PC Welt 1997 July

home *** CD-ROM | disk | FTP | other *** search

/ PC Welt 1997 July / Freeware CD.iso / antivir / drweb / DRWEB!.EXE / DRWEB.ME < prev next >

Wrap

Text File | 1997-04-30 | 72.5 KB | 1,568 lines

DDDDDDD RRRRRRR WW WWW WW EEEEEEEEE BBBBBBB DDDDDDDD RRRRRRRR WW WWWW WW EEEEEEEEE BBBBBBBB DD DD RR RR WW WW WW WW EE BB BB DD DD RR RR WW WW WW WW EE BB BB DD DD RRRRRRRR WW WW WW WW EEEEEEEEE BBBBBBBB DD DD RRRRRRR WW WW WW WW EEEEEEEEE BBBBBBBB DD DD RR RR WW WW WW WW EE BB BB DD DD RR RR .. WW WW WW WW EE BB BB DDDDDDDD RR RR .... WWWW WWWW EEEEEEEEE BBBBBBBB DDDDDDD RR RR .. WWW WWW EEEEEEEEE BBBBBBB Version 3.x 1997 Autor Igor A. Daniloff Das Antivirusprogramm Dr. Web ist ein kommerzielles Softwareprodukt. Falls Sie es nützlich finden und keine lizensierte Version besitzen, so sollten Sie eine lizensierte Version beziehen und sich registrieren lassen. Der Wert der Informationen in Ihrem Computer ist nicht vergleichbar mit den Kosten des Programmes Dr. Web. Das Dr. Web Antivirusprogramm enthält die folgenden Dateien: ┌────────────┬────────┬─────────────────────────────────────────┐ │ Datei │ Größe │ Inhalt │ ├────────────┼────────┼─────────────────────────────────────────┤ │HISTORY.WEB │ - │ Kurze Geschichte des Programmes Dr. Web │ │VIRLIST.WEB │ - │ Liste der dem Programm Dr. Web bekannten│ │ │ │ Viren │ │VIRTABLE.WEB│ 205028 │ Kurze Beschreibung der dem Programm │ │ │ │ bekannte Viren │ ├────────────┼────────┼─────────────────────────────────────────┤ │DRWEB.EXE │ 217020 │ Dr. Web Antivirusprogramm │ │DRWEB.HL1 │ 17170 │ Datei für Online Hilfe (Deutsch) │ │DRWEB.HL2 │ 18571 │ Datei für Online Hilfe (Englisch) │ │DRWEB.ICO │ 766 │ Icon für MS-Windows │ │DRWEB.INI │ 1024 │ Dr. Web Einstellungen │ │DRWEB.ME │ 74283 │ Handbuch │ │DRWEB.PGP │ 294 │ Dr. Web Signature │ │WEBymmdd.vvv│ nnnn │ Add-on zur Virendatenbasis │ └────────────┴────────┴─────────────────────────────────────────┘ ANMERKUNG: Im Lieferumfang von Dr. Web können eine oder mehrere Dateien WEBymmdd.vvv enthalten sein - dies sind Add-on's (Zusatzdateien) zur internen Virendatenbasis von Dr. Web. Wie diese Add-on-Dateien zur Anwendung gelangen ist in Kapitel 1.4 "Der Befehl UPDATE im Hauptmenü" beschrieben. Übersicht Dr. Web durchsucht den Arbeitsspeicher und die Laufwerke nach Viren, die dem Programm bekannt sind. Es kann ebenfalls eine heuristische Analyse (Codeanalyse) von Dateien und Systembereichen durchgeführt werden, um neue und unbekannte Viren zu entdecken. Es wird empfohlen, Dr. Web auf einer virenfreien, schreibgeschützten, bootfähigen (System-) Diskette vorzuhalten, um nach dem Starten des Rechners von dieser Diskette Dr. Web ausführen zu können. Dr. Web kann im interaktiven oder Batch-Modus ausgeführt werden. Der Batch-Modus ist vor allem für die Ausführung von Dr. Web aus einem Batchprogramm interessant (z. Bsp. aus der AUTOEXEC.BAT bei jedem Start des Computers). Die Ausführung im Batchmodus wird weiter hinten beschrieben. Zunächst wird die Arbeit im interaktiven Modus erläutert. 1. ARBEITEN MIT DR. WEB IM INTERAKTIVEN MODUS Zuerst installieren Sie Dr. Web auf Ihrem Rechner. Dazu erstellen Sie zunächst eine Verzeichnis (z. Bsp. DRWEB in Laufwerk C:), wechseln in dieses Verzeichnis und kopieren alle Dateien vom Da- tenräger mit Dr. Web dorthin. In diesem Handbuch wird angenom- men, daß Dr. Web in C:\DRWEB installiert wurde. Um Dr. Web im interaktiven Modus zu starten, ist am DOS-Prompt das Kommando >drweb einzugeben und mit der Taste <Eingabe> abzuschließen.. Falls Sie die Datei DRWEB.EXE umbenennen (wird empfohlen, um die gezielte Suche von Viren nach dem Programm DRWEB.EXE zu erschwe- ren), so muß die Datei DRWEB.INI analog umbenannt werden, also zum Bsp. DRWEB.EXE --> ANTIVIR.EXE und DRWEB.INI --> ANTIVIR.INI. Nach dem Programmstart erscheint auf dem Bildschirm die Menülei- ste: Dr.Web Teste Setup Update [F1] Hilfe █████████████████████████████████████████████████████████████████ █╔═════════════════════ Scan-Fenster ═════════════════════╗█ █║ ║█ Fig. 1. Dr. Web's Hauptmenüs Mittels der Menüs und der Menübefehle kann das Programm konfigu- riert, Ihren Anforderungen angepaßt und es kann ein Update durch Hinzufügen von Add-Datenbasen vorgenommen werden. Mit [F1] wird die On-line Hilfe aktiviert. ───────────────┬───────────────────────────────────────────────── Menüname │ Funktion ───────────────┼───────────────────────────────────────────────── Dr.Web │ Die Befehle in diesem Menü dienen zur Anzeige │ von Informationen über die Programmversion, bie- │ ten einen Ausgang zu DOS und beenden das Pro- │ gramm. ───────────────┼───────────────────────────────────────────────── Teste │ Die Befehle in diesem Menü werden zum Prüfen von │ Dateien und Systembereichen, zum Entfernen von │ Viren und zur Anzeige von Ergebnissen der ak- │ tuellen Sitzung benutzt. ───────────────┼───────────────────────────────────────────────── Setup │ Die Befehle in diesem Menü werden zur Anpassung │ an die Anwenderanforderungen benutzt. ───────────────┼───────────────────────────────────────────────── Update │ Mit diesem Befehl können Add-on Dateien zur Ak- │ tualisierung an die Hauptdatenbasis angefügt │ werden. ───────────────┼───────────────────────────────────────────────── [F1] Hilfe │ Aktivierung der On-line Hilfe. ───────────────┴───────────────────────────────────────────────── Mit [F10] wird die Menüleiste aktiviert. Die Pfeiltasten [NACH RECHTS] und [NACH LINKS] dienen der Menüauswahl und mit der Taste <Eingabe> wird das ausgewählte Menü geöffnet. Mit den Pfeiltasten [NACH OBEN] und [NACH UNTEN] wird der gewünschte Befehl selektiert und durch Drücken von <Enter> zur Ausführung gebracht. Durch Anklicken mit der linken Maustaste können Menüs geöffnet und Kommandos ausgeführt werden. Eine weitere Bedienmöglichkeit besteht in der Benutzung hervor- gehobener Buchstaben in den Namen von Menüs/Befehlen. Mit der Tastenkombination <Alt+hervorgehobener Buchstabe> werden Menüs geöffnet und mit der Taste <hervorgehobener Buchstabe> Befehle zur Ausführung gebracht. Z.B., im Menüname "Dr.Web" ist der Buchstabe "D" hervorgehoben. Um dieses Menü zu öffnen, kann man deshalb die Tastenkombination <Alt+D> drücken. 1.1 Das Menü DR.WEB enthält die Befehle: DOS Shell, ÜBER..., und EXIT. Dr.Web Teste Setup Update [F1] Hilfe ┌─────────────┐██████████████████████████████████████████████████ │ Dos Shell │════════════ Scan-Fenster ══════════════════╗█ │ Über ... │ ║█ │ Exit Alt-X │ ║█ └─────────────┘ ║█ Fig. 2 Menü Dr.Web 1.1.1 Der Befehl DOS Shell Dieses Kommando bietet einen Ausgang zur DOS-Ebene. Durch Eingabe von >EXIT am DOS-Prompt kehren Sie Dr. Web zurück. ┌─────────────────────────────────────────────────────┐ │ Eingabe "EXIT" für Rückkehr zu Dr. Web... │ │ │ │ Microsoft(R) MS-DOS(R) Version 6.20 │ │ (C)Copyright Microsoft Corp 1981-993. │ │ │ │ │ │ │ │ │ │ C:\DRWEB> │ └─────────────────────────────────────────────────────┘ Auf der DOS-Ebene können verschiedene Operationen ausgeführt werden, wie das Umbennen infizierter Dateien oder das Retten wertvoller Daten... Hinweis: Benutzen Sie diesen Befehl NICHT um Dr. Web zu "beenden". Dr. Web bleibt nämlich im Arbeitsspeicher resident und verringert so dessen verfügbare Größe. 