home *** CD-ROM | disk | FTP | other *** search
/ PC Online 1996 October / PCO_10.ISO / filesbbs / susp.arj / SCRC.DOC < prev    next >
Encoding:
Text File  |  1996-09-05  |  43.1 KB  |  835 lines
  1.  
  2. ┌───────────────────────────────────────────────────────────────────────────┐
  3. │                                                                           │
  4. │                           -   S   C   R   C   -                           │
  5. │                                                                           │
  6. │                  P R Ü F S U M M E N V E R W A L T U N G                  │
  7. │                                                                           │
  8. │                                                                           │
  9. │                Teil des Antiviren-Programmpakets SUSPICIOUS               │
  10. │                                                                           │
  11. │                         (c) 1996 Stefan Kurtzhals                         │
  12. │                                                                           │
  13. └───────────────────────────────────────────────────────────────────────────┘
  14.  
  15.  
  16. [ Systemvoraussetzungen ]────────────────────────────────────────────────────
  17.  
  18.     ■ 80286 oder 100% kompatibel
  19.     ■ MS-DOS 5.0-7.0, Novell DOS 7.0 oder 100% kompatibel
  20.     ■ 250K freier konventioneller DOS-Speicher
  21.  
  22.     Hinweis: SCRC konnte in Ermangelung eines Netzwerkes nicht unter einer
  23.     solchen Systemumgebung getestet werden.
  24.  
  25.  
  26. [ Einleitung ]───────────────────────────────────────────────────────────────
  27.  
  28.     Viren können auf verschiedene Arten gefunden werden. Sehr beliebt ist
  29.     das Scannen, da dieser Vorgang meist sehr schnell ist und die Ergebnisse
  30.     leicht verständlich sind. Entweder infiziert oder nicht, klarer Fall.
  31.     Scanner veralten leider sehr schnell und sind oft nicht in der Lage,
  32.     neue und unbekannte Viren zu erkennen; selbst wenn eine Heuristik vor-
  33.     handen ist, werden nicht alle neuen Viren zuverlässig erkannt.
  34.     Und meistens ist der Anwender nicht gewillt, jeden Monat sich Updates
  35.     des Virenscanners zu besorgen und diese zu installieren.
  36.     Eine weitere Stufe ist das Benutzen eines residenten Wächterprogramms,
  37.     das entweder jedes aufgerufene Programm vor dem Start scannt oder alle
  38.     verdächtigen Aktionen meldet und blockieren kann. Leider sind auch diese
  39.     'Behaviour Blockers' nicht perfekt und es ist möglich, daß Viren es
  40.     schaffen, sich an dem Schutz-TSR vorbeizumogeln. Residente Scanner haben
  41.     sehr oft nicht die Erkennungsrate ihrer Hauptprogramme und lassen sich
  42.     sowieso leicht mit Programmpackern und anderen Methoden austricksen.
  43.     Daher sollte man unbedingt einen Integrity-Checker einsetzen, der unab-
  44.     hängig von Viren generell Veränderungen an Programmen und Daten erkennen
  45.     kann. SCRC ist ein solcher Integrity-Checker und kann neben der Erkennung
  46.     von Programmveränderungen und Companion-Viren auch oft die infizierten
  47.     Programme wiederherstellen, wobei anhand einer CRC32-Prüfsumme hundert-
  48.     prozentig festgestellt werden kann, ob die Reinigung erfolgreich war oder
  49.     ob der Virus das Programm zerstört hat.
  50.     SCRC ist eine Ergänzung zu SSC, dem heuristischen Scanner und SVS, dem
  51.     residenten Virenschutzschild. SSC erkennt und analysiert Viren, SVS
  52.     meldet virentypische Aktiviäten und überprüft gleichzeitig anhand vorher
  53.     angelegter Prüfsummendateien, ob Programme verändert oder unbekannt sind.
  54.     Mit SCRC werden diese Prüfsummendateien verwaltet, verglichen und
  55.     Modifikationen erkannt.
  56.  
  57.     SCRC hat drei Hauptaufgaben:
  58.  
  59.     ■ Erkennung von modifizierten (infizierten) Programmen
  60.     ■ Reinigen von infizierten Programmen
  61.     ■ Erkennung und automatisches Entfernen von Companion-Viren
  62.  
  63.     SCRC ist speziell für die Erkennung von virustypischen Programmver-
  64.     änderungen ausgelegt und optimiert. Eine generelle Prüfung von Daten
  65.     ist mit SCRC nicht möglich, da die Prüfsummen gleichzeitig von SVS be-
  66.     nutzt werden. Wenn Sie denoch über das SETUP entsprechende Endungen
  67.     angeben, wird SVS, und damit das System, extrem gebremst!
  68.  
  69.  
  70. [ Erkennung von Modifikationen ]─────────────────────────────────────────────
  71.  
  72.     Während SVS eine Programmveränderung durch Viren aktiv im Speicher ver-
  73.     hindern soll, ist SCRC passiv ausgelegt. Es kann Veränderungen erst er-
  74.     kennen, wenn der Virus ein Programm modifiziert hat und zu diesem Pro-
  75.     gramm im sauberen Zustand vorher eine Prüfsummendatei erzeugt wurde.
  76.     Es ist egal, ob der Virus bekannt oder neu ist, SCRC erkennt nicht den
  77.     Virus an sich, sondern die Veränderung des Programmcodes. SCRC benötigt
  78.     deshalb nicht, wie normale Virensuchprogramme, ständig Updates, um auf
  79.     dem aktuellsten Stand zu sein. Updates werden erst dann notwendig, wenn
  80.     ein Virus speziell programmiert wird, um SCRC zu unterlaufen.
  81.     Allerdings ist es für SCRC um so wichtiger, daß die Prüfsummendateien
  82.     immer auf dem aktuellsten Stand sind, da sonst eine Erkennung oder
  83.     Reparatur unmöglich ist.
  84.     SCRC legt in jedem Verzeichnis, das Programme enthält, eine Prüfsummen-
  85.     datei an. Diese Datei ist verschlüsselt und beinhaltet wichtige Infor-
  86.     mationen über die Programme wie etwa die Programmlänge, Programmstart
  87.     und den CRC32-Wert des gesamten Programminhalts. Anhand dieser Daten
  88.     kann SCRC zuverlässig Programmveränderungen feststellen, die für Viren
  89.     typisch sind. Im Standard-Modus überprüft SCRC aus Geschwindigkeits-
  90.     gründen nur den Programmanfang und die Programmlänge auf Veränderungen.
  91.     Hier muß ein Dateivirus das Programm manipulieren, um aktiv zu werden.
  92.     SCRC verwendet das standardisierte und zuverlässige CRC32-Verfahren zum
  93.     Berechnen der benötigten Prüfsummen.
  94.     Erkennt SCRC eine Programmveränderung, versucht es zu unterscheiden, ob
  95.     diese Veränderung auf einen Virus zurückzuführen ist und ob sie rück-
  96.     gängig gemacht werden kann.
  97.     Virentypische Merkmale wie etwa ein ungültiges Dateidatum werden rot-
  98.     blinkend angezeigt. Viele Viren benutzen ein ungültiges Dateidatum, um
  99.     bereits infizierte Programme zu markieren. Auf dieses Merkmal sollte
  100.     man also besonders achten.
