================================================================== Norman Virus Control v4.80 ================================================================== 14 March 2000 Copyright (C) 2000 Norman About NVC v4.80 1.0 The most important feature for NVC v4.80 compared to NVC v4.7x is the compatibility with Windows 2000. 1.1 NVC and Windows 2000 NVC v4.80 is compatible with Windows 2000. The NVC service will automatically use a different set of device drivers supported by Windows 2000 when NVC is started on Windows 2000. 1.2 Note well: This version does not repair boot sector viruses on hard disks on-the-fly. If your Win 2000 machine gets such an infection, then boot clean and run the command line scanner. 1.3 NVC for NT/2000 bug fixes 1.3.1 In versions prior to v4.80, serious delays could occur when Word 7 was started on a Windows NT Workstation with NVC installed. These delays were most likely to occur in situations where certain types of HP Deskjet printers were set up as default. We have received some reports on simular problems with Word 97. There has been a design change in NVC eliminating most of this delay. 1.3.2 In v4.7x, the NT service did not always move or delete infected files, even if it was configured to do so. Fixed. 2.0 NVC and Windows Millennium (ME) 2.1 Note that testing on Windows ME has been performed on the last available beta version of the program, which most likely will be released later this year. We encourage customers who are beta-testing Windows ME to run NVC v4.80 on this platform. When this is the case, we would appreciate any kind of feedback that affects NVC in a Windows ME environment. 3.0 The scanning engine The scanning engine in this version is v4.70.52. The most significant changes since the last documented changes in v4.70.46 (see Whatsnew dated 31 January 2000 below) are as follows: - fixed a bug in the PowerPoint handling of compressed files in memory that caused a crash - fixed a bug in the small FAT handler of OLE2 parsing to prevent a crash with a minor corrupted FAT chain - fixed a bug in the Word6/7 heuristics that could make the engine crash when corrupted macros were detected - added macro control block. All new functions can be enabled/disabled from the NVCMACRO.DEF file - fixed a bug in the ASCII scanning module that could cause crashes with very big ASCII files 4.0 How this file is organized 4.1 Since NVC v4.80 is a bug-fixed v4.7x prepared for Windows 2000 and Windows ME, the information previously issued for NVC v4.7x is still valid and included in this file: Whatsnew v4.73 of 31 January 2000 Whatsnew v4.72 of 24 November 1999 Whatsnew v4.72 of 24 October 1999 Whatsnew v4.72 of 09 September 1999 Readme v4.70 ================================================================== The following changes are made to NVC v4.73 (31 January 2000). 1.0 The scanning engine This is a list of the most significant changes to the scanning engine: - Cleaning of heuristically found macro viruses (like W97M/Generic) - Improved cleaning algorithms - Improved scanning for Access files - New additional macro heuristics (on source level) - Scanning of Windows help files The version of the scanning engine is 4.70.46. ====================================================================================== The following changes were made to NVC v4.72 (24 November 1999). Note that the following version numbers apply to the current cut (v4.72 unless otherwise stated): NVC NT/95: v4.73 NVC NT Service: v4.73 NVC32.EXE: v4.73 Scanning engine: v4.70.40 1.0 The Right-click scanner and special characters Folders with national and/or special characters (including spaces) on Novell servers have generated error messages when the right-click scanner has been used. The right-click scanner has reported "Cannot find path" or "Cannot find file name". Similar problems have occured on Windows 95/98 and NT when folder names contain national characters. NVC v4.72 comes with a patch (NVCSE.DLL) that will solve these problems. 