladen ist, verlangsamt VSHIELD das
System in keiner Weise. Es sei denn Programme werden aufgerufen, die
andere Programme laden und die Optionen /ACCESS oder /COPY gewählt wurde.
HINWEIS: VSHIELD und VSHIELD1 dürfen nicht gleichzeitig
installiert werden.
Das Programmm CHKSHLD wird verwendet um zu prüfen, ob sich VSHIELD
im Speicher befindet. CHKSHLD kann entweder nach einer beliebigen Version
von VSHIELD oder nach einer ganz bestimmten Version suchen. Letztere
Möglichkeit kann dazu verwendet werden, eine Workstation vom
Netzwerkserver aus mit der neuesten Version zu versehen.
VSHIELD Version 5.61V116 Seite 6
ANWENDUNG und OPTIONEN
WICHTIGER HINWEIS: ERSTELLEN SIE SICH EINE SICHERUNGSKOPIE VON VSHIELD,
INDEM SIE DIE PROGRAMME AUF EINE LEERE FORMATIERTE DISKETTE KOPIEREN UND
DIESE ANSCHLIESSEND MIT EINEM SCHREIBSCHUTZ VERSEHEN.
Um einen optimalen Schutz vor Viren zu bieten, sollte VSHIELD bzw.
VSHIELD1 am Ende der AUTOEXEC.BAT eingefügt werden. Wenn Sie in der
AUTOEXEC.BAT eine Benutzeroberfläche wie zum Beispiel die DOSSHELL von
MS-DOS starten, so muß VSHIELD zuvor aufgerufen werden.
Das Laden von Cacheprogrammen oder Netzwerktreibern nach VSHIELD kann
dazu führen, daß VSHIELD deaktiviert wird. Um dies zu vermeiden, rufen
Sie VSHIELD mit dem Parameter /RECONNECT erneut auf.
CHKSHLD sollte vom Netzwerkloginskript aufgerufen werden. Wenn sich
VSHIELD im Speicher befindet, wird der ERRORLEVEL gesetzt. Dies können
Sie sich zunutze machen, um VSHIELD auf dem aktuellen Stand zu halten.
Ein Hinweis zum Gebrauch der Optionen:
VSHIELD wurde so entworfen, daß auch dann ein guter Schutz gewährleistet
ist, wenn keine der unten genannten Optionen verwendet wird. Das Einfügen
von VSHIELD in die AUTOEXEC.BAT ohne jeden Parameter stellt, zumindest
für die meisten Fälle, einen ausreichenden Schutz dar. In denjenigen
Fällen, wo es Probleme mit dem freien Speicher gibt, können Sie die
Hochlade-Option (/LH) oder die Swap-Option (/SWAP) verwenden, um Speicher
einzusparen.
Die anderen Optionen sollten nur verwendet werden, um VSHIELD im
Bedarfsfall an besondere Umgebungen oder Sicherheitsvorschriften
anzupassen. VSHIELD bietet viele Möglichkeiten um die Bedürfnisse von
Firmen, Netzwerken und Sicherheitsumgebungen zu erfüllen, die jeweiligen
Nachteile für das System bzw. die Zugriffseinschränkungen müssen jedoch
jeweils genau abgewägt werden.
EMS-Unterstützung
VSHIELD unterstützt die Lotus-Intel-Microsoft Expanded Memory
Spezifikation (LIM-EMS) Version 3.2. Wenn Erweiterungsspeicher nach
dieser Spezifikation vorhanden ist, wird er automatisch von VSHIELD
benutzt, um darin Daten zu speichern. Der Bedarf an konventionellen
(unter 640 KB) bzw. oberen Speicher (zwischen 640KB und 1MB) wird dadurch
auf 25 KB reduziert, der Rest wandert in den EMS. Die Nutzung von EMS
kann durch die Option /NOEMS verhindert werden. Die Optionen /SWAP und
/CF {dateiname} vertragen sich nicht mit Erweiterungsspeicher und können
nur zusammen mit /NOEMS eingesetzt werden.