  101.     Alle der wirklich verbreiteten Dateiviren verlängern Programme um ca.
  102.     100-5000 Bytes und behalten in der Regel bei der Infizierung das alte
  103.     Programmdatum bei bzw. benutzen ein ungültiges Datum als Markierung.
  104.     Eine besondere Fähigkeit ist das externe Überprüfen von komprimierten
  105.     Programmen. Fast alle Programme werden heute mit Komprimierern wie
  106.     PKLITE, DIET, LZEXE oder WWPACK behandelt. Da diese Tools stets
  107.     gleiche Programmeinsprünge erzeugen, können SCRC und SSC solche mani-
  108.     pulierten Dateien erkennen. Eine Reinigung solcher Programme ohne
  109.     vorher angelegte Prüfsummen wäre möglich, ist aber recht unsicher und
  110.     wurde daher nicht in SCRC übernommen.
  111.  
  112.  
  113. [ Verdächtige Programmstrukturen ]───────────────────────────────────────────
  114.  
  115.     SCRC kontrolliert Programme auf verdächtige Strukturen, wenn die Dateien
  116.     neu hinzugefügt oder verändert wurden. Findet SCRC solche verdächtigen
  117.     Programme, wird selbst die Option "/INIT" oder "/AUTOADD" übergangen und
  118.     das Auswahlmenü angezeigt. Sie sollten sich also nicht wundern, wenn SCRC
  119.     trotz entsprechender Parameter in mehreren Verzeichnissen stehen bleibt
  120.     und das übliche Auswahlmenü anzeigt. Sie sollten in diesen Fall die ge-
  121.     meldeten Dateien mit SSC und anderen Virenscannern kontrollieren und, be-
  122.     vor Sie diese verdächtigen Programme starten, SVS aktivieren.
  123.     SCRC erkennt drei verschiedene, für Viren typische Dateimodifikationen:
  124.  
  125.       ■ Ungültiges Dateidatum/Uhrzeit ("2084/62")
  126.       ■ EXE-Programme mit interner COM-Struktur "(MZ)"
  127.       ■ Komprimierte Programme, die nachträglich modifiziert wurden "(MOD!)"
  128.  
  129.     Zum Auswahlmenü werden zusätzlich Informationen wie Name, Größe, Datum,
  130.     Attribute und Prüfsumme der betreffenden Datei angezeigt. Findet SCRC
  131.     verdächtige Strukturen, werden diese rot blinkend dargestellt.
  132.     Natürlich sind diese Warnungen keine konkreten Beweise dafür, daß die
  133.     betreffende Datei infiziert ist. Vor allem auf Installationsdisketten
  134.     befinden sich oft Archive, die zwar eine "EXE"-Dateiendung haben, aber
  135.     noch vollkommen komprimiert sind und daher keine EXE-Struktur aufweisen
  136.     (Dies ist z.B. auf den Installationsdisketten für AutoCAD der Fall).
  137.  
  138.  
  139. [ Reinigung von Programmen ]─────────────────────────────────────────────────
  140.  
  141.     Findet SCRC ein Programm, das auf virentypische Art verändert wurde,
  142.     bietet es eine Reinigungsoption im Auswahlmenü an. Sie können von dieser
  143.     Funktion Gebrauch machen, ohne Gefahr zu gehen, das Programm zu zer-
  144.     stören! Bevor der Reinigungsvorgang gestartet wird, legt SCRC als erstes
  145.     eine Sicherheitskopie des Programmes an. Wenn das Programm "TEST.EXE"
  146.     heißen würde, wird die Kopie "TEST.EX!" genannt, also der letzte Buch-
  147.     stabe der Dateierweiterung durch ein "!" ersetzt ("COM" wird zu "CO!").
  148.     Erst nachdem erfolgreich die Sicherheitskopie angelegt wurde, startet
  149.     SCRC die Programm-Reinigung, die mittels der vorher gespeicherten Daten
  150.     bei den meisten Dateiviren problemlos durchgeführt werden kann.
  151.     Ist das Programm vermutlich gereinigt, wird dies erst noch anhand der
  152.     vorher berechneten CRC32-Prüfsummen verifiziert. Stimmt der CRC32-Wert
  153.     des 'gereinigten' Programmes nicht mehr mit dem des Originals überein,
  154.     muß das Programm als zerstört angesehen werden! SCRC bietet in diesem
  155.     Fall die Option an, das zerstörte Programm direkt zu löschen und die
  156.     infizierte Sicherheitskopie wieder zurückzukopieren.
  157.     Stimmt die CRC32-Prüfsumme mit dem Original überein, kann mit hoher
  158.     Wahrscheinlichkeit davon ausgegangen werden, daß die Reinigung hundert-
  159.     prozentig erfolgreich war.
  160.  
  161.     CRC-Reinigung oder spezielle Reinigungsprogramme?
  162.     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  163.       In der Regel ist eine Reinigung nach dem Verfahren, wie es SCRC be-
  164.       nutzt, speziellen Reinigungsprogrammen vorzuziehen. Diese entschlüsseln
  165.       den Viruscode und extrahieren die für die Reinigung notwendigen
  166.       Werte. Da Viren nicht immer alle notwendigen Werte speichern und mit
  167.       Sicherheit nicht immer alle Programme hundertprozentig korrekt
  168.       infizieren, kann eine solche Reinigung fehlschlagen. SCRC hingegen
  169.       bezieht alle notwendigen Daten aus den vorher gespeicherten Prüf-
  170.       listen. Eine Reinigung mit SCRC ist hunderprozentig, wenn die CRC32-
  171.       Prüfsumme wieder übereinstimmt. Natürlich versagt die Reinigung mit
  172.       SCRC, wenn zu einem infizierten Programm keine Prüfsumme besteht,
  173.       die erstellt wurde, als das Programm noch sauber war.
  174.  
  175.     Fälle, in denen SCRC nicht in der Lage ist, ein Programm zu reinigen:
  176.     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  177.     - Der Eintrag zu diesem Programm innerhalb der Prüfsummendatei wurde von
  178.       SVS erstellt und noch nicht mit SCRC vervollständigt. SVS erstellt
  179.       aus Zeitgründen keine CRC32-Prüfsumme, und ohne diese Prüfsumme kann
  180.       SCRC die Reinigung nicht verifizieren. Die Reinigungs-Option wird in
  181.       diesem Fall erst gar nicht angeboten.
  182.  
  183.     - Der Virus infiziert Programme nicht auf die übliche Art oder hat einen
  184.       großen Teil des Programmstarts überschrieben. Einige Viren infizieren
  185.       Programme z.B., indem der gesamte Programmstart ans Dateiende kopiert
  186.       und der eigentliche Viruscode dann am Dateianfang eingefügt wird. Es
  187.       gibt auch überschreibende Viren, die stets destruktiv sind und den
  188.       kompletten Programmstart ohne Kopie überschreiben. Eine Reinigung bei
  189.       solchen Viren ist nicht mehr möglich, allerdings sind solche Viren noch
  190.       nie in 'freier Wildbahn' gefunden worden.