2.0 N_SERV N_SERV has, for no apparant reason, reported "Error: Unknown script" or "Cannot find script" during network installations. In this version, a new version of N_SERV is included, which eliminates this bug. 3.0 NVC32.EXE 3.1 Bug fixes When a version of NMSG.DLL which was too old was found, NVC32 continued to execute after displaying the message "NVC32: No NMSG.DLL Found". If the program wanted some unexisting message it could crash with the following message: "NVC32: Internal error. Program aborted." NVC32 aborted with "Illegal parameter" in some situations when the NSE (Norman Scanner Engine) was improperly installed on Win9X. This message is now replaced by the more correct "NSE: No NSE.DLL found". 3.2 Additional functionality New command line option /OPD. When the /OPD option is given, NVC32 will look for NVC32.OPD in its WORK directory. (This directory is normally "one-above", i.e C:\NORMAN if NVC32.EXE is run from C:\NORMAN\WIN32, but can be controlled by the /WORK:option.) If NVC32.OPD is found, it is tested for valid data. If invalid data, a scan is due anyway. If valid data, the current time is compared with the time stored in the file. If the stored time is before last midnight (i.e. yesterday), a scan is due. If the stored time is after last midnight (i.e. sometime today) the current command line is compared to the stored one. If any difference, a scan is due. The time format is 32-bit UTC -- No Y2K problems here. After the scan is completed, the current command line and the current time is stored in NVC32.OPD. This means that if a scan is aborted for some reason, the file isn't updated and the scan will be re-launched the next time it is tried. All NVC32 platform implementations are inter-operable and it doesn't matter from where NVC32 is launched (N:\NVC32.EXE will be equal to \\SERVER\NORMAN\NVC32.EXE if N: is mapped as \\SERVER\NORMAN) 4.0 NVCNT/NVC95 4.1 "Report only if infection". In some configurations this option had no effect in the initial 4.70 release. The report was generated anyway. This problem is fixed in v4.73: When this option is selected, a report will only be generated if a virus is found. 4.2 SNMP-trap. In configurations where the system variable USERNAME was not defined, "unknown" was sent with the trap as the username. In 4.73 NVCNT and NVC95 use other means to find the correct username, thereby resolving the username in all cases. 4.3 Scanning some non-intel executables might in some cases confuse our %-counter, making it rise to numbers above 100%. This problem is fixed. 4.4 Scheduler: Selecting the "Scan once.." option on the last day of month produced rubbish if the scheduled task was supposed to be performed the day after (the 1st the next month). Fixed in v.4.73. 5.0 NVC Service for Windows NT 5.1 The table of file extentions was too small to allow the NVC Service to include all the extentions specified for scanning in the virus definition files. This problem affected on-access as well as on-demand/scheduled scanning. On-demand scanning with the 'all files' option would be the temporary solution. The file extention table is now enlarged to cover all extentions defined in the .def files, including the extention '.vbs', which was left out in the previous version. 5.2 On-access scanner: When a file was written to the disk, there might be a considerate delay between the time of the file-write and the time when the file was scanned. This is due to the fact that NT not always syncronizes the "close" packages (which NVC uses). In fact, on low-activity situations NT might wait for "hours" before the final close package is sent for a file. This typically occurs when using Explorer to perform a copy operation, but NOT when the same procedure is performed from the command prompt. In v4.73 we have solved this problem by using the so-called "clean-up" package to perform an immediate scan on incoming files. 