VSHIELD Version 5.61V116 Seite 7
Liste aller VSHIELD-Optionen:
/ACCESS - auf Viren prüfen, wenn eine Datei geöffnet wird
/BOOT - Prüft bei jedem Diskettenzugriff den Boot-Sektor
/CERTIFY dateiname - Zugriffskontrolle über die Ausnahmeliste einschalten
/CF dateiname - benutzt die in dateiname gespeicherten Rettungsdaten
/CHKHI - Prüfe den oberen Speicherbereich auf 286ern und
386ern
/CONTACT Meldung - Meldung zeigen, wenn ein Virus gefunden wird
/COPY - während des Kopiervorgangs auf Viren überprüfen
/CV - die Prüfcodes von VIRUSCAN überprüfen
/IGNORE d1:...d26: - Programmaufrufe von den Laufwerken l1 bis l26
ignorieren
/LH - VSHIELD im High Memory installieren (nur DOS 5.0)
/LOCK - System blockieren wenn ein Virus gefunden wird
/M - bei der Installierung den Speicher auf Viren
überprüfen
(siehe unten stehende Einschränkungen)
/NB - Überprüfung des Bootsektors ausschalten
/NI6510 - behebt Problem mit Racal Datacomm NI6510
/NOBREAK - Ctrl-Break / Ctrl-C während der Installation
unterdrücken
/NOCONT - das Ausführen nicht zugelassener Programme
verhindern
/NODISK - ermöglicht das Laden von Workstations aus, die über
keine Festplatte verfügen
/NOEMS - Erweiterungsspeicher nach LIM-EMS Version 3.2
wird nicht genutzt
/NOFLOPPY - Unterdrückt die Überprüfung des Boot-Sektors bei
Disketten
/NOMEM - den Speicher nicht überprüfen
/NOREMOVE - die Option /REMOVE ausschalten
/ONLY d1...d26 - das Laden von Programmen nur auf bestimmten Lauf-
werken überwachen
/RECONNECT - Verbindungen der Systeminterrupts nach Laden eines
Netzwerkes neu aufbauen
/REMOVE - VSHIELD aus dem Speicher entfernen
/SAVE - Kommandozeilenparameter als Standardwerte sichern
/SWAP Pfadname - nur den Kern von VSHIELD in den Speicher (5KB)
installieren
/F Pfadname - nur zusammen mit /SWAP und DOS 2.1 verwenden.
/WINDOWS Pfadname - Aktiviert den VSHWIN Windows Modus
Die Option /ACCESS veranlaßt VSHIELD, Programme jedesmal auf Viren zu
untersuchen, wenn die Programmdatei aus irgendwelchen Gründen geöffnet
wird. Das könnten DOS-Operationen sein, wie z.B. ATTRIB, COPY, DIR, REN,
oder auch Dateizugriffe durch Utility-Programme. /ACCESS verlangsamt
jeden Dateizugriff um etwa 15 - 20 %. Deshalb ist eine Kombination mit
/CF, /CV oder /CG nicht zu empfehlen. Die Option /ACCESS kann nicht mit
/SWAP, /BOOT oder /COPY kombiniert werden. Die Option /ACCESS ist für
besonders gefährdete Bereiche, wie zum Beispiel offene Computerlabore in
Universitäten oder Softwareentwickler gedacht. Diese Option verhindert
unter anderem, daß ein Entwickler eine infizierte Datei komprimiert und
weitergibt.
Achtung: /ACCESS muß anstelle von /COPY benutzt werden, wenn
Kopiervorgänge unter 4DOS oder WINDOWS Dateimanager
überwacht werden sollen.
/BOOT weist VSHIELD an, bei jedem Diskettenzugriff den Boot-Sektor zu
überprüfen. Diese Option funktioniert nicht in Verbindung mit dem
WINDOWS-Dateimanager. Benutzen Sie deshalb ersatzweise innerhalb WINDOWS
die Option /ACCESS. Die Optionen /ACCESS, /COPY und /SWAP können nicht
gleichzeitig mit /BOOT benutzt werden.
VSHIELD Version 5.61V116 Seite 8
Die Option /CERTIFY verhindert den Start von Programmen, die nicht
durch SCAN angehängte Prüfsummen ausgestattet sind. /CERTIFY
funktioniert nur dann, wenn /CF, /CG oder /CV benutzt wurde. Diese
Option ist für Systemverwalter gedacht, die Anwender daran hindern
wollen, Programme aufzurufen, die Viren einschleusen könnten. Damit
auch mit Programmen gearbeitet werden kann, die mit angehängten
Prüfsummen nicht mehr einwandfrei arbeiten, können Sie eine Liste
"überprüfter" Programme erstellen. Eine Anleitung, wie eine solche
Ausnahmeliste zu erstellen ist, finden Sie im Anhang A.
HINWEIS: Die Anwendung von /CERTIFY ohne /CV oder eine Ausnahmeliste
blockiert die Ausführung aller Programme, außer der internen
Befehle von DOS.
Die Option /CF benutzt die Rettungsdaten, die mit VIRUSCAN /AF abgelegt
wurden. Wenn eine Datei oder ein sonstiger kritischer Bereich verändert
wurde, so meldet VSHIELD, daß möglicherweise eine Infektion vorliegt.