1.1.2. Der Befehl ÜBER... Mit diesem Befehl werden die Versionsnummer von Dr. Web und Copyrightinformationen zum Programm angezeigt. Hat Ihre Version ein gewisses Alter, so wird Dr. Web darauf hin- weisen und den Erwerb eines aktuellen Updates empfehlen. Die Sache ist die, daß immer wieder die neue Viren erscheinen, für deren Bekämpfung die veräaltete Version ungeeignet ist. Diese Meldung verhindert aber das korreckte Verhalten des Programmes nicht. Fär die Entdeckung der neuen Viren bleibt der heuristische Analyser immer recht leistungfähig. 1.1.3. Der Befehl EXIT Mit diesem Befehl oder durch Verwendung der Kurztastenkombination <Alt+X> wird Dr. Web beendet. 1.2. Das Menü TESTE In diesem Menü befinden sich die Befehle: SPEICHERTEST, SCANNE, Säubern, STATISTIK, REPORT. Mittels dieser Befehle kann nach Viren gesucht werden, können Viren entfernt werden, ist die Statistik der aktuellen Sitzung aufrufbar und können der aktuelle und frühere Reports zur Anzeige gebracht werden (sieh Fig.3). Dr.Web Teste Setup Update [F1] Help ████████┌────────────────┐████████████████████████████████████████ ██╔═════│ Speichertest │═══ Scan-Fenster ═══════════════╗██ ██║ │ Scanne F5 │ ║██ ██║ │ Säubern Ctrl+F5│ ║██ ██║ │ Statistik │ ║██ ██║ │ Report │ ║██ ██║ └────────────────┘ ║██ Fig. 3 Das Menü TESTE 1.2.1. Der Befehl SPEICHERTEST Mit diesem Befehl können Sie während der Dr.Web-Sitzung nochmal den Arbeitsspeicher auf Viren durchsuchen. Falls Dr.Web im Speicher einen unbekannten Virus entdeckt, zeigt er auf dem Bildschirm die folgende Meldung an: "Im Speicher (F900:0350) kann sich ein AKTIVER RESIDENTER VIRUS befinden!" Manchmal kann diese Meldung auch nach der Entfernung dieses residenten Viruses auf dem Bildschirm erscheinen! Falls Dr.Web im Speicher einen bekannten Virus entdeckt, gibt er auf dem Bildschirm die folgende Warnung mit dem Virusnamen an: "Speicher (74FC:000F) infiziert mit Zz.412 - beseitigt!" Meistens entfernt Dr.Web ihm bekannten Viren aus dem Speicher. Beim wiederholten Test kann die Warnmeldung manchmal auch NACH der Entfernung des residenten Viruses auf dem Bildschirm erschei- nen! In jedem Fall wird nach der Entdeckung eines Viruses im Speicher empfohlen, den Computer von einer bootfähigen, schreibgeschützten und virenfreien Diskette zu starten. Diese Diskette sollte auch die Programme Dr.Web und V-Hunter enthalten, um diese nach dem Start des Computers von der Diskette ausführen zu können. 1.2.2. Der Befehl SCANNE Dieser Befehl wird benutzt, um den Computer auf Viren zu unter- suchen. Er bringt folgende Dialogbox zur Anzeige: ╔═[]═════════ Scan-Pfad ════════════╗ ║ ║ ║ ┌─────────────────────────────┐ ║ ║ │* │ ║ ║ └─────────────────────────────┘ ║ ║ [X] Unterverzeichnisse ║ ║ ║ ║ OK ▄ Abbruch ▄ ║ ║ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀▀ ║ ╚═════════════════════════════════════╝ Fig. 4 Dialogbox "Scan-Pfad" Das Textfeld enthält das Zeichen '*'. In dieses Textfeld können vollqualifizierte (einschließlich Laufwerksbuchstabe) Verzeich- nisse bzw. Dateinamen eingegeben werden. Es kann das Ersetzungs- zeichen '*' benutzt werden. Es folgen einige Beispiele: ═══════════════╦═════════════════════════════════════════════════ Scan-Pfad ║ Beschreibung ═══════════════╬═════════════════════════════════════════════════ * oder *: ║ Scannen aller lokalen logischen Laufwerke ───────────────╫───────────────────────────────────────────────── C: ║ Scannen aller Dateien in Laufwerk C: ───────────────╫───────────────────────────────────────────────── C:\DOS oder ║ Scannen aller Dateien im Verzeichnis C:\DOS C:\DOS\* oder ║ C:\DOS\*.* ║ ───────────────╫───────────────────────────────────────────────── C:\DOS\FILE.* ║ Scannen aller Dateien mit dem Namen FILE und be- ║ liebiger Namenserweiterung im Verzeichnis C:\DOS ───────────────╫───────────────────────────────────────────────── C:\DOS\*.EXE ║ Scannen aller Dateien mit der Erweiterung EXE im ║ Verzeichnis C:\DOS ═══════════════╩═════════════════════════════════════════════════ Hinweis: Falls das Ersetzungszeichen `*' zur Spezifikation der Laufwerke angegeben wird, so werden alle lokalen logi- schen Laufwerke durchsucht. NICHT durchsucht werden virtuelle Laufwerke (DOS-Befehl SUBST), CD-ROM Lauf- werke und entfernte (Netz-)Laufwerke. Hinweis: Standardmäßig werden die Unterverzeichnisse eines ausgewählten Verzeichnisses mit durchsucht. Mit Hilfe des Kontrollküstchen <Unterverzeichnisse> können Sie diese Option abschalten. ...Hinweis: Erfolgt keine Dateispezifikation, so bedeutet "alle Dateien", daß alle Dateien gemäß der Voreinstellung in der Dialogbox "Pfade" (Befehl Setup->Pfade) geprüft werden. Es ist zulässig mehrere Spezifikationen anzugeben. Diese müssen durch ein Leerzeichen getrennt sein. Zum Beispiel: A: C:\DOS C:\UTIL\PROG D:\WINDOWS Die Schaltflächen <OK>, <Abbruch> dienen zum Starten des Suchprozesses bzw. zum "Schließen" der Dialogbox ohne eine Aktion auszuführen. Wird mit OK der Scan-Prozess gestartet, werden verschiedene In- formationen in das SCAN-Fenster ausgegeben. Dazu gehören die Namen der untersuchten Dateien, für Archive und gepackte Dateien die Namen der Archivprogramme bzw. der Packprogramme und im Falle einer Infektion der Name des Virus. Nach Abschluß des Scanvorganges wird ein Report ausgegeben (sieh. Fig. 5). ╔═════════════════════ Scan-Fenster ════════════════════════════╗ ║ Suche nach Viren und infizierten Programmen auf Laufwerk A: ║ ║ Boot-Sektor infiziert mit Form ║ ║ A:\FORMAT.COM infiziert mit Tiny.129 ║ ║ A:\VIRUS.COM infiziert mit Fy.338 ║ ║ A:\SMARTDRV.EXE infiziert mit Tchechen.1912 ║ ║ A:\FTW1.COM gepackt mit PKLITE ║ ║ A:\C-639.COM infiziert mit Hizhnak.639 ║ ║ A:\AINEXT.EXE infiziert mit RDA.Fighter.7408 ║ ║ A:\COMMAND.COM infiziert mit Ox.475 ║ ║ Bericht für Laufwerk A: ║ ║ Geprüft: Dateien und Sektoren - 9 ║ ║ Erkannt: Viren und infizierte Programme - 7 ║ ║ Benötigte Zeit: 00:00:17 ║ ╚═══════════════════════════════════════════════════════════════╝ Fig. 5 Report mit Auflistung erkannter Viren Im obigen Beispiel hat Dr. Web die Viren Form, Tiny.129, Fy.338, Tchechen.1912, Hizhnak.639, RDA.Fighter.7408, und Ox.475 ent- deckt. 1.2.3. Der Befehl Säubern Mit dem Befehl Säubern können Viren, die in beim Scannen entdeckt wurden, entfernt werden. Dieser Befehl kann man auch durch Drücken der Tastenkombination <CTRL+F5> aufrufen. Mit dem Befehl wird folgende Dialogbox geöffnet: ╔═[]════════ Säubern-Pfad ═══════════╗ ║ ║ ║ ┌─────────────────────────────┐ ║ ║ │* │ ║ ║ └─────────────────────────────┘ ║ ║ [X] Unterverzeichnisse ║ ║ ║ ║ OK ▄ Abbruch ▄ ║ ║ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀▀ ║ ╚═════════════════════════════════════╝ Die erlaubten Eingaben im Textfeld der Dialogbox "Säubern-Pfad" sind mit denen der Dialogbox "Scan-Pfad" identisch. Bevor infizierte Dateien gesäubert werden, sollte eine Kopie die- ser Dateien auf Diskette angelegt werden. Benennen Sie die Kopien um, so daß diese nicht versehentlich gestartet werden - zum Bsp. MSD.EXE in MSD.VIR. Infizierte Dateien können möglicherweise für eine Virenanalyse benötigt werden. Während des Säuberns werden die Namen erfolgreich reparierter Da- teien auf den Bildschirm ausgegeben: ╔══════════════════════ Scan-Fenster ═══════════════════════════╗ ║ Suche nach Viren und infizierten Programmen auf Laufwerk A: ║ ║ Boot-Sektor infiziert mit Form ║ ║ A:\FORMAT.COM infiziert mit Tiny.129 - gesäubert ║ ║ A:\VIRUS.COM infiziert mit Fy.338 - gesäubert ║ ║ A:\SMARTDRV.EXE infiziert mit Tchechen.1912 - gesäubert ║ ║ A:\FTW1.COM gepackt mit PKLITE ║ ║ A:\C-639.COM infiziert mit Hizhnak.639 - gesäubert ║ ║ A:\AINEXT.EXE infiziert mit RDA.Fighter.7408 - gesäubert ║ ║ A:\COMMAND.COM infiziert mit Ox.475 - gesäubert ║ ║ Bericht für Laufwerk A: ║ ║ Geprüft: Dateien und Sektoren - 9 ║ ║ Erkannt: Viren und infizierte Programme - 7 ║ ║ Gesäubert: Dateien und Boot-Sektoren - 7 ║ ║ Benötigte Zeit: 00:00:43 ║ ╚═══════════════════════════════════════════════════════════════╝ Fig. 6 Liste gesäuberter Dateien Beim Wiederherstellen eines infizierten Bootbereiches, kann u. U. eine Warnung ausgegeben werden: ╔══[]════════════════════════════════════════════════════════╗ ║ ║ ║Der Boot-Sektor wird eventuell fehlerhaft wiederhergestellt !