home *** CD-ROM | disk | FTP | other *** search
/ Everything For A Hacker / 19990506-[HACK].iso / ANTIVIR / nav / kill_cih / kill_cih.txt < prev   
Text File  |  1998-09-09  |  5KB  |  103 lines
  1. Norton AntiVirus KILL_CIH.EXE Tool
  2.  
  3. Introduction
  4.  
  5. The KILL_CIH tool is designed to safely detect and remove all known strains
  6. of the W95.CIH virus (known strains as of August 3rd, 1998) from memory under
  7. Windows 95 and Windows 98 (the W95.CIH virus cannot infect Windows NT
  8. systems). If the tool is run before the virus has infected the system, it
  9. will also "inoculate" the computer's memory to prevent the W95.CIH virus from
  10. infecting the system until the next system reboot.
  11.  
  12. *NOTE* If you are already infected with the W95.CIH virus, run the KILL_CIH
  13. tool first before attempting to update your anti-virus definitions or scan
  14. your system. If you attempt to scan with an anti-virus product without first
  15. running this tool, you run the risk of causing your infection to spread.
  16. Once you have used this tool, you can safely update your Norton AntiVirus
  17. definitions and scan your machine.
  18.  
  19. The KILL_CIH tool will not detect or remove the W95.CIH virus from files; it
  20. will only disable the virus in memory so that an anti-virus program can remove
  21. the infection without inadvertently spreading the virus.  You can obtain a
  22. freeware version of Norton AntiVirus to detect and remove the virus from files
  23. on the Symantec web site at:
  24.  
  25.         www.symantec.com/nav/navc.html
  26.  
  27. This CIH removal tool can be run from either the DOS command line or from a
  28. login script, allowing an administrator to automate the disinfection process.
  29. This means that an administrator does not have to go to each workstation on
  30. their network and reboot from a clean floppy in order to clean the computer.
  31. After using this tool, you should update your virus definitions and then start
  32. a complete scan of the computer with an anti-virus program such as Norton
  33. AntiVirus.  This will eliminate the virus and repair any damaged files.  The
  34. tool itself is designed to avoid infection by the virus and can safely be run
  35. without becoming infected if the virus is already resident on a computer.
  36.  
  37.  
  38. W95.CIH Background
  39.  
  40. CIH is a virus that infects 32-bit Windows 95/98/NT executable files.  When
  41. an infected program is run, the virus will infect the computer's memory.  CIH
  42. then infects new files when they are opened.  Some variants of the virus
  43. activate on April 26th or June 26th, while other variants will activate on
  44. the 26th of every month.  This virus will attempt to modify or corrupt certain
  45. types of Flash BIOS, software that initializes and manages the relationships
  46. and data flow between the system devices, including the hard drive, serial
  47. and parallel ports and the keyboard.  By overwriting part of the BIOS program,
  48. the virus can keep a computer from starting up when the power is turned on.
  49.  
  50. The virus infects by first looking for empty, unused spaces in the file; then,
  51. it breaks itself up into smaller pieces, and hides in these unused spaces.
  52. Norton AntiVirus is able to repair an infected file by looking for these
  53. viral pieces and removing them.
  54.  
  55. Usage
  56.  
  57. To use the KILL_CIH tool, use any *one* of the following methods:
  58.  
  59.         1. Double click on the file from your desktop or Explorer.
  60.         2. Run KILL_CIH.EXE from a DOS box.
  61.         3. Use the "Run" command from the Windows Start menu.
  62.         4. Place the KILL_CIH.EXE in a standard login script.
  63.  
  64.         After running this tool, update your virus definitions and
  65.         initiate a scan with Norton AntiVirus or another anti-virus product
  66.         that is capable of removing the W95.CIH virus from files.
  67.  
  68. The KILL_CIH.EXE program requires no command line arguments.  It will display
  69. one of several different messages upon completion:
  70.  
  71.  
  72.   "The W95.CIH virus was found in memory. The W95.CIH virus has been
  73.    successfully disabled. You can now run the Norton AntiVirus to
  74.    remove any infections from files."
  75.  
  76.         This message is displayed if any strain of the W95.CIH virus is found
  77.         in the computer's memory.  The tool has disabled the virus in memory
  78.         and will prevent it from causing damage to the system or infecting any
  79.         additional files.  At this point, it is safe to run Norton AntiVirus
  80.         or another anti-virus program to remove the virus from the system.
  81.  
  82.   "The W95.CIH virus was not found in memory."
  83.  
  84.         This message is displayed if no known strains of the W95.CIH virus are
  85.         found in memory.  The tool has inoculated the computer and will
  86.         prevent the virus from infecting system memory if an infected file is
  87.         run during the remainder of the computer session (until reboot). At
  88.         this point, it is safe to run Norton AntiVirus or another anti-virus
  89.         program to remove the virus from the system.
  90.  
  91.   "Warning: This Windows NT system cannot be infected by the W95.CIH virus."
  92.  
  93.         This message will be displayed if the tool is used under Windows NT.
  94.         There is no harm in doing this and the program will exit normally
  95.         after displaying this message.
  96.  
  97.  
  98. Troubleshooting
  99.  
  100. If you have any problems with this tool, please contact Symantec technical
  101. support for more details.
  102.  
  103.