Der Aufruf lautet /CF dateiname. Wobei dateiname die Datei angibt, in
die mit scan /af die Prüf- und Reparaturdaten geschrieben wurden.
Die Option /CF verträgt sich nicht mit EMS und muß deshalb immer
zusammen mit /NOEMS angewendet werden.
Option /CG prüft die Check- und Reparaturdaten, die mit scan /ag
an die Dateien angehängt wurden. Wenn eine Datei oder ein Systembereich
verändert wurde, meldet VSHIELD, daß eine Vireninfektion vorliegen könnte.
Die Option /CHKHI prüft auf Geräten mit den Prozessoren 80286/386/486 den
oberen Speicherbereich (über 640 KB). Dies schließt den Upper Memory
Bereich von 640 - 1024 KB und den High Memory Bereich von 1024 - 1088 KB
ein. Diese Option kann nicht in Verbindung mit /NOMEM verwendet werden.
Die Option /CONTACT zeigt auf dem Bildschirm eine beliebige Meldung an,
wenn ein Virus gefunden wird. Eine solche Meldung kann 50 Zeichen lang
sein, und jedes Zeichen außer dem Backslash "\" enthalten. Wenn die
Meldung mit einem Schrägstrich "/" oder einem Bindestrich "-" anfängt, so
muß die Meldung in Anführungszeichen geschrieben werden.
Die Option /COPY ermöglicht es VSHIELD, Dateien auf Viren zu überprüfen,
wenn diese kopiert werden. In Verbindung mit COPY oder DIR wird der
Bootsektor des Bootlaufwerks (Laufwerk A:) ebenfalls auf Viren überprüft.
Diese Option funktioniert nicht unter 4DOS und WINDOWS, deshalb sollten
Sie in Verbindung mit diesen Programmen ersatzweise /ACCESS benutzen.
/COPY ist zusammen mit den Optionen /ACCESS, /BOOT oder /SWAP nicht
zulässig.
Die Option /CV überprüft die Prüfcodes die von SCAN an .EXE und .COM-
Dateien angehängt wurden. Wenn eine Datei verändert wurde, stimmen die
Prüfsummen nicht mehr überein und VSHIELD wird melden, daß die Datei
verändert wurde und eventuell eine Infektion stattgefunden haben könnte.
Eine Anleitung zum Anhängen von Prüfesummen finden Sie in der
Dokumentation von VIRUSCAN.
Die Option /F wird benötigt, wenn unter DOS 2.0 die Option /SWAP
verwendet wird. Die Option /F teilt VSHIELD mit, von wo aus es geladen
wurde. Nach dem F muß der vollständige Pfadname angegeben werden.
Die Option /IGNORE gibt an, bei welchen Laufwerken Programmstarts
ignoriert werden sollen. Ignorierte Laufwerke werden nicht auf Viren
überprüft. Es können bis zu 26 Laufwerke ignoriert werden. Diese Option
ist für Netzwerke gedacht in denen Virenschutzmechanismen installiert
wurden. Auf Stand-alone Rechnern oder Netzwerken ohne jegliche
Virenschutzmechanismen sollten Sie diese Option nicht verwenden.
Die Option /LH lädt VSHIELD in den Upper Memory. Damit /LH verwendet
werden kann, muß ein Speicherverwaltungsprogramm wie zum Beispiel
EMM386.EXE von Microsoft (für 386er bzw. 486er) oder QEMM von
Quarterdeck (für 286er, 386er und 486er), NetRoom von Helix oder
386^MAX von Qualitas eingesetzt werden. Diese Option kann nicht mit
/SWAP kombiniert werden.
VSHIELD Version 5.61V116 Seite 9
Die Option /LOCK blockiert das ganze System, falls ein Virus gefunden
wird, so daß das System nicht infiziert werden kann. In diesem Fall
sollten Sie die Option /CONTACT ebenfalls verwenden, um dem Anwender
mitzuteilen was zu tun ist.
Die Option /M weist VSHIELD an, den Speicher nach allen bekannten
speicherresidenten Viren zu durchsuchen, bevor es sich selbst
installiert. Standardmäßig sucht VSHIELD nur nach gefährlichen
("Stealth") Viren. Wird während der Installation ein gefährlicher Virus
gefunden, bricht VSHIELD ab und weist den Anwender an, das System
auszuschalten, von einer virenfreien DOS-Diskette neu zu starten und das
System nach Viren zu durchsuchen. Eine Liste der gefährlichen Viren
finden Sie in der Dokumentation zu VIRUSCAN. Diese Option kann mit /NOMEM
nicht kombiniert werden.