║ ║ Wiederherstellung fortsetzen? ║ ║ ║ ║ OK ▄ Cancel ▄ Help ▄ ║ ║ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀ ║ ╚═════════════════════════════════════════════════════════════╝ Fig. 7 Warnung vor fehlerhafter Wiederherstellung Diese Meldung wird von Dr. Web im wesentlichen in zwei Fällen ausgegeben: Einmal, falls der gefundenen Virus von einem bekann- ten Virus abgeleitet wurde und den Originalsystembereich an einer anderen Stelle abspeichert als gewöhnlich und zum anderen, falls der Computer mit mehreren Bootviren infiziert ist. In diesem Falle wird das Ergebnis der "Tätigkeit" des einen Virus von dem nächsten Infizierer überlagert. In solchen Fällen wird der "Kopf" des Virus, welcher zuerst den Systembereich infizierte in dem Bereich gefunden, in den der andere Virus eigentlich die Systeminformation schreiben wollte. Dr. Web analysiert nicht sofort den verborgenen Systembereich auf einen weiteren Virus, sondern gibt diese Meldung aus, falls der von Dr. Web gefundene Systembereich nicht mit dem zu erwartenden Systembereich übereinstimmt. Falls Sie bei einer Mehrfachinfektion diese Frage mit "OK" beantworten, so versucht Dr. Web, die ihm bekannten Viren einen nach dem anderen zu ent- fernen. Falls das Laufwerk mit mehreren Viren infiziert ist, so können die Systeminformationen verloren sein, falls verschiedene Viren diese im GLEICHEN Bereich (Sektor) abspeichern. In diesem Fall hängt sich der Rechner manchmal (aber nicht immer!) unmittelbar nach dem Start von diesem Laufwerk auf. Dr. Web seinerseits kann bei dem Versuch, einen Virus nach dem anderen zu beseitigen, in eine Endlosschleife gelangen. Im Falle obiger Meldung sollte die Arbeit mit Dr. Web abgebrochen werden und die Wiederherstellung der Systembereiche unter Benut- zung spezieller Tools erfolgen, NACHDEM DER COMPUTER VON EINER GESONDERTEN, VIRENFREIEN UND SCHREIBGESCHÜTZTEN SYSTEMDISKETTE GESTARTET WURDE. Wichtiger Hinweis: In einer derart kritischen Situation kann es zum Verlust aller oder eines Teils Ihrer Daten kommen. Mögliche Ursachen können sein: - die Partitionstabellen können nicht wie- derhergestellt werden - der Virus hat Daten auf Ihrer Festplatte verschlüsselt... Konsultieren Sie in einem solchen Fall am Besten einen Spezialisten.. 1.2.4. Der Befehl STATISTIK Nach der Durchführung eines Suchlaufes können mit dem Befehl STATISTIK die Statistiken aller Suchläufe der aktuellen Sitzung zur Anzeige gebracht werden. ╔══[]═════════════════════════════════════════════════════╗ ║ Bericht für Laufwerk A: ║ ║ Geprüft: Dateien und Sektoren - 9║ ║ Erkannt: Viren und infizierte Programme - 7║ ║ Benötigte Zeit: 00:00:43║ ╚══════════════════════════════════════════════════════════╝ Fig. 8 Statistik eines Suchlaufes Diese Anzeige wird mit der Taste <Esc> oder durch Klicken mit der linken Maustaste auf den Pfeil nach unten in der linken oberen Ecke der Maske geschlossen. 1.2.5. Der Befehl REPORT Falls die Suchergebnisse in eine Reportdatei geschrieben werden sollen, so muß Dr. Web entsprechend eingestellt werden. Die dazu erforderlichen Informationen finden Sie unter den Befehlen OPTIONEN und PFADE im Menü SETUP. Am Ende eines jeden Suchlaufes schreibt Dr. Web die Ergebnisse an das Ende der Reportdatei (falls entsprechend eingestellt). Mit dem Befehl REPORT kann diese Reportdatei geöffnet und auf dem Bildschirm zur Anzeige gebracht werden. Dies sieht wie folgt aus: ╔═[]══════════════════════════════════════════════════════════╗ ║ Dr. Web, Version 3.09b (09 Februar 1996), ░ ║ ║ Copyright (c) by Igor Daniloff, 1992-96 ║ ║ Scan-Report ist datiert 1995 Aug 01 22:58:44 ░ ║ ║ Kommandozeile: ░ ║ ║ ───────────────────────────────────────────── ░ ║ ║ Keine Viren im Arbeitsspeicher gefunden ░ ║ ║ ───────────────────────────────────────────── ░ ║ ║ Suche nach Viren und infizierten Programmen auf Laufwerk C:░ ║ ║ Volume label0: MS-DOS_5 ░ ║ ║ C:\FOXBIND.EXE immunisiert mit CPAV ░ ║ ║ C:\EXE\LZH.EXE immunisiert mit CPAV ░ ║ ║ C:\FD\FD.EXE gepackt mit PKLITE ░ ║ ║ C:\FD\FDNC.EXE gepackt mit PKLITE ░ ║ ║ Scannen abbrechen? ░ ║ ║ Ja ░ ║ ║ Test unterbrochen vom Nutzer! ░ ║ ║ Bericht für Laufwerk C: ░ ║ ║ Geprüft: Dateien und Sektoren - 9 ░ ║ ║ Erkannt: Viren und infizierte Programme - 7 ║ ║ Benötigte Zeit: 00:00:43 ░ ║ ╚══════════════════════════════════════════════════════════════╝ Fig. 9 Scan-Report Es handelt sich dabei um eine einfache Textdatei und diese kann mit jedem ASCII-Editor geöffnet und bearbeitet werden. 1.3. Das Menü SETUP Mit Hilfe dieses Menüs kann die Arbeitsweise von Dr. Web an die Bedürfnisse des Anwenders angepaßt werden. Das Menü enthält die Befehle DESKTOP..., OPTIONEN... und PFADE.... (Auslassungspunkte nach Befehlsname zeigen an, daß nach dem Befehlsaufruf ein Dialogfeld geöffnet wird): Dr.Web Teste Setup Update [F1] Hilfe ██████████████┌───────────────┐█████████████████████████████████ ██╔═══════════│ Desktop... │═══ Scan-Fenster ══════════════╗█ ██║ │ Optionen.. F9 │ ║█ ██║ │ Pfade ... │ ║█ ██║ └───────────────┘ ║█ Fig. 10 Das Menü SETUP 1.3.1. Der Befehl DESKTOP Dieser Befehl öffnet die Dialogbox "Desktop", in welcher Einfluß auf die Bildschirmanzeige von Dr. Web genommen werden kann. Dr.Web Teste Setup Update [F1] Hilfe ████████████████████████████████████████████████████████████████ ██╔═══════════════════════ Scan-Fenster ════════════════════╗██ ██║ ╔═[]═══════════════════ Desktop ═════════════════════╗ ║██ ██║ ║ ║ ║██ ██║ ║┌─ Bildschirmmodus ──────────────┐ ┌─ Sprache ───┐ ║ ║██ ██║ ║│ [X] Öffne Fenster weich │ │() Deutsch │ ║ ║██ ██║ ║│ [X] Mausunterstützung │ │( ) English │ ║ ║██ ██║ ║│ [ ] Lade Bildschirmfont │ └─────────────┘ ║ ║██ ██║ ║│ [X] Ton ein │ ║ ║██ ██║ ║│ [ ] Setup automatisch speichern│ ┌─Farbe wechseln ┐║ ║██ ██║ ║│ │ │ () Farbe 1 │║ ║██ ██║ ║└────────────────────────────────┘ │ ( ) Farbe 2 │║ ║██ ██║ ║┌─ Zusätzliche Einstellungen ───┐ │ ( ) Farbe 3 │║ ║██ ██║ ║│ [ ] "Schnee" Unterdrückung │ │ ( ) Farbe 4 │║ ║██ ██║ ║│ [ ] Anzeige über BIOS │ │ ( ) Mono 1 │║ ║██ ██║ ║│ [ ] Ausgabe "Ok" nach Dateiname│ │ ( ) Mono 2 │║ ║██ ██║ ║│ [X] Ausgabe des Packersnamens │ └────────────────┘║ ║██ ██║ ║│ [ ] Report für jedes Laufwerk │ ║ ║██ ██║ ║│ [ ] Teste nur eine Diskette │ ║ ║██ ██║ ║└────────────────────────────────┘ ┌ Bildschirmhöhe ─┐║ ║██ ██║ ║ Ok ▄ Cancel ▄ │ () 25 Zeilen │║ ║██ ██║ ║ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀ │ ( ) 30 Zeilen │║ ║██ ██║ ║ Save ▄ Help ▄ │ ( ) 45 Zeilen │║ ║██ ██║ ║ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀ └─────────────────┘║ ║██ ██║ ╚══════════════════════════════════════════════════════╝ ║██ ██╚══════════════════════════════════════════════════════════╝██ Fig. 11 Dialogbox "Desktop" Diese Dialogbox enthält vier Gruppen: Bildschirmmodus, Zusätzli- che Einstellungen, Sprache und Farbe wechseln. In den Gruppen