5.3 On-access scanner: One of the objectives for the 4.70 release was to deny access to infected files during copy, execute and read operations. This worked when files were copied via the command prompt or Explorer, but not always on execute or when infected files were read in MS Word, for example. In v4.73 the following changes have been done: a) making sure that "access denied" is returned to the operating system when trying to execute an infected file and repair is not selected or possible. b) making sure that "access denied" is returned to the operating system when an application (like MS Word) tries to read an infected file and repair is not selected or possible. ====================================================================================== The following changes are made to NVC v4.72 (24 October 1999): 1.0 Norman Internet Update (NIU) 1.1 New command line options for NIU: NOTE: You must specify options with an intial '/' (slash) or '-' (minus). Command line option names are not case sensitive. 1.2 Command line options: unattended mode /hidden NIU does not appear on the screen, unless absolutely necessary; that is, if download confirmation is needed, or on errors. The default key performs the validation. /wait: Wait for a specified number of before accessing the network. Requires that you also use the '/hidden' command. /awaitdialup Wait until MS RAS has a live dialup connection. This option only applies for modem and ISDN users. /autoyes For validation and possible download without user confirmation. Unattended mode examples: Note that if errors occur, user action is required. /hidden /awaitdialup /autoyes In a dialup environment. /hidden /wait:5 /autoyes In a LAN environment. 1.3 Command line option: debugging /trace Starts a verbose-like debug trace window. A message box appears if you run NIU with an invalid option, for example "nupgrade.exe /help". 1.4 Change TCP/IP port number for NIU For firewalls and proxy servers that can 'translate' or switch between TCP/IP port numbers (80 is the default for HTTP), we have added the possibility of changing the port number for NIU. Use the command line utility NCFTE to edit the configuration file nvc32.cfg: In the section [AuthenticationInfo], edit the information for the relevant 'Authentication server' where the IP address ends with ':port number'. Example: Authentication server[0] = '193.71.68.4:8080' NIU will then use port number 8080 in stead of number 80. 2.0 Bug fixes in NVC for MS Exchange 2.1 NVC for MS Exchange is now Service Pack 5 compatible. 2.2 Problems with remote control are fixed. 3.0 NVC for NT 3.1 New NDISKIO.SYS v1.03 Fix for ZIP drives and other removable drives. Previously these drives were only accessible if media was present at boot time. 3.2 Changes for Windows 2000 compatibility 3.3 New fix eliminating the Blue Screen of Death when Windows NT is installed on FAT partitions. ====================================================================================== The following changes were made to NVC v4.72 (9 September 1999): 1.1 RAS connection for Norman Internet Update (NIU) We have added the switch '-awaitdialup' to cater for RAS (Remote Access Services)to wait for a connection. This switch requires that you have installed 'rasapi32.dll' on your system. If you use '-awaitdialup' without this dll, you will receive an error message. However, you can run NIU without RAS connection, but the new switch will then be useless. NOTE: RAS should not be used from workstations in a network. In such an environment the LAN will handle the connection. 