Mit der Option /NB durchsucht VSHIELD weder die Partitionstabelle, noch
den Bootsektor. Dies gilt sowohl bei der Installation, als auch bei
Neustarts. Die Option /NB kann benutzt werden, um VSHIELD vom Netzwerk-
Server zu laden.
Die Option /NI6510 verhindert ein Problem zwischen VSHIELD und Racal-
Datacomm NI6510 Netzwerkkarten: Wenn ein PC neu gebootet wurde, traten
plötzlich fehlerhafte Datenpakete im Netzwerk auf. Dieses Problem
betrifft nur den NI6510. Auswirkungen auf andere Produkte treten nicht
auf.
Die Option /NOBREAK deaktivert die Überwachung der Tastenkombination
Ctrl-Break bzw. Ctrl-C, so daß VSHIELD während der Installation nicht
abgebrochen werden kann.
Die Option /NOCONT hindert den Anwender daran, nach der Meldung "Proceed
Anyway Y/N" mit nicht-geprüften Programmen weiterzuarbeiten.
Die Option /NODISK schaltet die Überprüfung des Bootsektors und der
Partitionstabelle während der Installation ab. Dadurch kann VSHIELD von
einem Netzwerkserver geladen werden.
Die Option /NOEMS muß angegeben werden, wenn EMS vorhanden ist aber
von VSHIELD nicht genutzt werden soll. Dies ist unbedingt notwendig
in Zusammenhang mit den Optionen /CF und /SWAP.
/NOFLOPPY unterdrückt die Überprüfung des Boot-Sektors von den
Diskettenlaufwerken A: und B:.
Die Option /NOMEM dient dazu, jegliche Speicherüberprüfung auf Viren
während der Installation zu unterbinden. Sie sollte nur dann verwendet
werden, wenn das System mit Sicherheit virenfrei ist. Diese Option kann
nicht in Verbindung mit den Optionen /CHKHI oder /M verwendet werden.
Die Option /NOREMOVE verhindert, daß VSHIELD mit der Option /REMOVE
wieder aus dem Speicher entfernt werden kann. Diese Option kann nicht mit
/REMOVE kombiniert werden.
Die Option /ONLY teil VSHIELD mit, auf welchen Laufwerken Programmstarts
überwacht werden sollen. Alle anderen Laufwerke werden ignoriert. Diese
Option kann nicht mit /IGNORE kombiniert werden.
Die Option /RECONNECT wird dazu benutzt, um, nachdem andere Programme wie
zum Beispiel Netzwerktreiber oder Cacheprogramme Interruptvektoren
verbogen haben, diese wieder in den ursprünglichen Zustand zu versetzen.
So können Sie sich das permanente entfernen und neuladen von VSHILED
sparen, wenn Sie sich in ein Netzwerk einloggen möchten.
Die Option /REMOVE destalliert VSHIELD und entfernt das Programm aus dem
Speicher. Wenn andere speicherresidente Programme nach VSHIELD geladen
wurden, so kann VSHIELD nicht entfernt werden. Diese Option kann mit der
Option /NOREMOVE deaktivert werden.
VSHIELD Version 5.61V116 Seite 10
VSHINST
VSHINST ermöglicht es, ein Icon in der Windows-Oberfläche zu
installieren, mit dem man die VSHIELD-Meldungen aus- und einschalten
kann. Um VSHINST zu starten, benutzen Sie den Befehl Datei- Ausführen
im Windows Dateimanager. Der volle Pfadname von VSHINST muß dabei
angegeben werden.
Das Programm VSHINST erzeugt eine Gruppe mit dem Namen MCAFEE im
Windows-Verzeichnis und installiert in dieser Gruppe ein Icon für
VShield.
Damit VSHINST richtig installiert werden kann und korrekt arbeiten kann
muß der Windows Programm Manager als Shell voreingestellt sein; VSHWIN
muß vorher mit der Windows-Option von Vshield installiert worden sein
und Windows muß im geschützten Modus laufen.
Die Option /SAVE wird dazu verwendet, die angegebenen Parameter für
spätere Aufrufe zu speichern. Die Optionen werden gespeichert, indem die
ausführbare Datei VSHIELD.EXE verändert wird. So setzt der Aufruf
VSHIELD /LH /M /NOBREAK /SAVE
die Standardparameter von VSHIELD werden damit auf /LH, /M und /NOBREAK
gesetzt. Wenn Sie VSHIELD nur mit /SAVE aufrufen, so werden die Parameter
wieder entfernt und die Originalparameter restauriert.