  191.       Eine weitere Möglichkeit sind Viren, die schlecht programmiert sind
  192.       und Programme mit internen Overlays, wie z.B. PKZIP.EXE oder Windows-
  193.       Programme, beim Infizieren zerstören. Auch in diesem Fall ist eine
  194.       Reinigung nicht mehr möglich!
  195.       Windows-Viren der neueren Generation sind in der Lage, NewEXE-Programme
  196.       korrekt zu infizieren. SCRC erkennt zwar die Veränderung des Programms,
  197.       kann aber die infizierten Dateien nicht reinigen.
  198.  
  199.     - Das Programm ist überhaupt nicht infiziert! Kontrollieren Sie, ob das
  200.       Programm nicht doch legal verändert wurde. Vielleicht wurde ein Update
  201.       des betreffenden Programms installiert und die Prüfsumme nicht auf den
  202.       neusten Stand gebracht.
  203.  
  204.     Hinweis:
  205.     ~~~~~~~~
  206.     SCRC benutzt in der Regel einen speziellen Anti-Stealth-Dateizugriff, um
  207.     auf Programme zuzugreifen. Damit soll verhindert werden, daß aktive Viren
  208.     durch SCRC weiter verbreitet werden, wie das bei Fast-Infector-Viren
  209.     normalerweise der Fall wäre. SCRC kann durch den Anti-Stealth-Zugriff
  210.     also auch bei aktiven Viren Programme reinigen, allerdings ist es
  211.     empfehlenswert, die Reinigung erst durchzuführen, nachdem von einer
  212.     sauberen Startdiskette gebootet wurde.
  213.  
  214.  
  215. [ Die Prüfsummendatei ]──────────────────────────────────────────────────────
  216.  
  217.     SCRC speichert alle Programminformationen in dieser Datei, die in jedem
  218.     Verzeichnis angelegt wird, welches Programme enthält. Diese Dateien sind
  219.     für das Funktionieren von SCRC äußerst wichtig. Sie sollten diese Daten
  220.     nicht löschen, verschieben oder (ohne SETUP.EXE) umbenennen.
  221.     Die Standardvorgabe für den Prüfsummen-Dateinamen ist "CRC.SVS". Sie
  222.     sollten auf jeden Fall mit SETUP.EXE diese Vorgabe direkt verändern,
  223.     bevor sie SCRC das erste Mal benutzen! Sehr viele der moderneren Viren
  224.     greifen gezielt verbreitete Antiviren-Programme an, indem die Prüfsummen-
  225.     dateien gelöscht werden. Meistens wird es den Viren besonders einfach ge-
  226.     macht: Die Prüfsummendateien haben stets den gleichen Dateinamen und das
  227.     Hauptprogramm meldet nicht, wenn diese Prüfsummendateien gelöscht werden.
  228.     Wenn Sie mit SETUP.EXE die Prüfsummendateien von SCRC umbenennen, sollten
  229.     Sie darauf achten, daß bereits erstellte Prüfsummendateien mit anderen
  230.     Namen nicht mehr erkannt werden.
  231.  
  232.     Hinweis:
  233.     ~~~~~~~~
  234.     Wenn Sie den Dateinamen der Prüfsummendatei ändern, übernimmt SVS auto-
  235.     matisch die neue Endung und schützt diese im späteren Betrieb wie normale
  236.     Programme. Sie sollten also keine geläufigen Endungen wie ".DAT" oder
  237.     "   " (keine Endung) wählen.
  238.  
  239.  
  240. [ Installation und Benutzung ]───────────────────────────────────────────────
  241.  
  242.  !! HINWEIS: {Parameter} steht für optionale Parameter. Wurde SCRC mit SETUP
  243.  !! konfiguriert, muß stets noch der zusätzliche Parameter "/CFG" angegeben
  244.  !! werden, damit SCRC die gewählte Konfiguration benutzt. Alle weiteren
  245.  !! übergebenen Parameter werden im Zusammenhang mit "/CFG" ignoriert.
  246.  
  247.     Im Normalfall sollten Sie SCRC über INSTALL menügesteuert installieren.
  248.     Sie können SCRC aber auch manuell in die CONFIG.SYS bzw. AUTOEXEC.BAT
  249.     einfügen. Das ist vor allem dann notwendig, wenn Sie eine CONFIG.SYS mit
  250.     Startmenü benutzen.
  251.  
  252.     Zuerst muß mit SETUP.EXE eine Konfigurationsdatei angelegt werden, die
  253.     wichtige Parameter für SCRC enthält. Besonders wichtig ist die Namens-
  254.     gebung der Prüfsummendatei, die auf jeden Fall umbenannt werden sollte.
  255.     Wird SCRC das erste Mal benutzt, müssen die Prüfsummendateien einge-
  256.     richtet werden:
  257.  
  258.        SCRC C: /INIT
  259.  
  260.     oder wenn Sie direkt alle Festplatten überprüfen wollen:
  261.  
  262.        SCRC /INIT /ALLDRV
  263.  
  264.     SCRC fragt bei dem Aufruf mit dem Parameter "/INIT" nach, ob diese
  265.     Aktion wirklich durchgeführt werden soll, da bereits vorhandene Prüf-
  266.     summen ohne weitere Abfragen gelöscht werden.
  267.     Wenn neue Programme in die Prüflisten aufgenommen werden, dauert das
  268.     länger als die normale Dateiüberprüfung, da die CRC32-Prüfsumme zu jedem
  269.     Programm berechnet werden muß. Das gilt ebenfalls, falls Sie den Eintrag
  270.     einer Datei aktualisieren. Alle weiteren Prüfungen außer dem FULLCRC-
  271.     Modus erfolgen dann wesentlich schneller.
  272.  
  273.     Meldet sich SCRC direkt mit der Warnung "DOS-Kernel modifiziert", gibt es
  274.     zwei Möglichkeiten: Entweder Sie haben das Antiviren-Programm "VIRSTOP"
  275.     (Frisk) geladen oder es ist der Virus <Alpha Strike> bzw. <Neuroquila>
  276.     aktiv im Speicher. Nur diese beiden Viren benutzen bis jetzt die Methode,
  277.     die zu dieser Warnung führt. <Neuroquila> kann daran erkannt werden, daß
  278.     nach dem Start von einer sauberen Startdiskette die erste Partition
  279.     nicht mehr erreichbar ist ("Invalid drive C:"/"Ungültiges Laufwerk C:").
  280.     Beide Viren werden von SSC erkannt.
  281.  
  282.     Ist die Initalisierung erfolgreich durchgeführt, sollte SCRC entweder in
  283.     der CONFIG.SYS oder in der AUTOEXEC.BAT installiert werden. Ein Aufruf in
  284.     der CONFIG.SYS ist wirkungsvoller, da normale Dateiviren i.d.R.
  285.     frühestens mit COMMAND.COM aktiv werden. COMMAND.COM wird am Ende der
  286.     CONFIG.SYS und vor der Ausführung der AUTOEXEC.BAT gestartet. Wird SCRC
  287.     am Ende der CONFIG.SYS eingefügt, wird ein möglicher Virus erkannt, bevor
  288.     er sich aktivieren kann. Am einfachsten ist es, wenn SCRC als letzter
  289.     Befehl in die CONFIG.SYS aufgenommen wird.
  290.     SCRC muß nicht in den oberen Speicher hochgeladen werden, da es kein
  291.     speicherresidentes Programm ist. Wenn aus Kompatibilitätsgründen ein
  292.     Aufruf von SCRC in der CONFIG.SYS nicht möglich ist, sollte SCRC direkt
  293.     als erster Befehl in die AUTOEXEC.BAT aufgenommen werden.