2.1 New switches for the command line scanner (NVC32.EXE) 2.1.1 /HUM which is short for Handling Uncertified Macros. If you have certified macros, these are kept in the file NVCMACRO.CRT in the NSE directory. NVCMACRO.CRT is generated by Cat's Claw. NVC32 will abort if you use this switch without NVCMACRO.CRT being present in the NSE directory. NOTE WELL: /HUM can be used with the other command line switches. If you run NVC32 with /HUM and /D (Overwrite and delete infected files), /D- (Delete infected files), or /CL (Clean infected files), you may remove ALL non-certified macros. For example, if you run the command NVC32 /HUM /CL /U against X:\MSOFFICE\WINWORD\TEMPLATE you will probably remove most Word macros. 2.1.2 /FL will force a flush-to-disk for every line that is written to the temporary log file. The /FL parameter also keeps the temporary log file when the program ends. This functionality is useful in case a program crashes. ================================================================== Norman Virus Control v4.7x ================================================================== Copyright (C) 1999 Norman Tento soubor Read Me obsahuje informace o změnách v NVC v4.7x, udělaných na poslední chvíli, a opravách známých problémů z NVC v4.60. Informace v tomto souboru jsou uspořádány do 9 sekcí: 1.0 Obecná část 2.0 NVC pro Windows 95 3.0 NVC pro DOS/Windows 3.1x 4.0 NVC NT Service 5.0 NVC pro Windows NT 6.0 NVC pro Groupware 7.0 Síťové úvahy 8.0 N_DIST 9.0 SNMP extenze ================================================================== 1.0 Obecná část ================================================================== 1.1 Skenovací motor 1.1.1 skenovací motor byl změněn tak, aby zahrnoval nové funkce. Již od této verze motor umí odstranit boot sektorové viry. V předchozích verzích skenovací motor detekoval tyto viry, ale pro jejich vyčištění jsme používali na DOSu založený program NVCLEAN. Tento program je nyní odstraněn ze všech NVC platforem. Považujeme toto vylepšení za důležité s ohledem na příjemnost používání systému, protože nyní jsou všechny viry detekovány a ošetřeny (opraveny, přesunuyt, smazány) ze stejného dialogu(ů). Boot sektorové viry můžete odstranit z Windows skeneru stejně jako z DOS povelového řádku skeneru. 1.1.2 Minimální požadavky pro spuštění DOS skeneru povelového řádku jsou 386 procesor a 2MB RAM. Ve vážných situacích DOS extender může vygenerovat screen dump, například v situaci konfliktu s pamětí. To neshodí systém. Dump soubor, který je vygenerován, se nazývá 'cw.err'. Jestliže voláte podporu, mohou se vás ptát na tento soubor, protože obsahuje informace užitečné pro vychytání chyb. 1.1.3 Detekce neznámých makrovirů 32-bitový skener umí detekovat a odstraňovat neznámé makroviry v Office 97 a Office 2000 pomocí heuristické metody. Když skener detekuje nějaký neznámý makrovirus, místo jména viru je uvedeno NEZNÁMÝ. Jestliže je zapnuta volba 'Vyčistit soubor, je-li to možné', všechna makra v tomto dokumentu jsou odstraněna. 1.1.4 PowerPoint a Access NVC v4.7x detekuje makroviry v těchto aplikacích, ale neumí viry odstranit. 1.1.5 Skenování: předem definované souborové extenze Když skenujete adresář, floppy disketu nebo pevný disk, automaticky budou skenovány soubory s následujícími extenzemi: *.386 *.CLA *.DLL *.INF *.OVR *.SMM *.WBK *.XLS *.APP *.COM *.DRV *.INI *.POT *.SYS *.WIZ *.XLT *.ASP *.CMD *.EXE *.MDA *.PPN *.VBS *.XLA *.XTP *.ATT *.CPL *.FON *.MDB *.PPS *.VBX *.XLB *.BAT *.CSC *.GMS *.MDL *.PPT *.VOM *.XLC *.BIN *.DOC *.HTM *.OCX *.PWZ *.VXD *.XLM *.BOO *.DOT *.HTT *.OVL *.SCR *.VXE *.XLP 1.1.6 Skenování: předem definované souborové extenze - archivní soubory Jestliže zadáte "Sken archívních souborů" v dialogu "Skenování" (Volby|Skenovací volby), automaticky budou skenovány archivní soubory s následujícími extenzemi: *.ARC *.ARJ *.LZH *.PAK *.ZIP *.ZOO 1.1.7 Proč volba 'Opravit doubor, je-li to možné' není zapnuta implicitně I když věříme, že automatická oprava poskytuje tu nejlepší možnou ochranu, nemůžeme implicitně zapnout tuto volbu. Důvodem je, že legislativa některých zemí zakazuje změny v datových souborech bez výslovného povolení uživatele. Pokud toto není Váš případ, doporučujeme Vám mít tuto volbu zapnutou. (Volby|Skenovací volby) 1.2 Instalace 1.2.1 Troguard je zkopírován do adresáře WIN32 u jednotlivých uživatelských instalací. Na server pouze u admin instalací. Viz #2.1.5 (Windows 9x) nebo #5.1.1 (Windows NT), kde najdete detailnější informace o Troguard. 