Die Option /SWAP veranlaßt VSHIELD, nur seinen Kern (3 KByte) resident zu
installieren und sich selbst bei Bedarf zu laden. Wenn nach /SWAP ein
Pfad angegeben wird, so lädt sich VSHIELD von diesem Pfad anstatt von dem
Verzeichnis aus, von dem es gestartet wurde. In Verbindung mit der Option
/COPY oder /ACCESS ist diese Option nicht zulässig.
HINWEIS: Der Parameter /SWAP sollte nur dann verwendet werden, wenn der
Computer über einen begrenzten freien Speicher für
speicherresidente Programme verfügt. Es wird empfohlen VSHIELD
wann immer möglich ohne den Parameter /SWAP zu verwenden .
Die Option /WINDOWS erlaubt die Ausgabe von Meldungen unter WINDOWS 3.x
über eine Windows-Dialogbox. Dies wird erreicht, durch die Installation
von VSHWIN.EXE im Windows-Verzeichnis und einer Veränderung der WIN.INI
Datei, damit VSHWIN bei jedem Windowsstart automatisch geladen wird.
VSHIELD sucht beim Start mit der Option /WINDOWS nach einem Verzeichnis
WINDOWS im aktuellen Laufwerk. Wenn WINDOWS dort nicht zu finden ist,
muß der Pfad angegeben werden, in den VSHWIN.EXE installiert werden soll.
ACHTUNG: Die Option /WINDOWS nimmt die notwendigen Ergänzungen für
WINDOWS vor und muß nur einmal ausgeführt werden.
Wenn diese Option angegeben wird, ohne daß Windows gestartet
wird, so hat dies keinen Einfluß.
Damit VSHWIN unter Windows Meldungen ausgeben kann, muß VShield
mit der Option /ACCESS gestartet werden.
ERRORLEVELS
VSHIELD setzt bei seiner Installierung den DOS Errorlevel wie folgt:
Wert │ Beschreibung
──────┼────────────────────────────────
0 │ keine Viren gefunden
1 │ einen oder mehr Viren gefunden
2 │ Programmabbruch (Fehler)
VSHIELD Version 5.61V116 Seite 11
Zulässige Parameter von VSHIELD1 sind nachfolgend aufgeführt:
VSHIELD1 /NB /REMOVE
Die Optionen sind:
/NB - den Bootsektor bei der Installation und Neustarts nicht
überprüfen
/REMOVE - VSHIELD1 aus dem Speicher entfernen
Die Option /NB veranlaßt VSHIELD1 dazu, den Bootsektor und die
Partitionstabelle bei der Installation und Neustarts nicht zu überprüfen.
Durch /REMOVE wird VSHIELD1 aus dem Speicher entfernt. Wenn andere
speicherresidente Programme nach VSHIELD1 geladen wurden, so kann
VSHIELD1 nicht entfernt werden.
Zulässige Parameter von CHKSHLD sind nachfolgende aufgeführt:
CHKSHLD /DEBUG /Q /V xxxxx /? /H /HELP
Die Optionen sind:
/DEBUG - Version und Errorlevel auf dem Bildschirm anzeigen
/Q - Stiller Modus (Keine Anzeigen auf dem Bildschirm)
/V xxxxx - Überprüfen ob die Version 'xxxxx' von VSHIELD
installiert ist
/? /H /HELP - Hilfebildschirm anzeigen
Die Option /DEBUG zeigt die Version des installierten (wenn resident)
VSHIELD und den zurückgelieferten Errorlevel auf dem Bildschirm an.
Die Option /Q unterdrückt die Anzeige von Informationen auf dem
Bildschirm.
Die Option /V prüft, ob sich eine bestimmte Version von VSHIELD im
Speicher befindet. Zum Beispiel "5.4 V104" für die Version 5.4 V104.
Achtung: Wenn zwischen der Release- und der Versionsnummer ein
Leerzeichen vorkommt, muß der Ausdruck in Anführungszeichen
gesetzt werden.
Die Optionen /?, /H oder /HELP zeigen einen Hilfebildschirm an.