  294.  
  295.     Manuelle Installation in der CONFIG.SYS:
  296.     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  297.     Folgenden Befehl am Ende der CONFIG.SYS einfügen:
  298.  
  299.        INSTALL=C:\PFAD\SCRC.EXE /PATH=C:\PFAD {/CFG oder Parameter}
  300.  
  301.     Die Pfadangabe hinter "/PATH=" gibt an, in welchem Verzeichnis SCRC
  302.     installiert ist. Diese Angabe ist notwendig, da SCRC bei dem Aufruf über
  303.     die CONFIG.SYS sonst nicht feststellen kann, in welchem Verzeichnis die
  304.     notwendigen Konfigurationsdateien vorhanden sind.
  305.  
  306.     Manuelle Installation in der AUTOEXEC.BAT:
  307.     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  308.     Wenn möglich, SCRC in der CONFIG.SYS installieren! Ansonsten am Anfang
  309.     der AUTOEXEC.BAT folgenden Befehl einfügen:
  310.  
  311.         SCRC {/CFG oder Parameter}
  312.  
  313.     {Parameter} steht allgemein für die Konfigurationsparameter, mit denen
  314.     SCRC gestartet werden kann. Haben Sie SCRC mit SETUP konfiguriert,
  315.     reicht ein einfaches "/CFG" ohne weitere Angaben.
  316.  
  317.     Für {Laufwerk} muß ein Laufwerk oder der Parameter "/ALLDRV" ange-
  318.     geben werden. Wird letzeres spezifiziert, überprüft SCRC alle Laufwerke
  319.     außer Diskettenlaufwerken, RAM-Laufwerken und CD-ROM's.
  320.  
  321.  
  322.     ■ Hinweis: Den folgenden Abschnitt brauchen Sie nicht zu lesen, falls Sie
  323.     ■          SCRC mit SETUP konfiguriert haben und "/CFG" benutzen. Die
  324.     ■          gleichen Parameter werden mit den verschiedenen Vorgaben von
  325.     ■          SETUP aktiviert.
  326.  
  327.     Weitere Standardvorgaben bei den Parametern sind sinnvoll:
  328.  
  329.       Schnellste Dateiüberprüfung mit möglichst wenig Warnungen:
  330.       ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  331.  
  332.          SCRC {Laufwerk} /DAILY /FAST+ /AUTOADD /AUTODEL /AUTODIR
  333.  
  334.       Diese Prüfmethode ist nicht so sicher wie ohne "/FAST", es werden nur
  335.       Programme genauer geprüft, wenn 'äußere' Werte wie Dateidatum oder
  336.       Dateilänge verändert sind. Die "/AUTOxxx"-Parameter sorgen dafür, daß
  337.       neue Programme und Verzeichnisse automatisch in die Prüflisten aufge-
  338.       nommen werden und gelöschte Programme automatisch wieder aus den Listen
  339.       entfernt werden. "/DAILY" sorgt dafür, das SCRC nur einmal am Tag beim
  340.       ersten Einschalten des Rechners ausgeführt wird.
  341.  
  342.       Normale Dateiüberprüfung ohne Dateikontrolle:
  343.       ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  344.  
  345.          SCRC {Laufwerk} /DAILY+ /AUTOADD /AUTODEL /AUTODIR
  346.  
  347.       In diesem Modus überprüft SCRC die Programme genauer als mit "/FAST"
  348.       und kann virentypische Veränderungen sicherer erkennen. Die drei
  349.       "/AUTOxxx" Parameter sorgen dafür, daß Warnungen bezüglich neuer oder
  350.       gelöschter Programme nicht angezeigt werden. Im "/DAILY+"-Modus
  351.       überprüft SCRC beim ersten Aufruf alle Programme im normalen Ver-
  352.       gleichsmodus. Bei allen weiteren Starts von SCRC am selbem Tag wird
  353.       dann der FAST-Modus eingeschaltet, um die Suche zu beschleunigen.
  354.  
  355.       Normale Dateiüberprüfung mit Dateikontrolle:
  356.       ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  357.  
  358.          SCRC {Laufwerk} /DAILY+
  359.  
  360.       Neben der Prüfung auf Dateiveränderungen meldet SCRC jetzt auch, wenn
  361.       neue Programme und Verzeichnisse hinzugefügt oder Programme gelöscht
  362.       wurden. Das Löschen kann nur erkannt werden, wenn zu den betreffenden
  363.       Programmen ein Eintrag in der Prüfsummendatei besteht.
  364.  
  365.       Sicherste Dateiüberprüfung und -kontrolle:
  366.       ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  367.  
  368.          SCRC {Laufwerk} /FULLCRC
  369.  
  370.       Bei jedem Programm wird nun auch die komplette CRC32-Prüfsumme ver-
  371.       glichen, womit jede geringste Manipulation oder Veränderung an Pro-
  372.       grammen erkannt wird. /FULLCRC sollte einmal monatlich explizit, oder
  373.       über den Parameter /DAILY=xx:YY aufgerufen werden, um die Korrektheit
  374.       der Prüflisten für eine mögliche Reinigung zu garantieren.
  375.  
  376.  
  377. [ Programmparameter ]────────────────────────────────────────────────────────
  378.  
  379.     In diesem Abschnitt werden die möglichen Parameter von SCRC beschrieben.
  380.     Eine einfache Konfiguration von SCRC ist mittels SETUP möglich, die so
  381.     eingestellte Konfiguration wird aber erst aktiv, wenn SCRC mit dem Para-
  382.     meter "/CFG" gestartet wird.
  383.  
  384.     ■ Hinweis: Sie sollten sich die Parameterbeschreibungen wenigstens ein-
  385.     ■ mal durchlesen, damit Sie die Funktionsweise von SCRC besser verstehen
  386.     ■ und das Programm effektiver einsetzen können.
  387.  
  388.     /NOAS
  389.     ~~~~~
  390.     SCRC benutzt eine spezielle Methode, um auf Programme zuzugreifen, mit
  391.     der SCRC fast alle Datei-Tarnkappenviren überlisten kann, die bereits
  392.     aktiv sind. Die Berechnung der notwendigen Daten ist allerdings DOS-
  393.     abhängig und wurde mit DOS 5.0-6.22, Novell DOS, DR-DOS und im DOS-
  394.     Fenster von OS/2 Warp getestet. Sollte SCRC beim Start melden, daß die
  395.     Anti-Stealth Routine nicht aktiviert werden kann, benutzen sie wahr-
  396.     scheinlich eine unkompatible DOS-Version oder es sind Viren wie
  397.     <Alpha Strike> oder <Neuroquila> aktiv im System. Besonders <Neuroquila>
  398.     ist recht stark verbreitet und Sie sollten den Rechner sofort auf
  399.     Virenbefall testen. <Neuroquila> kann daran erkannt werden, daß die
  400.     Festplatte beim Booten von einer sauberen Startdiskette nicht mehr
  401.     zugänglich ist ("INVALID DRIVE C:"). Ist das nicht der Fall, können Sie
  402.     den Anti-Stealth Dateizugriff mit "/NOAS" abschalten.