1.2.2 Norman Internet Aktualizace je implicitní komponentou jednotlivé uživatelské instalace. (Windows 9x a Windows NT.) 1.2.3 Utilita povelového řádku pro nastavení bezpečnostních voleb je poskytnuta admin instalacím. Utilita se jmenuje NCFTE.EXE. Více informací naleznete v příručce pro administrátora. (Windows 9x a Windows NT.) 1.2.4 NVCLEAN a NVCEXCL budou smazány z adresáře Norman\DOS během instalace NVC v4.7x. Veškeré opravy jsou nyní realizovány Windows a skenery povelového řádku. (Všechny platformy.) 1.2.5 NSE se podstatně zvětšil díky vestavěnému 32 bitovému emulátoru a 32 bitové heuristice. 1.2.6 U NVC pro Windows 95/NT je soubor .cfg VŽDY zkopírován z instalačního média na server. Pak je zapsána cesta NseUpdate do souboru .cfg jako UNC cesta. (Pouze admin instalace.) 1.2.7 U NVC pro Windows 3.1x: instalace zkopíruje .cfg soubor, JESTLIŽE je novější než ten, který už je na serveru. To je proto, aby se vyhnulo situaci, kdy instalace Win31 přepíše korektně nastavený soubor NVC32.CFG. (Pouze admin instalace.) 1.2.8 U NVC pro Windows NT: namapovaná síťová mechanika, kterou jste zvolili, bude změněna na UNC cestu. Proto bude nastaven skript NDIST s cestou UNC ve $Source. (Pouze admin instalace.) ================================================================== 2.0 Norman Virus Control pro Windows 95 ================================================================== 2.1 Cat's Claw 2.1.1 Kdykoliv je spuštěno 'CLAW95 /INSTALL', Cat's Claw bude předpokládat, že definiční soubory jsou aktualizovány a provede novou reinicializaci. 2.1.2 Podpora pro SNMP traps existuje u Cat's Claw. Jsou použity následující důvodové kódy pro past: 1 :Virus odstraněn 2 :Virus neodstraněn (odmítnuto právo zápisu nebo uživatel zvolili, že nebude oprava) 4 :Virus neodstraněn (nevědělo se, jak) 5 :Odstraněna necertifikovaná makra 6 :Necertifikovaná makra neodstraněna (odmítnuto právo zápisu nebo uživatel zvolil, že nebude oprava) 8 :Necertifikovaná makra neodstraněna (nevědělo se, jak) 9 :Soubor neskenován (chráněn heslem) 10:Soubor neskenován, uživatelský přístup odmítnut (ochrana heslem) 11:Soubor neskenován (poškozený soubor) 12:Soubor neskenován, uživatelský přístup odmítnut (poškozený soubor) 13:Soubor neskenován (systémová chyba) 14:Soubor neskenován, uživatelský přístup odmítnut (systémová chyba) 2.1.3 Nedokumentované vstupy v registru Dva nedokumentované vstupy byly přidány do registru a mohou být editovány v souboru CLAW95.REG: [HKEY_LOCAL_MACHINE\Software\Norman Data Defense Systems\Cat's Claw\Debug] "Delay"=dword:00000000 "Yield"=dword:00000000 Oba se používají pro vkládání zpoždění před aktivací položky Cat's Claw. Jestliže máte problémy s natahováním Cat's Claw do paměti během startu, ale ne při manuálním startu, zkuste vložit zpoždění. "Delay"=dword: je počet sekund, který se má počkat. Začněte od 00000001 a zvětšujte až problém zmizí. Pak přidejte 00000001. Platné hodnoty jsou od 00000000 do 0000000A. "Yield"=dword: je číslo, které udává kolikrát by se program Cat's Claw měl vzdát přiděleného času systémem, aby mohly být spuštěny jiné aplikace. Zvětšujte o 0000000A až problém zmizí. Pak přidejte 0000000A. Legální hodnoty jsou od 00000000 do 00000064. (Navrhované hodnoty jsou: 00000000, 0000000A, 00000014, 0000001E, 00000028, 00000032, 0000003C, 00000046, 00000050, 0000005A, 00000064.) Je možno použít "Delay" nebo "Yield", ale nikoliv obojí. Zkuste nejprve "Yield". Nepoužitý vstup by měl mít přiřazenu svoji nejmenší hodnotu. 2.1.4 Oprava boot sektoru (viz #1.1.1) umožňuje, že Cat's Claw nejenom detekuje boot sektorové viry, ale také takové viry čistí. 