DIE ERRORLEVEL VON CHKSHLD
CHKSHLD setzt den Errorlevel auf einen der folgenden Werte:
ERRORLEVEL │ BESCHREIBUNG
───────────┼──────────────────────────────────────────────────────
0 │ VSHIELD ist resident im Speicher, oder, falls /V
│ verwendet wurde, befindet sich die angegebene Version
│ resident im Speicher
1 │ VSHIELD ist resident im Speicher, stimmt aber nicht
│ mit /V überein
2 │ VSHIELD ist nicht resident im Speicher
3 │ Programmabbruch (Fehler)
VSHIELD Version 5.61V116 Seite 12
ANWENDUNG
CHKSHLD ist primär für Netzwerkverwalter gedacht, damit diese die Systeme
der Anwender auf VSHIELD überprüfen können, bevor sich diese ins Netz
einloggen dürfen. Für private Anwender oder Anwender ohne Netzwerk ist
dieses Programm nicht empfehlenswert.
Ein Loginscript für Novell NetWare finden Sie im Anhang B.
BEISPIELE
Die folgenden Beispiele zeigen Aufrufe mit verschiedenen Parametern:
VSHIELD
Um VSHIELD zu installieren (Schutzniveau II)
VSHIELD /CV
Um VSHIELD zu installieren (Schutzniveau III)
VSHIELD /CERTIFY AUSNAHME.LST
Um VSHIELD (Schutzniveau IV) mit der Ausnahmen-Liste
AUSNAHME.LST zu installieren.
VSHIELD /SWAP
Um den Kern von VSHIELD resident zu installieren und den Rest
vom Stammverzeichnis der Diskette/Festplatte bei DOS 3.0
Systemen oder darüber nachzuladen
VSHIELD /SWAP /F C:\VSHIELD.EXE
Um den Kern von VSHIELD resident zu installieren und den Rest
vom Stammverzeichnis der Diskette/Festplatte bei DOS 2.0-
Systemen nachzuladen.
VSHIELD /CV /CONTACT "Bitte an den Systembetreuer wenden"
Um das Schutzniveau III von VSHIELD zu installieren und die
Meldung zwischen den Anführungszeichen ausgeben, wenn ein Virus
gefunden wird.
VSHIELD /M /CHKHI /CV /LH /WINDOWS
VSHIELD durchsucht den konventionellen Speicher, den Upper-
Memory und den High-Memory nach allen speicherresidenten Viren
bevor es sich selbst im oberen Speicher mit dem Schutzniveau II
installiert, im windows-kompatiblen Modus.
VSHIELD /RECONNECT
VSHIELD nach dem Laden von Netzwerktreibern erneut aktivieren.
CHKSHLD /V "5.4 V104" /Q
Prüft, ob die Version 5.4 V104 installiert ist. Es erscheit
keine Meldung.
VSHIELD Version 5.61V116 Seite 13
INSTALLATION
Für einen optimalen Schutz sollten Sie VSHIELD als letzten Eintrag in die
AUTOEXEC.BAT aufnehmen. Wenn Sie mit einer Benutzeroberfläche arbeiten,
dann rufen Sie VSHIELD in der AUTOEXEC.BAT vor dieser Benutzeroberfläche
auf.
EIN HINWEIS ZU VSHIELD IN NETZWERKEN
Wenn Sie Netzwerktreiber verwenden, so *MUSS* VSHIELD NACH den
Netzwerktreibern mit /RECONNECT erneut aufgerufen werden. VSHIELD kann
sonst Programmaufrufe nicht mehr wahrnehmen, weil die Netzwerktreiber
die Systeminterrupts von DOS ersetzen.
Es wird empfohlen, daß VSHIELD nicht im Swap-Modus betrieben wird, sofern
der Arbeitspeicher dies zuläßt. Die Option /SWAP verkabgsant das System
und kann in Verbindung mit Programmen die den Speicher nicht korrekt
anfordern Probleme verursachen. Sollten Probleme auftreten, entfernen Sie
den Parameter /SWAP und booten Sie das Gerät neu. Verfügen Sie nicht über
ausreichend Speicher um VSHIELD ohne den Swap-Modus zu betreiben, so
verwenden Sie stattdessen VSHIELD1.
Netzwerke, außer dem Microsoft LAN Manager, deren Workstations unter
Windows 3.0 auf einem HPLJ II (oder kompatibel) über das Netzwerk drucken
wollen, könnten Probleme mit Datensalat am Drucker bekommen, wenn VSHIELD
installiert ist. Dies ist der Fall, weil andere Netzwerktreiber den
Drucker unter Umständen nicht richtig umleiten. Das Problem kann behoben
werden, indem der Text "LPT1:" durch "LPT1.PRN" ersetzt oder auf Windows
3.1 upgedatet wird. "LPT1.OS2:" in der WIN.INI darf nicht geändert
werden.
Startet man VSHIELD von einem Netzwerk-Laufwerk, so sollte man für
VSHIELD die Attribute EXECUTE ONLY, READ ONLY und SHAREABLE vergeben.