befinden sich Optionskästchen oder Kontrollkästchen. Folgende Schaltflächen sind vorhanden: <OK>, <Speichern>, <Abbruch> und <Hilfe>. Mit der Schaltfläche <Speichern> können die gewählten Einstellungen in der Datei DRWEB.INI gespeichert werden. Beim nächsten Start von Dr. Web werden diese Einstellungen aus der INI-Datei gelesen. Falls das Kontrollkästchen <Setup automatisch speichern> ausgewählt ist, so werden die Einstellungen automatisch in die INI-Datei geschrieben, wenn die Auswahl mit <OK> bestätigt wird. Das Kontrollkästchen <Setup automatisch speichern> wirkt auch auf die Einstellungen in der Dialogbox "Verzeichnisse" (Befehl SETUP->PFADE). Die Schaltflächen <Speichern> gibt es auch in anderen Dialogfenstern, die mit Hilfe des Menüs SETUP geöffnet werden. Wurden Veränderung vorgenommen und anschließend die Schaltfläche <Abbruch> gewählt, so werden die Veränderungen nicht wirksam. Die Wirkung der einzelnen Elemente in der Dialogbox wird nachfol- gend beschrieben. Die Gruppe Bildschirmmodus enthält folgende Kontrollkästchen: ════════════════════════╦════════════════════════════════════════ Öffne Fenster weich ║ Fenster öffen sich weich und allmählich ║ Es geht schneller, wenn diese Möglich- ║ nicht gewählt wird ────────────────────────╫──────────────────────────────────────── Mausunterstützung ║ Mit diesem Kontrollkästchen wird ║ die Arbeit mit der Maus ermöglicht. ║ Falls Sie einen speziellen Maustreiber ║ benutzen und dieser zu Konflikten ║ führt, dann abschalten. ────────────────────────╫──────────────────────────────────────── Lade Bildschirmfont ║ Zur Arbeit mit kyrillischem Zeichensatz ║ bei Videoadaptern, die diesen nicht ║ unterstützen (nur möglich, falls ║ Russisch in Gruppe Sprache vorhanden). ────────────────────────╫──────────────────────────────────────── Ton ein ║ Bewirkt Ausgabe von Tönen falls ein ║ Virus entdeckt wird. ────────────────────────╫──────────────────────────────────────── Setup autom. speichern ║ Einstellungen werden bei Betätigung der ║ Schaltfläche <OK> automatisch gespei- ║ chert ════════════════════════╩════════════════════════════════════════ Die Gruppe <Zusätzliche Einstellungen>: ═════════════════════╦═══════════════════════════════════════════ "Schnee" ║ Dieses Kontrollkästchen nur benutzen, Unterdrückung ║ falls die Anzeige über das BIOS ausgegeben ║ wird (nur CGA-Adapter, s. a. nächstes). ─────────────────────╫─────────────────────────────────────────── Anzeige über BIOS ║ Meldungen werden direkt über das BIOS aus- ║ gegeben (erhöht Geschwindigkeit). Ist Ihr ║ Videoadapter nicht kompatibel mit CGA, ║ EGA oder VGA, dann bitte auswählen. ─────────────────────╫─────────────────────────────────────────── Ausgabe "OK" nach ║ "OK" wird hinter Dateinamen ausgegeben, Dateiname ║ falls kein Virus gefunden wurde. ─────────────────────╫─────────────────────────────────────────── Ausgabe des Packer- ║ Gibt bei gepackten Dateien den Namen des namens ║ Packprogrammes aus (wirkt nur, falls in ║ der Dialogbox Optionen (Befehl SETUP-> ║ OPTIONEN) Prüfen gepackte ausgewählt ist. ─────────────────────╫─────────────────────────────────────────── Report f.j. Laufwerk║ Report der Statistik nach jedem Laufwerk ─────────────────────╫─────────────────────────────────────────── Teste nur eine ║ Abfrage, ob weitere Diskette geprüft wer- Diskette ║ soll, wird unterdrückt. ═════════════════════╩═══════════════════════════════════════════ In der Gruppe <Sprache> kann die Sprache gewechselt werden (falls unterstützt). In der Gruppe <Farbe wechseln> kann man ein der sechs Optionkäst- chen mit der Farbschema für die Gestaltung der Oberfläche wählen: ═══════════════╦═════════════════════════════════════════════════ Eistellung ║ Bedeutung ───────────────╫───────────────────────────────────────────────── ║ () Farbe 1 ║ Standardfarbe des Dr.Web ───────────────╫───────────────────────────────────────────────── ║ ( ) Farbe 2 ║ Farbschema der Programmen, die mit Hilfe ║ TURBO VISION erstellt wurden. ───────────────╫───────────────────────────────────────────────── ║ ( ) Farbe 3 ║ Farbschema der NORTON UTILITIES 5.0 ───────────────╫───────────────────────────────────────────────── ║ ( ) Farbe 4 ║ Farbschema des Programms ADinf ───────────────╫───────────────────────────────────────────────── ║ ( ) Mono 1 ║ verschiedene Variante der Gestaltung für ( ) Mono 2 ║ die monochrome Bildschirmen. ═══════════════╩═════════════════════════════════════════════════ Die Gruppe <Bildschirmhöhe> enthält drei Optionkästchen, mit denen das Modus mit 25, 30 oder 45 Zeilen auf dem Bildschirm wählen kann. 1.3.2. Der Befehl OPTIONEN Dieser Befehl öffnet die Dialogbox "Optionen", in welcher die Ar- beitsweise von Dr. Web eingestellt werden kann. Es wird auch durch das Drücken der Taste <F9> aufgeruft. Dr.Web Teste Setup Update [F1] Hilfe ████████████████████████████████████████████████████████████████ ██╔═══════════════════════ Scan-Fenster ═════════════════════╗██ ██║ ╔═[]═══════════════════ Optionen ═════════════════════╗ ║██ ██║ ║ ║ ║██ ██║ ║ ┌─ Globale Einstellungen─┐ ┌───── Dateien ─────────┐║ ║██ ██║ ║ │[X] Speichertest │ │[X] Prüfen gepackte │║ ║██ ██║ ║ │[X] Boot-Sektor Test │ │[X] Prüfen in Archiven │║ ║██ ██║ ║ │[X] Heuristische Analyse│ │[ ] Löschen zerstörte │║ ║██ ██║ ║ │[X] Suche nach TSR-Viren│ │[X] Abfrage vor Säubern│║ ║██ ██║ ║ └────────────────────────┘ └───────────────────────┘║ ║██ ██║ ║ ┌─ Heuristik-Stufe ──────┐ ┌─ Speicher Bereich──┐ ║ ║██ ██║ ║ │ () Minimal │ │ ( ) 640 Kb │ ║ ║██ ██║ ║ │ ( ) "Paranoid" │ │ () 1088 Kb │ ║ ║██ ██║ ║ └────────────────────────┘ └────────────────────┘ ║ ║██ ██║ ║ ┌──Infizierte Dateien────┐ ┌─ Reportdatei ─────┐ ║ ║██ ██║ ║ │ () Säubern │ │ ( ) Keine │ ║ ║██ ██║ ║ │ ( ) Löschen │ │ ( ) Überschreiben │ ║ ║██ ██║ ║ │ ( ) Umbenennen │ │ () Anfügen │ ║ ║██ ██║ ║ └────────────────────────┘ └────────────────────┘ ║ ║██ ██║ ║ Ok ▄ Save ▄ Cancel ▄ Help ▄ ║ ║██ ██║ ║ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀▀ ║ ║██ ██║ ╚══════════════════════════════════════════════════════╝ ║██ Fig. 12 Dialogbox "Optionen" In den Gruppen <Globale Einstellungen>, <Heuristik-Stufe>, <Dateien>, <Reportdatei> und <Infizierte Dateien> kann definiert werden, wie Dr. Web arbeiten soll. 1.3.2.1. Die Gruppe <Globale Einstellungen> Hier werden die Bereiche definiert, welche Dr. Web auf Viren untersuchen soll. <Speichertest> Diese Auswahl bewirkt, daß beim Start von Dr. Web der Arbeits- speicher auf Viren durchsucht wird. Die Voreinstellung 640 kB kann in der Gruppe <Speicher Bereich> geändert werden. Stellen Sie dort 1088 kB ein, falls Sie Expansions- oder Erweiterungs- speicher konfiguriert haben. Mit dieser Einstellung werden auch der hohe Speicherbereich und die UMBs geprüft. <Boot-Sektor Test> Diese Auswahl bewirkt die Suche nach Viren im Hauptladesatz (MBR) und in Bootsektoren von Laufwerken und Disketten. !! Falls nicht ausgewählt, so werden in den Systembereichen keine Viren gefunden !! <Heuristische Analyse> Ein mächtiges Werkzeug sind die in Dr. Web eingebauten Algorith- men zur heuristischen Analyse. Diese Algorithmen erlauben die Untersuchung von Dateien auf verdächtigen Programmcode. Verdäch- tig ist Programmcode dann, wenn er die Ausführung von Funkionen erlaubt, welche typisch für Computerviren sind. Beim Einsatz heuristischer Verfahren können Fehlalarme generell nicht ausgeschlossen werden. Deshalb gibt Dr. Web eine Warnung aus, daß möglicherweise eine Infektion mit einem unbekannten Virus vorliegt (COM.Virus, EXE.Virus, COM.EXE.Virus, COM.TSR.Virus, EXE.TSR.Virus, COM.EXE.TSR.Virus, MACRO.Virus oder BOOT.Virus). Die Begriffe zur Beschreibung unbekannter Viren haben folgende Bedeutung: ╔═════════╦══════════════════════════════════════════════════╗ ║ Begriff ║ Bedeutung ║ ╟─────────╫──────────────────────────────────────────────────╢ ║ COM ║ Der Virus infiziert COM-Dateien. ║ ╟─────────╫──────────────────────────────────────────────────╢ ║ EXE ║ Der Virus infiziert EXE-Dateien. ║ ╟─────────╫──────────────────────────────────────────────────╢ ║ TSR ║ Der Virus ist speicherresident. ║ ╟─────────╫──────────────────────────────────────────────────╢ ║ MACRO ║ Der Virus infiziert WinWord-Dateien. ║ ╟─────────╫──────────────────────────────────────────────────╢ ║ BOOT ║ Der Virus infiziert Systembereiche. ║ ╟─────────╫──────────────────────────────────────────────────╢ ║ CRYPT ║ Der Viruscode ist verschlüsselt oder polymorph.