2.1.5 TroGuard TroGuard je program navržený pro odstraňování aktivních trojských koní z Vašeho systému. Trojské koně jsou detekovány běžným skenováním, ale nemohou být odstraněny, jsou-li aktivní. TroGuard kontroluje všechny aktivní procesy v paměti a ukončuje proces, jestliže takový soubor je trojským koněm. Implicitně je takový soubor smazán. TroGuard využívá NVC skenovací motor pro určení, zda soubor je či není trojským koněm. TroGuard má jeden parametr: /n (nesmazat trojského koně, je-li nalezen). Chcete-li spustit TroGuard, dvojitě nacvakněte na proveditelný soubor (troguard.exe), umístěný v adresáři norman\win32. Můžete vytvořit i zkratku a umístit si jej na pracovní plochu, ale neumísťujte jej do své skupiny Po spuštění. TroGuard pouze kontroluje aktivní procesy a není zde nic, co by Vám řeklo, že případný trojský kůň je aktivní při zavádění programu TroGuardu do paměti. 2.3 Odstranění chyb 2.3.1 U rozdělení větších než 2GB indikátor procesu ukazoval špatné hodnoty. Tato chyba byla nyní odstraněna. 2.3.2 Ve verzi 4.60 nemohl jakýkoliv podadresář na 2. úrovni nebo níž přesahovat 84 znaků, protože jinak NVC95/NVCNT zhavaroval. Bylo odstraněno ve verzi v4.7x. 2.3.3 Ve verzích před 4.70 nvcnt/nvc95 neumožňoval vyčistit infikovaný soubor, jestliže tento soubor byl typu "pouze pro čtení". Odstraněno. 2.3.4 Jestliže byla zrušena volba menu "Uložit při ukončení", tato akce nebyla nikdy uložena. Když příště někdo jiný spustil aplikaci, volba "Uložit při ukončení" byla stále zvolena. Toto bylo rovněž odstraněno. 2.3.5 Bylo zlepšeno ošetření kontroly obsahu .zip souborů a .arj archivních souborů. NVC nyní rekursivně hledá viry v rámci souborů této kategorie. To znamená, že archivní soubory uvnitř jiných archivních souborů budou také zkontrolovány. 2.3.6 Chyba ve virové knihovně občas vedla k zobrazení špatných hodnot v rámci virové knihovny. To je odstraněno. 2.4 Známé problémy 2.4.1 Během skenování archivních souborů je nedostupné tlačítko Zrušit. 2.4.2 Jestliže nějaké naplánované skenování skončí ve stejnou minutu jako začalo, je opakováno tolikrát, kolikrát se vejde do této minuty. Ale přestane, jakmile hodniny přeskočí na další minutu. 2.4.3 Je zde konflikt mezi Cat's Claw a e-mail skenery. Ty nedetekují viry. 2.4.4 Skener pravého tlačítka pouze skenuje ZIP a ARJ archivní soubory. ================================================================== 3.0 Norman Virus Control pro DOS/Windows 3.1x ================================================================== 3.1 Cat's Claw 3.1.1 Kdykoliv je spuštěno 'CLAW31 /INSTALL', Cat's Claw předpokládá, že definiční soubory jsou aktualizovány a provede reinicializaci. 3.1.2 Podpora pro SNMP pasti byla přidána do Cat's Claw. Jsou použity následující důvodové kódy pro past: 1 :Virus odstraněn 2 :Virus neodstraněn (odmítnuto právo zápisu nebo uživatel zvolili, že nebude oprava) 4 :Virus neodstraněn (nevědělo se, jak) 5 :Odstraněna necertifikovaná makra 6 :Necertifikovaná makra neodstraněna (odmítnuto právo zápisu nebo uživatel zvolil, že nebude oprava) 8 :Necertifikovaná makra neodstraněna (nevědělo se, jak) 9 :Soubor neskenován (chráněn heslem) 10:Soubor neskenován, uživatelský přístup odmítnut (ochrana heslem) 11:Soubor neskenován (poškozený soubor) 12:Soubor neskenován, uživatelský přístup odmítnut (poškozený soubor) 13:Soubor neskenován (systémová chyba) 14:Soubor neskenován, uživatelský přístup odmítnut (systémová chyba) 3.1.3 Nedokumentované vstupy v souboru CLAW31.INI Dva nedokumentované vstupy byly přidány do souboru CLAW31.INI: [Debug] Delay=0 Yield=10 Oba se používají pro vkládání zpoždění před aktivací položky Cat's Claw. Jestliže máte problémy s natahováním Cat's Claw do paměti během startu, ale ne při manuálním startu, zkuste vložit zpoždění. Delay= je počet sekund, který se má počkat. Přidávejte po 1, až problém zmizí, pak přidejte ještě 1. Platné hodnoty jsou O až 10. Yield= je číslo, udávající kolikrát by se měl Cat's Claw vzdát a nechat spustit jiné aplikace. Přidávejte po 10, až problém zmizí. Pak přidejte ještě 10. Platné hodnoty jsou 10 až 100. Je možno použít "Delay" nebo "Yield", ale nikoliv obojí. Zkuste nejprve "Yield". Nepoužitý vstup by měl mít přiřazenu svoji nejmenší hodnotu. 