  403.     Sollen Netzwerklaufwerke bearbeitet werden, schaltet SCRC den Anti-
  404.     Stealth-Dateizugriff automatisch ab, da dieser meistens nicht zusammen
  405.     mit Netzwerksoftware funktioniert.
  406.  
  407.     /NOCOMP
  408.     ~~~~~~~
  409.     Split- oder Companion-Viren benutzen eine besondere Eigenschaft von DOS.
  410.     Befinden sich in einem Verzeichnis (oder in der PATH-Angabe) ein COM-
  411.     und EXE-Programm mit gleichem Dateinamen wie z.B. MSD.COM und MSD.EXE,
  412.     wird beim üblichen Aufruf mit "MSD" stets zuerst MSD.COM gestartet.
  413.     Companion-Viren nutzen dies aus und suchen nach EXE-Programmen, zu denen
  414.     gleichnamige COM-Programme erzeugt werden, die dann den Virus enthalten.
  415.     Wird das Programm aufgerufen, wird zuerst der Virus gestartet, der
  416.     seinerseits das eigentliche Programm aufruft. Viren solchen Typs sind
  417.     sehr einfach zu programmieren, können aber auch genauso einfach wieder
  418.     aus dem System entfernt werden. In der Regel erkennt man Companion-Viren
  419.     daran, daß Verzeichnisse nicht mehr gelöscht werden können, obwohl
  420.     vorher alle Programme darin vom Anwender gelöscht wurden. Der Grund
  421.     dafür ist, daß Companion-Viren sehr oft das HIDDEN- oder SYSTEM-Datei-
  422.     attribut gesetzt haben, um bei DIR nicht mit angezeigt zu werden.
  423.     SCRC überprüft während der Dateisuche, ob solche doppelten Programme auf-
  424.     tauchen und kann, falls gewünscht, alle weiteren Kopien des Virus auto-
  425.     matisch entfernen. Das ist möglich, da die von Companion-Viren erzeugten
  426.     Programme in der Regel alle gleich lang sind. Mit "/NOCOMP" wird die
  427.     Suche nach Companion-Viren unterbunden.
  428.     Hinweis: Benutzen sie QEMM (Quarterdeck), werden Sie mit SCRC im QEMM-
  429.     Verzeichnis ebenfalls eine doppelte Datei finden: OPTIMIZE.COM und EXE.
  430.  
  431.     /NOESC
  432.     ~~~~~~
  433.     Normalerweise kann die Dateiüberprüfung von SCRC jederzeit mit der Taste
  434.     <ESC> abbgebrochen werden. Vor allem im Zusammenhang mit dem Sicherheits-
  435.     Modus kann es gewünscht sein, daß diese Art von Programmabbruch nicht
  436.     mehr möglich ist. Mit "/NOESC" wird die Möglichkeit eines vorzeitigen
  437.     Programmabbruchs von SCRC unterbunden.
  438.  
  439.     /NOMEM
  440.     ~~~~~~
  441.     Das Modul MEMCHK sucht im Speicher mittels Heuristik nach bekannten und
  442.     unbekannten Viren. Mit diesem Parameter wird der Speichertest ausge-
  443.     schaltet.
  444.  
  445.     /NONEWDIR
  446.     ~~~~~~~~~
  447.     Dieser Parameter bewirkt, daß SCRC in neuen Verzeichnissen keine Prüf-
  448.     summendateien anlegt und den Anwender auch nicht bezüglich des neuen Ver-
  449.     zeichnisses warnt. Nützlich ist dieser Parameter vor allem dann, wenn mit
  450.     SCRC aus Geschwindigkeitsgründen nur in bestimmten Verzeichnissen Prüf-
  451.     summen angelegt wurden, und alle neuen Verzeichnisse direkt ohne Abfrage
  452.     übersprungen werden sollen. Ebenfalls sinnvoll in Kombination mit dem
  453.     Sicherheitsmodus: Werden zu neuen Verzeichnissen keine Prüfsummen
  454.     erzeugt, kann bei entsprechender Konfiguration von SVS dort kein Programm
  455.     gestartet werden. Damit kann z.B. verhindert werden, daß fremde Software
  456.     ungeprüft auf dem Rechner benutzt wird.
  457.  
  458.     /NOSUB
  459.     ~~~~~~
  460.     Wird dieser Parameter angegeben, durchsucht SCRC nur das Zielverzeichnis,
  461.     ignoriert aber alle weiteren Unterverzeichnisse.
  462.  
  463.     /AUTOADD
  464.     ~~~~~~~~
  465.     Dieser Parameter bewirkt, daß neue Programme ohne Abfrage in die Prüf-
  466.     listen aufgenommen werden. Zusammen mit "/AUTODEL" und "/AUTODIR" kann
  467.     somit eingestellt werden, in welchem Umfang der Anwender über neue oder
  468.     gelöschte Programme informiert wird.
  469.  
  470.     /AUTODEL
  471.     ~~~~~~~~
  472.     SCRC erkennt, wenn Programme gelöscht werden, zu denen bereits Prüf-
  473.     summeneinträge bestanden. Normalerweise weist SCRC Sie mit einer Abfrage
  474.     darauf hin, daß das Programm fehlt; mit "/AUTODEL" wird die Warnung
  475.     nicht mehr angezeigt und gelöschte Programme automatisch aus den Listen
  476.     gelöscht.
  477.  
  478.     /AUTODIR
  479.     ~~~~~~~~
  480.     Als Schutz gegen Viren, die es geschafft haben, die Prüfsummendateien von
  481.     SCRC zu löschen, wird in jedem Verzeichnis, das Programme, aber keine
  482.     Prüfsummendatei enthält, eine Warnung ausgegeben. Da dies oft lästig und
  483.     nicht gewünscht ist, kann diese Warnung mit "/AUTODIR" ausgeschaltet
  484.     werden. Neue Prüflisten werden dann automatisch erstellt. In diesem Fall
  485.     sollten Sie auch noch "/AUTOADD" angeben.
  486.  
  487.     /ALLDRV
  488.     ~~~~~~~
  489.     Besonders wichtig im Zusammenhang mit "/DAILY" ist dieser Parameter. Er
  490.     bewirkt, daß SCRC alle vorhandenen Laufwerke überprüft. Diskettenlauf-
  491.     werke, RAM-Drives und CD-ROMs werden von SCRC dabei übersprungen.
  492.     Wird ein bestimmtes Laufwerk von "/ALLDRV" nicht erkannt, müssen Sie die
  493.     Option "Benutzerdefinierte Laufwerke" über das Setup angeben.
  494.  
  495.     /CFG
  496.     ~~~~
  497.     Wird SCRC über SETUP.EXE speziell konfiguriert, muß dieser Parameter
  498.     unbedingt angegeben werden, da erst dann die Konfiguration in SCRC über-
  499.     nommen wird. Ausgenommen davon ist die Angabe des Prüfsummen-Dateinamens,
  500.     die stets aus der Konfigurationsdatei entnommen wird, und der Parameter
  501.     "/PATH=...".
  502.  