║ ╚═════════╩══════════════════════════════════════════════════╝ <Suche nach TSR-Viren> Viele residente Viren infizieren eine Datei, wenn diese zum Lesen geöffnet oder geschrieben wird. Dies kann ausgenutzt wer- den, um einen aktiven Virus zu entdecken, da sich in einem sol- chen Fall die Datei vergrößert. Wenn <Suche nach TSR-Viren> aktiviert ist, prüft Dr. Web beim Öffnen und beim Bewegen des Zeigers in einer geöffneten Datei, ob sich die Dateigröße ändert. Die Kontrolle der Dateigröße zielt auch auf aktive Stealthviren, welche ihre Anwesenheit in einer infizierten Datei verbergen. Falls aktiviert, bleibt ein Stealthvirus resident im Arbeits- speicher und manipuliert zum Beispiel Operationen zur Ermittlung der Dateigröße von infizierten Dateien. Fragt ein Programm die Größe einer infizierten Datei ab, so gibt der Stealthvirus die Größe der nicht infizierten Originaldatei zurück. Wird beim Scannen eine Veränderung der Dateigröße entdeckt, so gibt Dr. Web eine Warnung aus: ╔════[]════════════════════════════════════════════════════╗ ║ ║ ║ C:\DOS\COMMAND.COM ║ ║ WARNUNG! Beim Öffnen dieser Datei hat sich die Größe um ║ ║ +800 Bytes geändert! Im Speicher kann sich ein ║ ║ AKTIVER RESIDENTER VIRUS befinden! ║ ║ Scannen fortsetzen? ║ ║ ║ ║ OK ▄ Abbruch ▄ Help ▄ ║ ║ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀▀ ║ ║ ║ ╚═══════════════════════════════════════════════════════════╝ Fig. 13 Warnung vor aktivem residenten Virus Die Datei kann sich vergrößert oder verkleinert haben. Infiziert ein residenter Virus eine Datei beim Öffnen, so vergrößert diese sich. Versucht hingegen ein Stealthvirus, eine vorhanden Infek- tion zu tarnen, so "verringert" die Dateigröße sich. In jedem Fall wird empfohlen, die Arbeit abzubrechen, den Compu- ter von einer schreibgeschützten bootfähigen (System-) Diskette zu starten und von dieser Diskette mit Dr. Web die verdächtigen Dateien zu prüfen. 1.3.2.2. Die Gruppe <Heuristik-Stufe> Hier sind zwei Einstellungen möglich: <Minimal> und <Paranoid>. Voreingestellt ist <Minimal>. In einem Test an 10.000 infizierten Dateien wurden folgende Erkennungsraten (bei der Entdeckung von unbekannten Viren) ermittelt: 87% (Stufe <Minimal>), und 89-91% (Stufe <Paranoid>). Bei der Ausführung von Dr. Web in der Stufe <Paranoid> kann die Warnung erfolgen, daß eine Datei oder ein Bootsektor möglicherweise mit einem CRYPT-Virus infiziert ist, ohne das eine genaue Spezifikation erfolgt. Das bedeutet meist, daß kein "offensichtlicher" Viruscode gefunden wurde, sondern ein Code, welcher auf eine Entschlüsselungsroutine hindeutet. In der Stufe <Paranoid> kann prinzipiell jedes verschlüsselte Programm als "möglicherweise infiziert" mit einem CRYPT-Virus gemeldet werden. Glücklicherweise gibt es gegenwärtig nicht allzuviele verschlüsselte Programme, auf jeden Fall viel weniger als verschlüsselte und polymorphe Viren. Werden nicht ausführbare Dateien (Textdateien, Datenbanken,..) geprüft, so können diese, wenn auch sehr selten, als möglicher- weise mit einem CRYPT.Virus infiziert gemeldet werden. Das liegt daran, daß solche Dateien als Programme betrachtet werden, die speziellen Code enthalten. Diese hier vorliegende Lawine von absolut unüblichen und chaotischen Kommandos sieht manchmal - aus der Sicht eines Prozessors - wie ein logisch arbeiten- der Dekoder aus, der scheinbar etwas dekodiert, aber letztend- lich überhaupt nichts derartiges tut. Nachfolgend finden Sie einige Beispiele für derartige Warnungen bei der Ausführung von Dr. Web in der Stufe <Paranoid>. D:\GAMES\DOOM\NCA.EXE möglicherweise infiziert mit EXE.CRYPT.Virus D:\GAMES\ENGL\README.EXE möglicherweise infiziert mit EXE.TSR.Virus D:\GAMES\ENGL\LM.EXE möglicherweise infiziert mit COM.EXE.TSR.CRYPT.Virus C:\WORD\NORMAL.DOT möglicherweise infiziert mit MACRO.Virus Im <Paranoid>- Modus prüft Dr. Web zusätzlich verdächtige Datums- und Zeitangaben für die Erstellung von Dateien. Manche Viren setzen diese Angaben auf unmögliche Werte, um damit die Datei als infiziert zu kennzeichen (Bsp. 62 Minuten oder 100 Jahre). In einem solchen Fall wird folgende Warnung ausgegeben: D:\DOD.COM ungewöhnliche Zeit Dateierstellung 2031 ??? 31 25:60:00 Im heuristischen Modus kann Dr. Web falschen Alarm erzeugen! Je höher die Stufe der Analyse, um so größer wird die Wahrschein- lichkeit eines Fehlalarms. Besonders hoch wird die Wahrscheinlichkeit bei der Arbeit mit der Stufe <Paranoid>, vor allem, wenn das untersuchte Programm ein TSR (Terminate and Stay Resident) ist und Operationen zum Öffnen und Schreiben von Dateien ausführt. HINWEIS! Testen Sie generell Programme, welche Sie neu erhalten und welche als "möglicherweise" infiziert gemeldet wurden mit besonderer Sorgfalt. HINWEIS! Dr. Web benötigt beim Durchsuchen in der Stufe <Paranoid> wesentlich mehr Zeit, als bei abgeschalteter Heuristik. 1.3.2.3 Die Gruppe <Infizierte Dateien> Dieses Feld bestimmt das Verfahren, mit dem die infizierten Dateien behandelt werden. ( ) Säubern Die Viruscoden werden aus der Dateien entfernt ( ) Löschen Die infizierten Dateien werden gelöscht. ( ) Umbenennen Die infizierten Dateien werden umbenennt. Der erste Buchstabe der Erweiterung wird durch den Buchstabe "V" ersetzt. Z.B., die Dateien mit der Erweiterung COM werden zu Dateien mit der Erweiterung VOM umbenennt. Aber vor die Ausführung dieser Operation wird der Anwender wie folgt abgefragt (falls Parameter P in Option /CU eingestellt): ╔═[]══════════════════B:\FORMAT.COM══════════════════════╗ ║ ║ ║ Diese Datei ist infiziert mit Tiny.129 ║ ║ Umbenennen? ║ ║ ║ ║ Ja ▄ Nein ▄ Hilfe ▄ ║ ║ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀▀ ║ ╚═════════════════════════════════════════════════════════╝ 1.3.2.4 Die Gruppe <Dateien> <Prüfe gepackte> Diese Einstellung muß ausgewählt sein, falls Dr. Web auch gepack- te Dateien durchsuchen soll. Gegenwärtig kann Dr.Web Dateien ent- packen, die mit Hilfe der Programme DIET, LZEXE, PKLITE, EXEPACK, COMPACK komprimiert , mit den Verschlüsselungsutilities COMTOEXE, CRYPTCOM, TYNYPROG verschlüsselt bzw. mit Central Point AntiVirus CPAV immunisiert wurden. Die entpackten Dateien werden temporär ausgelagert und danach durchsucht. Auslagern heißt, die entpackte Datei wird in das Laufwerk geschrieben, welches unter <Temporäres Laufwerk> in der Dialogbox "Pfade" (Befehl Setup->Pfade) angege- ben ist. HINWEIS: Geben Sie hier Ihr schnellstes Laufwerk an und stel- len Sie