3.1.4 Oprava boot sektoru (viz #1.1.1) umožňuje, že Cat's Claw nejen detekuje boot sektorové viry, ale také čistí takové viry. Ve Windows 3.1 pouze diskety jsou zkontrolovány z hlediska přítomnosti boot sektorových virů. 3.2 Známé problémy 3.2.1 Je zde konflikt mezi Cat's Claw a mail skenery. Ty nedetekují viry. 3.2.2 V některých situacích tlačítka v Cat's Claw varovných dialogových oknech jsou prázdná. Kliknutí na taková tlačítka však funguje správně. ================================================================== 4.0 Norman Virus Control NT Service ================================================================== 4.1 POŽADAVKY NA SYSTÉM: Windows NT Workstation nebo Server verze 3.51 se Service pack 5 nebo vyšší, nebo NT verze 4.0 se Service pack 3 nebo vyšší. 4.2 NVC NT Service nyní odmítne přístup při pokusu přečíst nebo spustit nějaký infikovaný soubor. NT Service nyní také používá stejnou sadu standardních extenzí používanou během skenování v reálném čase, skenování podle potřeby a během plánovaného skenování. Přesunutí/smazání infekcí by nyní mělo být mnohem efektivnější, protože tyto funkce jsou přesunuty do samostatných částí. 4.3 Ovladačová část NVC NT Service je optimalizována, takže skener v reálném čase by měl být nadále efektivnější a tedy mělo by se redukovat zatížení způsobené skenováním v reálném čase. 4.4 Byla přidána nová volba do Editovat Profily dialogového boxu v seznamovém boxu 'Výběr disků'. Navíc kromě písmen označujících mechaniky, můžete zvolit volbu 'Všechny pevné'. Tato volba se vztahuje k stylu všech pevných mechanik a je vzájemně exkluzivní. Tj. jestliže zvolíte volbu 'Všechny pevné', ona má prioritu nad ostatními volbami mechanik, a jestliže zvolíte nějaké písmeno označující mechaniku, volba 'Všechny pevné' bude zrušena. Volba 'Všechny pevné' umožňuje distribuovat profil v prostředích, kde pracovní stanice mají různé volby pevných disků. 4.5 V konfiguračním programu NCFGW nyní zobrazí Nápověda|O nvcsrv dvě signaturová data: 'Datum skeneru:' a 'Datum makro signatur:'. 4.6 NCFGW: Volba 'Rezidentní volby|Skenování|Kontrola OLE2 hlaviček' byla učiněna šedá. Pokud zvolíte tuto volbu, všechny soubory jsou zkontrolovány, a není to preferovaná operace v reálném čase. Použijte skener podle potřeby, jestliže si přejete skenovat všechny soubory a všechny OLE2 hlavičky. 4.7 O aktualizaci skenovacího motoru NVC NT Service je nyní schopna automaticky používat nový skenovací motor, jakmile je k dispozici. Jestliže je skenovací motor zadán v souboru nvc32.cfg podle popisu v příručce pro administrátory, NVC bude automaticky kontrolvat aktualizaci jednou za den. Jaknile se objeví nová aktualizace a je bezpečné odstranit z paměti aktuální skenovací motor, NVC natáhne nový skenovací motor a definiční soubory. Podmínka, která většinou způsobí, že tato aktualizace selže, je skenovací motor je v používání jiné NVC komponenty (NVCNT.EXE, NVC pro Notes). Pokud tomu tak je, NVC NT Service se pokusí aktualizovat skenovací motor později. Pro podporu tohoto byly přidány následující parametry do konfiguračního programu ncfg.exe: ncfg -checkupdateengine Použijte tento pro kontrolu, zda je dostupná a/nebo možná aktualizace skenovacího motoru. ncfg -updateengine Pokusí se aktualizovat skenovací motor podle aktualizačních nastavení v souboru nvc32.cfg ncfg -updateengineat:: Pokusí se o denní aktualizaci skenovacího motoru v zadaném čase. NVC použije aktualizační nastavení ze souboru nvc32.cfg. To má prioritu nad implicitními nastaveními, které říkají pokusit se o aktualizaci ve 24:00. ncfg -remupdateengineat Vrátí se k implicitním nastavením týkajícím se toho, kdy má být proveden pokus o aktualizaci skenovacího motoru (ve 24:00). 