  503.     /DAILY
  504.     ~~~~~~
  505.     Ist SCRC in der CONFIG.SYS oder AUTOEXEC.BAT installiert, ist es oft
  506.     nicht notwendig, SCRC bei jedem Systemstart die gesamte Festplatte
  507.     durchsuchen zu lassen. Mit "/DAILY" führt SCRC den Dateivergleich nur
  508.     täglich durch; beim jeweils ersten Aufruf des Tages.
  509.  
  510.     /DAILY+
  511.     ~~~~~~~
  512.     Im erweiterten "/DAILY"-Modus führt SCRC wieder bei jedem Aufruf den
  513.     Dateivergleich durch. Allerdings wird nur beim ersten Aufruf des Tages
  514.     die normale, langsamere Dateiüberprüfung verwendet. Bei allen weiteren
  515.     Starts am gleichen Tag verwendet SCRC den wesentlich schnelleren FAST-
  516.     Modus. "/DAILY+" wird für den Batchbetrieb empfohlen.
  517.  
  518.     /DAILY++
  519.     ~~~~~~~~
  520.     Dieser Modus arbeitet wie "/DAILY+", zusätzlich wird der FAST-Modus
  521.     durch den SYSTEM-Modus ersetzt. D.h. SCRC prüft nach dem ersten Aufruf
  522.     eines jeweiligen Tages nur noch die kritischen Systemdateien. Dieser
  523.     Modus ist wesentlich schneller als "/DAILY+", da weitaus weniger
  524.     Dateien überprüft werden. "/DAILY++" bietet allerdings auch weniger
  525.     Sicherheit als "/DAILY+"
  526.  
  527.     /DAILY=xx:yy
  528.     ~~~~~~~~~~~~
  529.     Der DAILY-Modus kann noch weiter konfiguriert werden: "xx" gibt an, nach
  530.     wieviel Tagen der (sonst eingeschaltete) FAST-Modus deaktiviert und der
  531.     Normal-Modus benutzt wird. Wird der "/FAST"-Parameter nicht benutzt,
  532.     wird die Angabe von "xx" ignoriert. Der FAST-Modus wird nur beim ersten
  533.     Aufruf an diesen Tag deaktiviert, bei allen weiteren Suchdurchgängen
  534.     benutzt SCRC diesen Modus dann wieder.
  535.     Beim ersten Aufruf von SCRC nach "yy" Tagen schaltet sich SCRC in den
  536.     "FULLCRC"-Modus, in dem auch noch geringfügigste Veränderungen von Pro-
  537.     grammen erkannt werden.
  538.     Ein guter Kompromiß zwischen hoher Geschwindigkeit und Sicherheit ist
  539.     die Parameterkombination "/FAST+ /DAILY++=07:30"
  540.     Die Angabe von "=xx:yy" kann beliebig mit "/DAILY", "/DAILY+" und
  541.     "/DAILY++" verwendet werden.
  542.  
  543.     /FAST
  544.     ~~~~~
  545.     Normalerweise überprüft SCRC bei Programmen Veränderungen der Dateilänge
  546.     und des Programmkopfes. Im "/FAST"-Modus wird der Dateiinhalt nur noch
  547.     ausführlich verglichen, falls das Dateidatum oder die Dateilänge ver-
  548.     ändert wurden. Dadurch wird SCRC wesentlich beschleunigt; der Vergleich
  549.     ist aber weniger sicher als im Standard-Modus. Für so gut wie alle Datei-
  550.     viren reicht "/FAST" vollkommen aus, da Viren meist entweder Programme
  551.     verlängern oder das Dateidatum verändern.
  552.  
  553.     /FAST+
  554.     ~~~~~~
  555.     Das zusätzliche "+" beim "/FAST"-Parameter bewirkt, daß, nachdem eine
  556.     modifizierte Datei gefunden wurde, der FAST-Modus komplett ausgeschaltet
  557.     wird und alle weiteren Programmveränderungen sicherer erkannt werden
  558.     können. "/FAST+" ist "/FAST" vorzuziehen.
  559.  
  560.     /FULLCRC
  561.     ~~~~~~~~
  562.     Mit diesem Parameter wird die Dateiüberprüfung besonders ausführlich
  563.     durchgeführt, allerdings sehr auf Kosten der Zeit. SCRC vergleicht nun
  564.     den kompletten Dateiinhalt und kann auch geringste Dateibeschädigungen
  565.     erkennen. "/FULLCRC" kann auch zusammen mit "/FAST{+}" benutzt werden;
  566.     in diesem Fall wird der Dateiinhalt nur von Programmen mit veränderter
  567.     Dateilänge oder Datum komplett überprüft.
  568.     Sie sollten "/FULLCRC" vor allem dann benutzen, wenn Sie einen Virus
  569.     entdeckt haben!
  570.  
  571.     ■ Hinweis: Benutzen Sie "/FULLCRC" mindestens einmal monatlich oder
  572.     ■          verwenden Sie den Parameter "/DAILY{++}=xx:yy"
  573.  
  574.     /INIT
  575.     ~~~~~
  576.     Dieser Parameter wird für die Installation oder Neueinrichtung von SCRC
  577.     benötigt. "/INIT" ist gleichbedeutend mit "/AUTODEL", "/AUTOADD" und
  578.     "/AUTODIR", es werden also zu allen vorhandenen Programmen neue Prüf-
  579.     listeneinträge erstellt. Als Sicherheit fragt SCRC vor der Ausführung
  580.     von "/INIT" noch einmal ab, ob diese Funktion wirklich durchgeführt
  581.     werden soll. Alle bereits vorhandenen Prüfsummendateien gehen verloren!
  582.     Die Initialisierung dauert wesentlich länger als der sonst übliche
  583.     Prüfvorgang, da die Programme komplett eingelesen werden müssen, um
  584.     die CRC32-Prüfsumme berechnen zu können.
  585.  
  586.     /PATH=Pfad
  587.     ~~~~~~~~~~
  588.     "/PATH" wird erst notwendig, wenn SCRC in der CONFIG.SYS installiert
  589.     werden soll. Bei einigen DOS-Versionen kann zu diesem Zeitpunkt noch
  590.     nicht der eigene Programmpfad ermittelt werden, den SCRC benötigt, um
  591.     die Konfigurationsdatei zu finden. Als Pfad muß der komplette Datei-
  592.     pfad angegeben werden, in dem sich SCRC befindet.
  593.     "/PATH" muß nach der Suchpfadangabe der erste Parameter sein!
  594.     Wenn SCRC Dateien wie "COUNTER.SVS" im Stammverzeichnis erzeugt, wurde
  595.     dieser Parameter entweder gar nicht oder falsch angegeben.
  596.  
  597.     /QUIET
  598.     ~~~~~~
  599.     "/QUIET" unterdrückt die Bildschirmausgabe von SCRC solange, bis Eingaben
  600.     des Anwenders notwendig werden. (Geringfügige Beschleunigung des Such-
  601.     vorgangs bei Systemen mit langsamen Graphikkarten)
  602.  