ausreichend Plattenplatz zur Verfügung. <Prüfe in Archiven> Sollen Dateien in Archiven geprüft werden, so muß dieses Kon- trollkästchen ausgewählt sein. Gegenwärtig werden die Archivfor- mate der Kompressionprogrammen PKZIP, ARJ, RAR, LHA, ZOO, ICE und HA unterstützt. <Lösche zerstörte> In manchen Fällen können beschädigte (zum Beispiel durch einen Virus bei der Infektion) Dateíen nicht wiederhergestellt werden. Ist dieses Kontrollkästchen ausgewählt, so werden solche Dateien automatisch gelöscht. <Abfrage vor Säubern> Falls vor dem Löschen beschädigter Dateien bzw. dem Säubern der Anwender die Ausführung dieser Operation nochmals ausdrück- lich bestätigen möchte, so ist dieses Kontrollkästchen auszuwäh- len. Die entsprechende Abfrage sieht wie folgt aus: ╔═[]══════════════════B:\FORMAT.COM══════════════════════╗ ║ ║ ║ Diese Datei ist infiziert mit Tiny.129 ║ ║ Virus entfernen? ║ ║ ║ ║ Ja ▄ Nein ▄ Hilfe ▄ ║ ║ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀▀ ║ ╚═════════════════════════════════════════════════════════╝ Fig. 14 Maske zum Bestätigen für Entfernen eines Viruses <Reportdatei> Mit diesen Optionskästchen kann das Anlegen einer Reportdatei ab- geschalten werden (<Keine>) oder es wird das Überschreiben eines vorhanden Reports bzw. das Anhängen an denselben eingestellt. Der voreingestellte Name der Reportdatei ist REPORT.WEB und die Datei wird in das Installationsverzeichnis von Dr. Web geschrie- ben. Diese Einstellungen können in der Dialogbox "Verzeichnisse" geändert werden. 1.3.3. Der Befehl PFADE Dieser Befehl öffnet die Dialogbox "Verzeichnisse". Dr.Web Teste Setup Update [F1] Hilfe █████████████████████████████████████████████████████████████████ ██╔═══════════════════════ Scan-Fenster ═══════════════════════╗█ ██║ ╔═[]═════════════════ Verzeichnisse ═════════════════╗ ║█ ██║ ║ ║ ║█ ██║ ║ ┌── Add-on Suchmaske ───┐ ┌ Report-dateiname ─────┐ ║ ║█ ██║ ║ │ WEB?????.3?? │ │ REPORT.WEB │ ║ ║█ ██║ ║ └───────────────────────┘ └───────────────────────┘ ║ ║█ ██║ ║ ║ ║█ ██║ ║ ┌ Add-on Pfad ──────────┐ ┌─ Teste Dateien ─────┐ ║ ║█ ██║ ║ │ │ │ ( ) Alle Dateien │ ║ ║█ ██║ ║ └───────────────────────┘ │ () Programme │ ║ ║█ ██║ ║ │ ( ) Nutzer definiert │ ║ ║█ ██║ ║ │ └ *.EXE *.COM *.SYS │ ║ ║█ ██║ ║ ┌ Temporäres Laufwerk ┐ └───────────────────────┘ ║ ║█ ██║ ║ │ F: │ ║ ║█ ██║ ║ └─────────────────────┘ Ok ▄ Abbruch ▄ ║ ║█ ██║ ║ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀ ║ ║█ ██║ ║ Speichern▄ Hilfe ▄ ║ ║█ ██║ ║ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀ ║ ║█ ██║ ╚═════════════════════════════════════════════════════╝ ║█ Fig. 15 Dialogbox "Verzeichnisse" <Add-on Suchmaske> In dieses Textfeld kann der Name von Add-on Datenbasen eingegeben werden, die zur Hauptantivirendatenbasis hinzugefügt werden sol- len (!! Achtung: Dieses Hinzufügen ist ein temporärer Prozeß zur Laufzeit des Programmes). Ersetzungszeichen (Wildcard, Joker) sind zulässig. <Add-on Pfad> Hier ist das Verzeichnis anzugeben, in dem sich die Add-on Datei- en befinden. Alle Add-on Dateien, die zur Suchmaske passen und mit der aktuellen Version von Dr. Web kompatibel sind, werden zusätzlich zur Hauptdatenbasis für die Virensuche benutzt. Add-on Dateien können ebenfalls über das Menü <Update> für die Virensuche verfügbar gemacht werden. <Temporäres Laufwerk> In dieses Laufwerk werden Auslagerungsdateien beim Entpacken von Dateien geschrieben. Dieses Laufwerk darf kein NUR-LESE-Laufwerk sein und es sollte mind. 1 MB freier Platz verfügbar sein. Falls der freie Platz nicht ausreicht, so wird folgende Meldung ausgegeben: ╔═[]═════════════════C:\DOS\ATTRIB.EXE════════════════════╗ ║ ║ ║ Kein Platz zum Entpacken der Datei auf dem Laufwerk! ║ ║ Scannen fortsetzen? ║ ║ ║ ║ Ja ▄ Nein ▄ Hilfe ▄ ║ ║ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀▀ ║ ╚══════════════════════════════════════════════════════════╝ Fig. 16 Warnung, falls unzureichend Platz zum Entpacken Mit der Schaltfläche <Ja> wird das Scannen fortgesetzt, die nicht entpackte Datei aber übergangen. Wählen Sie für die Auslagerungsdatei das schnellste Laufwerk, falls vorhanden eine RAM-Disk. <Report-dateiname > Vollqualifizierter (Laufwerk, Pfad, Dateiname) Name der Report- datei. 1.3.3.1. Die Gruppe <Teste Dateien> <Alle Dateien> bewirkt, das sämtliche Dateien ohne Rücksicht auf Dateityp, Er- weiterung usw. durchsucht werden. <Programme> beschränkt das Durchsuchen auf ausführbare Dateien, also mit Erweiterungen wie COM, EXE, SYS, BAT, DRV, BIN, DLL, BOO, OV?, DOC und DOT. <Nutzer definiert> erlaubt dem Anwender, in dem zugehörigen Textfeld eine Liste von Dateien vorzugeben. Die Ersetzungszeichen `*' und '?' sind er- laubt. Bei mehreren Einträgen müssen diese mit einem Leerzeichen getrennt werden. Achtung: Werden im Textfeld der Dialogbox "Scan-Pfad" Datei- spezifikationen eingegeben, so haben diese Vorrang vor der Auswahl in der Gruppe <Teste Dateien>. Die Einstellungen in dieser Gruppe werden in diesem für den aktuellen Suchlauf nicht benutzt. 1.4 Der Befehl UPDATE im Hauptmenü Hier finden Sie eine zweite Möglichkeit, eine Update-Datenbasis zur Laufzeit an die Haupt-Datenbasis zu "linken". Der Sinn der Add-on's besteht darin, schnell und effektiv auf neu auftretende Viren reagieren zu können. Was tun - falls sich ein Virus auf Ihrem Computer befindet, welcher dem Programm Dr. Web nicht bekannt ist ---------------------------------------------------------------- Bitte senden Sie baldmöglichst (e-mail, Diskette...) eine Kopie der verdächtigen, möglicherweise infizierten Datei oder des Systembereiches an Ihren Distributor oder DialogueScience, Inc. Moskau. Für registrierte Benutzer sind wir bemüht, innerhalb von 48 Stunden ein Zusatzprogramm (externes Update der Hauptdatenbasis) und gegebenenfalls weitere Dateien zum Aufspüren in und zum Entfernen dieses Virus aus Dateien bzw. Systembereichen (Hauptladesatz - MBR, Ladesatz - Bootsektor) bereitzustellen. Vor dem Einspielen der Zusatzdateien auf Ihrem Computer prüfen Sie bitte, ob diese kompatibel mit Ihrer Version von Dr. Web sind. Dazu öffnen Sie diese Datei mit einem geeigneten Editor. In der ersten Zeile finden Sie folgende Information: New Virus Add-on for AntiVirus Dr. Web Version 3.10+, was bedeutet, daß dieser Zusatz für die Version 3.10 von Dr. Web entwickelt wurde. Add-on Dateien haben den Namensaufbau: WEBjmmtt.vvv. Die kleinen Buchstaben haben folgende Bedeutung: j - letzte Ziffer des Jahres, mm - Monat, tt- Tag der Erstellung der Add-on Datei, vvv - Versionsnummer von Dr. Web, für welche die Add-on Datenbasis entwickelt wurde Add-on Dateien können zum Suchprozess dynamisch "hinzugelinkt" werden. Dafür gibt es zwei Methoden: - automatisch: Durch Ausfüllen der Textfelder <Add-on Suchmaske> und <Add-on Pfad> in der Dialogebox "Pfade". Be- finden sich die Add-on Dateien im Installations- verzeichnis von Dr. Web, so kann das Textfeld <Add-on Pfad> leer bleiben. - von Hand: Mit dem Befehl UPDATE aus dem Hauptmenü Dr.Web Teste Setup Update [F1] Hilfe █████████████████████████████████████████████████████████████████ ██╔══════════════════════ Scan-Fenster ══════════════════╗██ ██║ ║██ ██║ ║██ ██║ ╔═[]════════ Add-on Dateien═══════════╗ ║██ ██║ ║ ║ ║██ ██║ ║ ┌─────────────────────────────┐ ║ ║██ ██║ ║ │ WEB?????.3?? │ ║ ║██ ██║ ║ └─────────────────────────────┘ ║ ║██ ██║ ║ ║ ║██ ██║ ║ ║ ║██ ██║ ║ Suchen ▄ Abbruch ▄ Hilfe ▄ ║ ║██ ██║ ║ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀▀ ▀▀▀▀▀▀▀▀▀▀ ║ ║██ ██║ ╚══════════════════════════════════════╝ ║██ ██║ ║██ Fig. 17 Dialogbox "Add-on Dateien" In das Textfeld kann eine vollständiger Pfad oder eine Suchmaske eingegeben werden. Mit der Schaltfläche Add-on werden die Zusatz- datenbasen angehängt. Bei Erfolg wird eine Meldung mit der Anzahl der hinzugefügten Datenbasen ausgegeben. ACHTUNG! Virensuche und Beseitigung mit Hilfe einer externen Zusatzdatenbasis darf nur nach dem Start des Computers von einer virenfreien, schreibgeschützten Systemdiskette erfolgen, da Dr. Web den Arbeitsspeicher in diesem Fall nicht auf Viren prüft !! Nach dem Erhalt eines neuen Updates von Dr. Web sind die Informationen der Zusatzdatei(en) in der Hauptdatenbasis enthalten und Dr. Web benötigt die vorhergehenden Add-on's nicht mehr. Löschen Sie deshalb die alte(n) Zusatzdatei(en). 