Wenn die Arbeitsstation von einem lokalen Laufwerk gebootet wird, dann
ist /NODISK anzugeben. Wird die Arbeitsstation über eine BOOT ROM auf
einer Netzwerkkarte gebootet, dann gibt man als Option /NB an.
VSHIELD Version 5.61V116 Seite 14
DAS ENTFERNEN VON VIREN
Was sollen Sie tun, wenn Sie einen Virus finden? Hilfestellung bei der
manuellen Entfernung von Viren, Virenentfernungsprogramme und weitere
Informationen über den Virus können Sie bei Kirschbaum Software GmbH
bekommen.
Es gibt auch noch das universelle Virenentfernungsprogramm CLEAN-UP, das
die meisten bekannten Viren entfernt. Zusammen mit SCAN wird es
regelmäßig upgedated um auch neue Viren entfernen zu können. Auch dieses
Programm können Sie entweder bei Kirschbaum Software GmbH kaufen oder von
der Mailbox bei McAfee Associates, dem McAfee Virus Help Forum in
CompuServe oder dem mcafee.COM Archiv im Internet downloaden.
Es wird wärmstens empfohlen, daß Sie auf fachmännische Hilfe
zurückgreifen, wenn Sie mit Viren umgehen müssen und im Umgang mit
Antivirenprodukten bzw. Virenschutzmethoden unerfahren sind. Dies trifft
besonders bei kritischen Viren und Partitionstabellen- und Bootsektorviren
zu, da eine nicht sachgemäße Entfernung dieser Viren einen Verlust aller
Daten auf der/den infizierten Diskette(n) verursachen kann. Eine Liste
der kritischen Viren finden Sie in der Dokumenation von VIRUSCAN.
Bitte wenden Sie sich an die Firma Kirschbaum Software GmbH, wenn Sie
Hilfe bei der Entfernung von Viren benötigen.
Wenn Sie einen Dateien befallenden Virus von Hand entfernen wollen, so
können Sie alle infizierten Dateien mit den Parametern /A und /D von SCAN
überschreiben und löschen.
Bevor Sie einen Bootsektor- oder Partitionstabellenvirus entfernen,
sollten Sie mit einer virenfreien Diskette einen Kaltstart durchführen
und alle wichtigen Daten sichern.
REGISTRIERUNG
Sollten Sie noch nicht registriert sein, so wenden Sie sich bitte an
Kirschbaum Software GmbH
Kronau 15
D-83550 Emmering bei Wbg.
Tel. 0 80 67 / 10 16
Fax 0 80 67 / 10 53
Dort können Sie alle Modalitäten zur Registrierung der Produkte von
McAfee Associates erfahren.
Einmal registriert, brauchen Sie sich übrigens um die Beschaffung der
jeweils aktuellen Version keine Gedanken mehr zu machen. Die regelmäßige
Zusendung der aktuellen Versionen ist in der Registriergebühr enthalten.
VSHIELD Version 5.61V116 Seite 15
TECHNISCHER SUPPORT
Um einen schnellen und effektiven Support zu erleichtern, werden Sie
gebeten bei Rückfragen die folgenden Informationen bereit zu halten:
- den Namen und die Version des Programmes
- Typ und Hersteller des Computers, der Festplatte sowie aller
Peripheriegeräte
- die Versionsnummer des von Ihnen verwendeten Betriebssystems,
sowie der verwendeten TSR-Programme und Systemtreiber
- Ausdrucke von CONFIG.SYS und AUTOEXEC.BAT
- Einen Ausdruck vom Speicherinhalt wie er zum Beispiel von MEM
(erst ab DOS 4.0) oder ähnlichen Programmen erstellt wird
- Eine genaue Beschreibung Ihres Problems. Bitte seien Sie so
genau wie möglich. Hilfreich ist, wenn Sie eine Hardcopy Ihres
Bildschirms haben bzw. sich am Computer befinden.
Die Hotline der Firma Kirschbaum Software GmbH ist von Montag bis Freitag
in der Zeit von 9.00 Uhr bis 16.00 Uhr zu erreichen. Per Fax können Sie
uns rund um die Uhr erreichen.
Kirschbaum Software GmbH Tel. 0 80 67 / 10 16
Kronau 15 Fax. 0 80 67 / 10 53
D-83550 Emmering bei Wbg.