  603.     /SECURE:x{+}
  604.     ~~~~~~~~~~~~
  605.     Mit "/SECURE:x" wird der Sicherheitsmodus von SCRC aktiviert. Im Modus 1
  606.     erlaubt SCRC keine Aktualisierung der Prüflisten, falls ein Programm
  607.     verändert wurde. Im Modus 2 wird zusätzlich noch verhindert, daß neue
  608.     Programme zu den Prüflisten hinzugefügt werden dürfen. Im erweiterten
  609.     Sicherheitsmodus ("/SECURE:x+") blockiert SCRC den Rechner, falls ein
  610.     modifiziertes oder neues Programm gefunden wird.
  611.  
  612.     Beispiel:   "/SECURE:2+"
  613.  
  614.     /LOG{+}
  615.     ~~~~~~~
  616.     Im Log-Modus erstellt SCRC eine Reportdatei, in der alle von SCRC
  617.     gefundenen Veränderungen festgehalten werden. Die Logdatei wird im
  618.     gleichen Verzeichnis wie SCRC.EXE erzeugt und hat z.B. den Dateinamen
  619.     6031717A.LOG. In diesem Namen wird das Systemdatum und die Systemuhrzeit
  620.     festgehalten, an der die Logdatei erzeugt wurde.
  621.  
  622.     6031717A.LOG
  623.     ││ │ └──────── Stunde (hier 17:nn)
  624.     ││ └────────── Tag (hier 17.03.96)
  625.     │└──────────── Monat
  626.     └───────────── Jahr (letzte Ziffer)
  627.  
  628.     Ist bereits eine Logdatei mit dem gleichen Namen vorhanden hängt SCRC den
  629.     neuen Report an das Dateiende der alten Logdatei an.
  630.  
  631.     Im LOG+ Modus hält SCRC nicht mehr an und verlangt Eingaben des Anwenders
  632.     sondern setzt die Überprüfung ohne Unterbrechung bis zum Schluß durch.
  633.     Alle Dateimanipulationen werden in der Logdatei festgehalten aber keine
  634.     Veränderungen an den überprüften Dateien oder Prüfsummen durchgeführt.
  635.  
  636.     /WIN95
  637.     ~~~~~~
  638.     Drückt man beim Booten eines Win95-Systems <F8>, kann man über ein Menü,
  639.     falls vorhanden, die vor Win95 installierte DOS-Version starten. Dabei
  640.     kopiert Windows 95 einige Systemdateien, was zu Problemen mit SCRC führen
  641.     kann. Wird /WIN95 angegeben, ignoriert SCRC bestimmte System-Dateien von
  642.     Windows 95 (die regulär nicht von Viren infiziert werden).
  643.     
  644.  
  645. [ Erläuterung der Menüpunkte ]───────────────────────────────────────────────
  646.  
  647.    Keine Prüfsummendatei im aktuellen Suchverzeichnis vorhanden:
  648.    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  649.  
  650.    HINWEIS: In diesem Verzeichnis existiert keine Prüfsummendatei.
  651.             Soll diese jetzt erstellt werden ?
  652.  
  653.    [1] Die Prüfsummendatei für dieses Verzeichnis einrichten
  654.    [2] Fehlende Prüfsummendateien in sämtlichen Verzeichnissen einrichten
  655.    [3] Keine neue Prüfsummendatei für dieses Verzeichnis erstellen
  656.    [4] Fehlende Prüfsummendateien in keinem anderen Verzeichnis einrichten
  657.    [5] Dieses Verzeichnis von der Prüfung ausschließen
  658.  
  659.    Hinweis:
  660.    ~~~~~~~~
  661.    SCRC erstellt zwar die Prüfsummendatei, wenn Sie die entsprechende Option
  662.    wählen, es werden aber keine Prüfsummen zu Programmen berechnet. SCRC be-
  663.    handelt Verzeichnisse und Dateien getrennt.
  664.  
  665.    1. SCRC erstellt nur für das aktuelle Verzeichnis die Prüfsummendatei.
  666.       In allen weiteren Verzeichnissen wird SCRC erneut diese Meldung an-
  667.       zeigen.
  668.    2. Von jetzt an wird in jedem Verzeichnis, welches noch keine Prüfsummen-
  669.       datei enthält, diese automatisch erstellt. Die Option gilt nur für den
  670.       aktuellen Durchlauf von SCRC. Wollen Sie, daß SCRC immer automatisch
  671.       die Prüfsummendateien neu erzeugt, müssen Sie über SETUP den Parameter
  672.       "/AUTODIR" aktivieren.
  673.    3. SCRC erzeugt für dieses Verzeichnis keine Prüfliste. Das bedeutet, daß
  674.       auch keine Prüfsummeneinträge für Programme innerhalb dieses Ver-
  675.       zeichnisses erstellt werden können.
  676.    4. SCRC ignoriert alle weiteren neuen Verzeichnisse.
  677.    5. Diese Option ist permanent! Bei allen weiteren Aufrufen von SCRC wird
  678.       dieses Verzeichnis, und sämtliche Programme, das es enthält, ignoriert.
  679.  
  680.  
  681.    Ein Programm ohne Eintrag in der Prüfliste wurde gefunden:
  682.    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  683.  
  684.    HINWEIS: Zu diesem Programm existiert kein Eintrag in der Prüfsummendatei.
  685.             Soll dieser jetzt erstellt werden ?
  686.  
  687.    [1] Den Eintrag für dieses Programm neu erstellen
  688.    [2] Innerhalb dieses Verzeichnis alle Einträge neu erstellen
  689.    [3] Die Einträge für alle weiteren Programme neu erstellen
  690.    [4] Keinen Eintrag für dieses Programm erstellen
  691.    [5] Innerhalb dieses Verzeichnis keinen Eintrag mehr erstellen
  692.    [6] Für alle weiteren Programme die Einträge nicht neu erstellen
  693.    [7] Alle weiteren Einträge erstellen, auch wenn die Progr. verdächtig sind
  694.  
  695.    1. SCRC erstellt den Eintrag nur für dieses Programm neu. Bei allen
  696.       weiteren Programmen wird SCRC erneut dieses Menü anzeigen.
  697.    2. Innerhalb dieses Verzeichnis erstellt SCRC automatisch alle weiteren
  698.       Einträge. Diese Option ist nicht permanent.
  699.    3. SCRC trägt alle weiteren neuen Programme automatisch in die Prüflisten
  700.       ein. Mit dem Parameter "/AUTOADD" bewirken Sie, das SCRC in Zukunft
  701.       dieses Menü nicht mehr anzeigt und neue Programme automatisch einträgt.
  702.    7. Diese Option schaltet die Dateianalyse von SCRC aus, d.h. Programme mit
  703.       ungültigen Dateidatum, EXE-Programme ohne MZ-Header und modifizierte
  704.       komprimierte Programme werden innerhalb dieses Durchgangs nicht mehr
  705.       gemeldet.
  706.  
  707.  
  708.    Ein Programm wurde verändert:
  709.    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  710.    SCRC untersucht, ob die Veränderung von einem Virus verursacht worden sein
  711.    könnte und zeigt entsprechend folgendes Menü an:
  712.  
  713.    "ACHTUNG! Das Programm wurde verändert:"
  714.  
  715.           oder
  716.  
  717.    "ACHTUNG! Das Programm wurde auf für Viren typische Art geändert:"
  718.  
  719.  