1.5 Das Menü HILFE Dr. Web enthält ein kontextsensitives Hilfesystem. Dieses wird mit der Taste [F1] oder durch Anklicken mit der Maus aktiviert. 1.6 Kurzwahltasten ╔═════════════════╦═════════════════════════════════════════════╗ ║ Taste(nkom- ║ Beschreibung ║ ║ bination) ║ ║ ║─────────────────╫─────────────────────────────────────────────║ ║ <Alt+X>,<Alt-F4>║ Beenden Dr. Web ║ ║─────────────────╫─────────────────────────────────────────────║ ║ <F1> ║ On-line Hilfe ║ ║─────────────────╫─────────────────────────────────────────────║ ║ <F5> ║ Scannen starten ║ ╟─────────────────╫─────────────────────────────────────────────╢ ║ <Ctrl+F5> ║ Scannen und Entfernen von Viren starten ║ ║─────────────────╫─────────────────────────────────────────────║ ║ <F9> ║ Öffnen Dialogbox "Optionen" ║ ╟─────────────────╫─────────────────────────────────────────────╢ ║ <F10> ║ Aktiviert Hauptmenü ║ ║─────────────────╫─────────────────────────────────────────────║ ║ <Tab> ║ Bewegen zwischen Objekten der ║ ║ ║ Bedienoberfläche ║ ╟─────────────────╫─────────────────────────────────────────────╢ ║ <Esc> ║ Abbruch des Scannens. Schließen Dialogboxen ║ ║ ║ und Meldungsfenster. ║ ╚═════════════════╩═════════════════════════════════════════════╝ 2. Ausführen von Dr. Web von der Kommandozeile Die Kommandozeile hat folgenden Aufbau: DrWeb [Laufwerk:[Pfad]] [Option] ... [Option] Die Angaben in eckigen Klammern sind optional. Um optionale Parameter in der Kommandozeile anzugeben, darf nur der Inhalt zwischen Klammern geschrieben werden. Die eckigen Klammern NICHT in die Kommandozeile schreiben. Laufwerk X - ein logisches Laufwerk auf der Festplatte oder ein physisches Laufwerk für Disketten, * - alle logischen Laufwerke auf der Festplatte, . - aktuelles Verzeichnis Pfad - Pfad und Spezifikation der zu testenden Dateien; ╔════════════╦════════════════════════════════════════════════════╗ ║ Option ║ Beschreibung ║ ╠════════════╬════════════════════════════════════════════════════╣ ║ ║ ║ ║/@[+]<Datei-║ Das Programm ADinf legt eine Dateiliste der zu ║ ║ name> ║ testende Dataien an. Dr.Web kann die Dateien von ║ ║ ║ dieser Dateiliste prüfen, ohne andere Dateien zu ║ ║ ║ behandeln. Dieses Modus spart die Zeit für die ║ ║ ║ Prüfung Ihres Computers wesentlich. ║ ║ ║ Falls [+] nicht angegeben wird, wird die ║ ║ ║ Dateiliste nach der Prüfung gelöscht. ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/25 ║ 25 Zeilen auf dem Bildschirm ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/30 ║ 30 Zeilen auf dem Bildschirm ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/45 ║ 45 Zeilen auf dem Bildschirm ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/AL ║ Prüfung ALLER Dateien auf dem gewünschten ║ ║ ║ Laufwerk ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/AR[N][W][T]║ Prüfung von Dateien in Archiven, die mit Hilfe ARJ,║ ║ ║ PKZIP, RAR, LHA, ZOO, ICE und HA erzeugt wurden: ║ ║ ║ N - keine Ausgabe des Namens des Archivprogrammes ║ ║ ║ W - Die Dateien aus dem Archiv werden temporär in║ ║ ║ das aktuelle Verzeichnis geschrieben und hier ║ ║ ║ geprüft (temporär bedeutet, das die jeweilige ║ ║ ║ Datei nach der Prüfung durch DrWeb wieder ║ ║ ║ gelöscht wird) ║ ║ ║ T - (nur mit Parameter W !!) - Als temporäres ║ ║ ║ Verzeichnis wird das Verzeichnis benutzt, ║ ║ ║ welches durch die Umgebungsvariable TEMP ║ ║ ║ definiert ist. ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/BW[Nummer] ║ Zeichenausgabe monochrom. Diese Option ist es ║ ║ ║ für monochrome Bildschirme empfohlen. Der ║ ║ ║ zusatzliche Parameter [Nummer] erlaubt eine von ║ ║ ║ zwei Farbschema der Programmgestaltung auswählen. ║ ║ ║ Anstelle von [Nummer] ist die Zahl 1 oder 2 ║ ║ ║ anzugeben. ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/CH ║ Selbsttest abschalten, ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/CL ║ Ausführung im Kommandozeilenmodus, Bedienober- ║ ║ ║ fläche wird unterdrückt ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/CO[Nummer] ║ Farbschema auswählen. ║ ║ ║ Der zusatzliche Parameter [Nummer] erlaubt eine von║ ║ ║ vier Farbschema der Programmgestaltung auswählen. ║ ║ ║ Anstelle von [Nummer] ist die Zahl von 1 bis ║ ║ ║ anzugeben. ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/CU[D][R][P]║ Säubern von Systembereichen und Dateien ║ ║ ║ Die Schalter D, R und P haben folgende Bedeutung: ║ ║ ║ D - Löschen von infizierten Dateien statt deren ║ ║ ║ Säubern, ║ ║ ║ R - Umbenennen. Der erste Buchstabe der ║ ║ ║ Erweiterung wird durch den Buchstabe "V" ersetzt. ║ ║ ║ Z.B., die Dateien mit der Erweiterung COM werden ║ ║ ║ zu Dateien mit der Erweiterung VOM umbenennt. Es ║ ║ ║ verhindert einen zufälligen Aufruf von solchen ║ ║ ║ Dateien. ║ ║ ║ P - bedeutet das Säubern, Löschen und Umbenennen ║ ║ ║ bestätigen ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/DA ║ Dr. Web nur einmal am Tag ausführen. Setzt das ║ ║ ║ Vorhandensein der INI-Datei voraus, da dort das ║ ║ ║ Datum des letzten Scanprozesses eingetragen ist. ║ ║ ║ Das Modus wird für Ausführung von Dr.Web aus der ║ ║ ║ Stapeldatei AUTOEXEC.BAT empfohlen. ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/DL ║ Falls nicht wiederherstellbar, infizierte Datei ║ ║ ║ löschen ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/GO ║ Abfragen an Nutzer unterdrücken (z. Bsp. bei unge- ║ ║ ║ nügend Plattenplatz zum Entpacken einer Datei, ║ ║ ║ Löschen einer beschädigten Datei, usw.). Das Modus ║ ║ ║ ist besonders bei Tag und Nacht dauernde Prüfung ║ ║ ║ der e-mail-Dataien auf BBS-Stationen geeignet. ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/HA[Stufe] ║ heuristische Analyse, Stufe=0 Minimal (Voreinstel ║ ║ ║ lung), Stufe=1 "Paranoid" ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/HI ║ Speicherbereich 0 bis 1088 kB durchsuchen ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/LN ║ Meldungen in alternativer Sprache ║ ║ ║ (falls unterstützt) ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/MO ║ Maus abschalten ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/MT<time> ║ die jüngsten polymorphen Viren erfordern eine ║ ║ ║ lange Zeit zur Dekodierung. Durch Angabe einer ║ ║ ║ Zahl kann die maximale Zeit für das Durchsuchen ║ ║ ║ einer Datei festgelegt werde, Die Voreinstellungen ║ ║ ║ sind: ║ ║ ║ Pentium - 30 Sek. ║ ║ ║ 486 - 30 Sek. ║ ║ ║ 386 - 60 Sek. ║ ║ ║ 286 - 120 Sek. ║ ║ ║ 8088....- 240 Sek. ║ ║ ║ 8086 - 240 Sek. ║ ║ ║ !! Das Doppelte der Voreinstellung wird benötigt, ║ ║ ║ um die modernsten polymorphen Viren zu entdecken. ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/NB ║ Tests der Bootsektoren übergehen ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/ND ║ Prüfen der Dateien nur im Stamm- oder im aktuell- ║ ║ ║ len Verzeichnis ohne Suchen in den untergeordneten ║ ║ ║ Unterverzeichnissen. ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/NI ║ Einstellungen der INI-Datei DRWEB.INI ignorieren ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/NM ║ Speichertest übergehen ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/NR ║ Reportdatei nicht anlegen ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/NS ║ Abschalten der Abbruchtaste [Esc] ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/OF ║ nur eine Diskette prüfen; keine Abfrage, ║ ║ ║ ob weitere Diskette geprüft werden soll ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/OK ║ Ausgabe "OK" hinter den Namen sauberer Dateien ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/QU ║ Rückkehr zu DOS nach Beendigung des Tests ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/RP[+][<Da- ║ Schreiben der Ergebnisse in die Datei <Dateiname>, ║ ║ teiname>] ║ Voreinstellung ist REPORT.WEB. <Dateiname> muß ein ║ ║ ║ vollqualifizierter Dateiname sein. Mit dem Schalte ║ ║ ║ [+] wird das Anhängen an vorhandenen Report einge- ║ ║ ║ stellt, gegenteils wird das Überschrieben eines ║ ║ ║ vorhandenen Report eingestellt. ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/RV ║ Suche beim Scannen auch nach Aktivitäten von ║ ║ ║ geladenen TSR-Viren ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/SD ║ Prüfung der Dateien in allen untergeodneten Unter- ║ ║ ║ verzeichnissen. Diese Prüfung beginnt oder mit ║ ║ ║ dem Stamm-, oder Nutzerdefinierten- oder aktuelle ║ ║ ║ Verzeichnis, abhängig von Aufrufparameter. ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/SH<nnnnn> ║ Die ersten fünf Ziffern der Seriennummer der ║ ║ ║ Steckkarte SHERIFF (falls installiert) ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/SF ║ Die Einstellung ist unter Windows 95 gültig. ║ ║ ║ Unter Windows 95 erkennt Dr.Web die langen Datei- ║ ║ ║ und Verzeichnissnamen und gibt sie auf dem ║ ║ ║ Bildschirm notwendigfalls aus. Falls Sie den ║ ║ ║ Bildschirm mit den langen Namen nicht überlasten ║ ║ ║ wollen, können Sie mit Hilfe der Option /SF diese ║ ║ ║ Namen gemäß Dos-Regeln abschneiden lassen. ║ ╟────────────╫────────────────────────────────────────────────────╫ ║/SN ║ "Bildschirmschnee" unterdrücken (CGA) ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/SV ║ Einstellungen der aktuellen Sitzung vor dem ║ ║ ║ Verlassen speichern ║ ╟────────────╫────────────────────────────────────────────────────╫ ║/TD<disk>: ║ Parameter <disk> bestimmt den Laufwerksbuchstabe ║ ║ ║ für das Anlegen der Auslagerungsdatei ║ ╟────────────╫────────────────────────────────────────────────────╫ ║/UB ║ Bildschirmausgabe über BIOS ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/UP[N][W] ║ Durchsuchen von gepackten LZEXE, DIET, PKLITE ║ ║ ║ EXEPACK, COMPACK, mit der Verschlüsselungsutilitie ║ ║ ║ COMTOEXE, CRYPTCOM, TYNYPROG behandelten und mit ║ ║ ║ CPAV immunisierten CPAV Dateien. ║ ║ ║ N - keine Ausgabe des Namens des Packprogrammes ║ ║ ║ W - Originaldatei (entpackt) wiederherstellen ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/WA ║ Ausgabe der Statistik nach dem Durchsuchen jedes ║ ║ ║ Laufwerks ║ ╟────────────╫────────────────────────────────────────────────────╢ ║/? ║ Ausgabe der Hilfe auf den Bildschirm. ║ ╚════════════╩════════════════════════════════════════════════════╝ ANMERKUNG 1. Die Option /UPW wird nur in seltenen Fällen benötigt. Ein Bei- spiel ist der Fall, daß Dr. Web einen noch unbekannten Virus ver- mutet. In einem solchen Fall kann die gepackte Datei mit /UP entpackt werden und steht für eine Detailananlyse zur Verfügung Das ist sicher nur für fortgeschrittene Systemprogrammierer inte- ressant. Für die normale Anwendung ist /UP ausreichend. ANMERKUNG 2. Falls keine Optionen angegeben werden, so arbeitet Dr. Web mit den Einstellungen der INI-Datei, welche sich im gleichen Verzei- chnis wie Dr. Web befinden muß. ANMERKUNG 3. Falls keine INI-Datei vorhanden ist und keine Optionen in der Kommadozeile angegeben wurden, so arbeitet Dr. Web wie folgt: - durchsucht Speicherbereich 0 bis 640 kB - prüft Dateien mit den Erweiterungen COM, EXE, SYS, BIN, DRV, BOO und OV? - Ausgabe der Namen von infizierten Dateien 3. Ausführung von Dr. Web im Batchmodus Sie können Dr. Web auch aus einer Batchdatei heraus starten. Geben Sie dort in der Kommandozeile die gewünschten Parameter an. Benutzen Sie die Option /CL um den Dialogmodus (Bedienoberfläche) zu unterdrücken. Beim Start von Dr. Web aus einer Batchdatei können folgende Errorlevel ausgewertet werden: ┌────────────┬───────────────────────────────────────────────┐ │ ERRORLEVEL │ Bedeutung: │ ├────────────┼───────────────────────────────────────────────┤ │ 0 │ keinen Virus gefunden │ │ 1 │ bekannten Virus gefunden │ │ 2 │ Verdacht auf unbekannten Virus │ └────────────┴───────────────────────────────────────────────┘ Nachfolgend ein kleines Beispiel für den Start von Dr. Web im Batchmodus und die Auswertung des Errorlevels. Wird ein Virus entdeckt, so erfolgt die Ausgabe einer entsprechenden Meldung auf den Bildschirm. drweb C: /CL /NM echo off if errorlevel 2 goto new_vir if errorlevel 1 goto vir goto end :vir echo WARNUNG! BEKANNTEN VIRUS ENTDECKT goto vir :new_vir echo WARNUNG! MÖGLICHERWEISE IST EIN UNBEKANNTER VIRUS echo AUF IHRER MASCHINE. goto new_vir :end Musikalische Effekte des polymorphen Virus Holms.6161 sind in das Programm Dr. Web eingebaut. Mein Dank gilt Georgi V. Frolov und Alexsander V. Frolov für die Unterstützung beim Schreiben des Manuskripts zu dieser Bedie- nungsanleitung. Zu besonderem Dank bin ich Herrn Dr. Naidu P.S.V. für die Durchsicht des russischen Manuskripts des Handbuches und die Übersetzung von Handbuch und Bedienoberfläche in die englische Sprache verpflichtet. Die Übersetzung des Handbuches in die deutsche Sprache wurde freundlicherweise durch Herrn Theo Christoph vorgenommen. Dr. Web Anti-Virus Software ist erhältlich bei DE: InSoft EDV-Systeme GmbH Puderstrasse 22 12435 Berlin Tel: 030-53699147 Fax: 030-53699149 mail: webmaster@insoft-edv.com RU: SaID Ltd. St. Petersburg, Russia E-mail sales@sald.com Nachfolgend ein öffentlicher Schlüssel, der benutzt werden kann, um mit Hilfe der Signature in der Datei DRWEB.PGP die Integrität des Programmes Dr. Web zu testen. Er kann ebenfalls benutzt werden, um neue Viren zu verschlüsseln, falls der Nutzer mir diese per E-mail zustellen möchte. -----BEGIN PGP PUBLIC KEY BLOCK----- Version: 2.6 mQCNAi3R1+AAAAEEAMeH97dViOlTOwWjd6iLsRnEvDuNMnfQor+7NtuxV0v7Dgig Kd4cE8dcSdfINr89mmIcPVCgI+uSDoDdgGK0WAl2pkJUigmJtidMpjFgyPoUTU6T cqmss4CyDFH9UoM74RUEqSG0cwsnt+rz46yELf+v6kS9QZC3r53C6gEbhxltAAUR tCFJZ29yIEEuIERhbmlsb2ZmIDxpZEBzYWxkLnNwYi5zdT6JAJUDBRAugG2cOpoV rn3diFEBAeD3A/9jGJRp5TqD2FBrwkIaJd6SqJVvSbYQnE39th/u4csghFYEYcdS GqPnVjxl0Sri1N5OqYB2uTRn0d0kqsrD24fuWFbZwvKlcZQO2C6W1zZSmwqAfw2p jAD+tTvRZDSx2z0+zgRZ/EhDIaH/louf8zcL3UlrW2YPNRODzJW6VUiouIkAlQMF EC8n2IANOmycNvS2swEBvqYEAJgRxQjfQhJI+iTMMUhWS8whvgitjzDeD+5u2tKz KwqSa4TaOfgf2000rN2SbqyTg5gDirLsVF8x80PusKFRxedwBzBNLl9ar78HB/x4 lOEO+/obRUH4wT+bH6KfUkDuqVvYsTRZ3mDoLfyJw9pCtkDiFQdCrWcGh+UNr8nJ oNBx =kuRk -----END PGP PUBLIC KEY BLOCK----- Mein "Fingerabdruck" vom PGP Schlüssel: C0 56 A6 24 91 99 B5 A1 C7 78 6A 8B D9 6D 8F B0