VSHIELD Version 5.61V116 Seite 16
ANHANG A: Das Erstellen einer Ausnahmeliste für die Option /CERTIFY
HINWEIS: Die Option /CERTIFY ist für die Fälle vorgesehen, wo von nicht
geprüfter Software ein erhöhtes Infektionsrisiko ausgeht. Diese
Option ist nicht geeignet, wenn in regelmäßigen Abständen neue
Software in ein System eingebracht werden soll.
Wenn die Ausnahmeliste mit einem Editor oder einer Textverarbeitung
erstellt wird, muß diese als reiner ASCII-Text abgespeichert werden.
Stellen Sie sicher, daß jede Zeile mit einem Wagenrücklauf (CR) und
Zeilenvorschub (LF) abgeschlossen wird.
Wird /CERTIFY in Verbindung mit /CV gestartet, so können nur Dateien
gestartet werden, an die mit VIRUSCAN Prüfsummen angefügt wurden bzw.
die in der Ausnahmeliste enthalten sind. Wird /CERTIFY in Verbindung
mit /CV und einer Ausnahmeliste aber ohne SCAN-Prüfsummen betrieben,
können nur die Programme aufgerufen werden, die in der Ausnahmeliste
aufgeführt sind.
Die Ausnahmeliste hat folgendes Format:
l:\pfadnam1\datein1.erw
*Kommentar
.
.
l:\pfadnamx\dateinx.erw
*weitere Kommentare
"l:" steht dabei für das Laufwerk, "\pfadnam1\" steht für den Pfadnamen
und "datein1.erw" steht für den Namen einschließlich Namenserweiterung
dieser Datei. Eine Ausnahmeliste kann bis zu 1.000 Zeichen umfassen.
Kommentarzeilen beginnen mit einem Stern "*" und werden von VSHIELD
ignoriert.
Wird /CERTIFY ohne eine Ausnahmeliste installiert, so können nur interne
DOS-Befehle ausgeführt werden. Es können dann keinerlei Programme
gestartet werden.
VSHIELD Version 5.61V116 Seite 17
Anhang B: Verschiedene Anwendungshinweise
BEISPIEL EINES NOVELL LOGIN-SCRIPTS UND EINER BATCH-DATEI
FÜR VSHIELD UND CHKSHLD
Das folgende Listing ist ein Beispiel für ein Login-Script für einen
Netzwerkverwalter unter Novell NetWare. Das Login-Script ermittelt den
ERRORLEVEL von Novell NetWare und zeigt dann auf dem Anwenderbildschirm
die Fehlermeldungen an. Das Script wechselt dann in eine Batchdatei, das
den Anwender ausloggt, wenn mit CHKSHLD ein interner Fehler aufgetreten
ist, VSHIELD nicht installiert wurde oder auf dem einloggenden Rechner
eine ältere Version installiert ist.
(Anfang des Novell Einloggsscripts)
#CHKSHLD /V "5.4 V104"
IF ERROR_LEVEL = "3" THEN
FIRE PHASERS 5 TIMES
WRITE "In CHKSHLD ist ein interner Fehler aufgetreten."
WRITE "Bitte wenden Sie sich an den Systemverwalter."
#COMMAND /C NOLOGIN.BAT
EXIT
ELSE
IF ERROR_LEVEL = "2" THEN
FIRE PHASERS 5 TIMES
WRITE "VSHIELD ist auf Ihrem Rechner nicht installiert."
WRITE "Zugriff verweigert."
WRITE "Bitte wenden Sie sich an den Systemverwalter."
#COMMAND /C NOLOGIN.BAT
EXIT
ELSE
IF ERROR_LEVEL = "1" THEN
FIRE PHASERS 5 TIMES
WRITE "Es ist eine alte Version von VSHIELD installiert."
WRITE "Der Netzwerkzugriff wurde verweigert."
WRITE "Bitten Sie den Systemverwalter eine neue Version"
WRITE "zu installieren."
#COMMAND /C NOLOGIN.BAT
EXIT
END
END
END
(Ende des Novell Einloggsscripts)
(Anfang der Beispieldatei NOLOGIN.BAT)
ECHO OFF
REM Den Anwender aus dem Netzwerk ausloggen
LOGOUT
(Ende der Beispieldatei NOLOGIN.BAT)
Natürlich können auch komplexere Login-Scripts erstellt werden, die z.B.
an den Supervisor eine Nachricht übermitteln wenn ein Fehler auftritt
oder die Version von VSHIELD aktualisieren, wenn der Anwender sich
einloggt und so weiter. Dieses Beispiel soll auch nur als Beispiel für
die Anwendung von CHKSHLD dienen. Aus Sicherheitgründen wird empfohlen
die Datei NOLOGIN.BAT auf dem lokalen Laufwerk des Anwenders anzulegen.