  720.    [1] Die Veränderung vorerst ignorieren
  721.    [2] Keine weiteren Veränderungen in diesen Verzeichnise melden
  722.    [3] Veränderungen an Programmen in allen weiteren Verzeichnissen
  723.        ignorieren
  724.    [4] Die Veränderung dieses Programmes akzeptieren
  725.    [5] Alle veränderten Programmeinträge in diesen Verzeichnis aktualisieren
  726.    [6] Sämtliche weiteren veränderten Programmeinträge aktualisieren
  727.    [7] Weitere Veränderungen dieses Prog. permanent validieren und zulassen
  728.    [8] Dieses Programm soll repariert werden
  729.    [9] Innerhalb dieses Verzeichnisses alle veränderten Programme reparieren
  730.  
  731.    Hinweis:
  732.    ~~~~~~~~
  733.    Die Option [8] und [9] sind nur dann vorhanden, wenn eine Reinigung
  734.    überhaupt möglich ist.
  735.  
  736.    1. SCRC ignoriert die Veränderung dieses Programms vorerst. Sie können
  737.       später selber kontrollieren, ob das Programm infiziert ist und erhalten
  738.       beim nächsten Aufruf von SCRC erneut dieses Menü angzeigt.
  739.    2. Wie [1], nur werden alle weiteren Veränderungen innerhalb des aktuellen
  740.       Verzeichnis ignoriert.
  741.    3. Alle weiteren veränderten Programme werden ignoriert.
  742.    4. SCRC aktualisiert den Eintrag innerhalb der Prüfsummendatei.
  743.    5. Wie [4], nur für das gesamte aktuelle Verzeichnis.
  744.    6. Wie [4], gilt aber alle weiteren veränderten Programme.
  745.    7. SCRC wird in Zukunft alle Veränderungen dieses Programmes automatisch
  746.       ignorieren. Diese Option ist sinnvoll für selbstmodifizierende Pro-
  747.       gramme oder z.B. für die Dateien AUTOEXEC.BAT und CONFIG.SYS, falls die
  748.       Systemkonfiguration häufig geändert wird.
  749.    8. SCRC versucht anhand der gespeicherten Daten das Programm zu re-
  750.       parieren. Sie können diese Option ohne Gefahr benutzen: SCRC legt eine
  751.       Sicherheitskopie des Programmes an und überprüft anhand der CRC32-
  752.       Prüfsumme, ob die Reinigung erfolgreich war.
  753.    9. Alle weiteren, infizierten Programme innerhalb des aktuellen Ver-
  754.       zeichnis werden repariert.
  755.  
  756.  
  757.    Ein Programm wurde gelöscht:
  758.    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  759.  
  760.    Die Datei, die zu diesem Eintrag in der Prüfsummendatei gehört, existiert
  761.    nicht mehr und wurde wahrscheinlich gelöscht.
  762.  
  763.    [1] Den Eintrag dieses Programmes aus der Prüfsummendatei entfernen
  764.    [2] Innerhalb dieses Verz. alle Einträge von gelöschten Dateien entfernen
  765.    [3] Alle weiteren Einträge von gelöschten Programmen entfernen
  766.    [4] Diesen Eintrag nicht aus der Prüfsummendatei entfernen
  767.    [5] Innerhalb dieses Verzeichnisses keine weiteren Einträge entfernen
  768.    [6] Alle weiteren Einträge von gelöschten Programme bestehen lassen
  769.  
  770.    Normalerweise ist der Parameter "/AUTODEL" eingeschaltet und dieses Menü
  771.    wird nicht angezeigt. Wollen Sie über gelöschte Programme informiert
  772.    werden, müssen Sie über das SETUP den Parameter "/AUTODEL" deaktivieren.
  773.  
  774.  
  775.    Verdacht auf Companion-Virus:
  776.    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  777.  
  778.    "WARNUNG! In diesem Verzeichnis existieren zwei gleichnamige Programme,"
  779.    "die sich nur in der Dateierweiterung unterscheiden: NAME.COM / NAME.EXE"
  780.    "(Dateilänge: xxx Bytes)"
  781.  
  782.    Und zusätzlich entweder:
  783.  
  784.    "Das könnte auf einen Companion-Virus hinweisen!"
  785.  
  786.       oder
  787.  
  788.    "Das COM-Programm ist versteckt! Möglicherweise ein Companion-Virus ?"
  789.  
  790.    je nachdem, welchen Aufbau das Programm hat. Die erste Meldung ist
  791.    im Prinzip nur ein Hinweis, erst wenn Sie die zweite Warnung erhalten,
  792.    sollten Sie hellhörig werden!
  793.  
  794.  
  795.    Wurden bereits mehrere doppelte Programme mit gleicher Länge gefunden,
  796.    zeigt SCRC diese Warnung an:
  797.  
  798.    "Es wurde bereits ein anderes COM-Programm mit der gleichen Dateilänge"
  799.    "gefunden! Wahrscheinlich ein Companion-Virus !"
  800.  
  801.  
  802.    Das Menü:
  803.  
  804.    [1] Die Warnung ignorieren und nach weiteren gleichgroßen Prog. suchen
  805.    [2] Die Warnung ignorieren, dieser 'Companion' gehört zum Programm
  806.    [3] Ignorieren und nicht mehr nach doppelten Programmen suchen
  807.    [4] Das COM-Programm löschen!
  808.    [5] Diese und alle weiteren Kopien des COM-Programmes löschen!
  809.  
  810.    1. SCRC benutzt das gerade gemeldete Programme als "Vorlage" und sucht
  811.       nach weiteren gleichgroßen Programmen.
  812.    2. Wenn Sie genau wissen, daß das gerade gemeldete Programm legitim und
  813.       mit Sicherheit kein Virus ist MÜSSEN Sie diese Option wählen, da sonst
  814.       SCRC die vorher gespeicherte Dateilänge mit den aktuellen Daten er-
  815.       setzt und die weiteren Kopien des möglichen Companion-Virus nicht mehr
  816.       erkennen kann. Normale 'Companions' sind z.B. MSD.COM, DOSHELL.COM
  817.       oder OPTIMIZE.COM.
  818.    3. SCRC wird in allen weiteren Verzeichnissen nicht mehr nach Companion-
  819.       Viren suchen.
  820.    4. Wenn Sie sicher sind, daß das gerade gemeldete Programm in den Ver-
  821.       zeichnis nichts zu suchen hat, können Sie mit dieser Option das Pro-
  822.       gramm löschen lassen.
  823.    5. SCRC löscht automatisch alle weiteren gleichgroßen COM-Dateien die
  824.       es findet. Sie sollten diese Option nur mit Vorsicht benutzen!
  825.  
  826.    Hinweis:
  827.    ~~~~~~~~
  828.    Companion-Viren setzen in der Regel entweder das VERSTECKT oder SYSTEM-
  829.    Dateiattribut. Sie sollten bei gemeldeten Programmen, bei denen das nicht
  830.    der Fall ist, erstmal nicht von einen Virus ausgehen, vor allem, wenn Sie
  831.    das Programm schon länger benutzen. Um sicher zu gehen, können Sie vor dem
  832.    nächsten Start des gemeldeten Programmes SVS aktivieren, das die Aktivität
  833.    eines Companion-Virus sofort melden wird.
  834.  
  835.