4.8 POZNÁMKA: Protože NVC NT Service neumí odmítnout operaci zápisu na disk, NT Servers, kde je normálně skenování v reálném čase nastaveno pouze na hodnotu "Skenovat při zápisu", a volba "Správa infikovaných souborů" by měla vždy být nastavena na hodnotu "Přesunout infekci". Pak všechny soubory, které nejsou vyčištěny, budou přesunuty do karantény a tak znepřístupněny pro uživatele. 4.9 Odstranění chyb 4.9.1 V NVC Service verzích před 4.63 bylo možné, aby uživatel "skryl" nějaký adresář nebo soubor tím, že jej vlastnil a odmítl tak jinému uživateli nebo programu přístup k tomuto adresáři. Když se NVC služba pokusila o přístup k takovému adresáři, přístup jí byl odmítnut a tak nemohla skenovat tyto soubory z hlediska přítomnosti virů. NVC Service si nyní sama uděluje právo priority nad takovýmito omezeními. Nezáleží na tom, jaká omezení uživatel zadal na takový adresář, NVC Service vždy bude mít přístup k takovému souboru na počítači, kde je nainstalována. 4.9.2 Bylo zlepšeno ošetření kontroly obsahu .zip a .arj archivních souborů. NVC nyní rekursivně hledá viry v rámci souborů této kategorie. To znamená, že archivní soubory uvnitř jiných archivních souborů budou také zkontrolovány. 4.10 Známé problémy 4.10.1 Seagate Open File Manager verze 3.1 Tady je chyba v OFM 3.1 (ne v 3.0), která způsobuje, že náš ovladač nvcrec4.sys zhavaruje ihned NT, jestliže OFM ovladač je spuštěn před ovladačem nvcrec4. Nový ovladač od Seagate (v5.1) řeší tento problém. 4.10.2 Plánovací program nekontroluje datum, kdy je při startu zkontrolováno, zda přeskočil skenování každou hodinu, protože služba nebyla spuštěna nebo protože počítač byl zrovna vypnut. Jestliže selže spuštění plánovaného skenování jednou za měsíc, bude znovu naplánováno na příští měsíc, místo okamžitého skenování. 4.10.3 NVCSRV: Vzhledem k formátu na určitých discích skenování podle potřeby disků CD-ROM produkuje čísla jako 39460% hotovo. 4.10.4 Norton utility pro NT4 Zdá se, že některé funkce v rámci Norton utilit pro NT4 se nespouští dobře s NVC službou. (Unerase a defrag služby.) Řešení: Je-li to možné, odstraňte výše jmenované služby. Pokud to není akceptovatelné, spusťte NVC službu bez komponent v reálném čase a spíš se spolehněte na funkci plánovaného skenování ve spojení s touto službou. (Instalujte tuto službu příkazem: nvcsrv -install -nodrvs) ================================================================== 5.0 Norman Virus Control pro Windows NT ================================================================== 5.1 Oprava boot sektoru (viz #1.1.1) umožňuje, že NVCNT nejen detekuje boot sektorové viry, ale také čistí takové viry na disketách i na pevných discích. NVCNT bude čistit boot sektorové viry na pevných discích, i když uživatel není přilogován s admin právy. Aby tato funkce pracovala, požaduje se počáteční spuštění NVCNT s admin právy, aby bylo možno nainstalovat korektně nízkoúrovňové komponenty. NVCNT bude rovněž detekovat boot sektorový virus bez těchto komponent, ale nebude umět takový virus vyčistit. 5.1.1 TroGuard TroGuard je program navržený pro odstraňování aktivních trojských koní z Vašeho systému. Trojské koně jsou detekovány běžným skenováním, ale nemohou být odstraněny, jsou-li aktivní. TroGuard kontroluje všechny aktivní procesy v paměti a ukončuje proces, jestliže takový soubor je trojským koněm. Implicitně je takový soubor smazán. TroGuard využívá NVC skenovací motor pro určení, zda soubor je či není trojským koněm. TroGuard má jeden parametr: /n (nesmazat trojského koně, je-li nalezen). Chcete-li spustit TroGuard, dvojitě nacvakněte na proveditelný soubor (troguard.exe), umístěný v adresáři norman\win32. Můžete vytvořit i zástupce a umístit si jej na pracovní plochu, ale neumísťujte jej do své skupiny Po speštění. TroGuard pouze kontroluje aktivní procesy a není zde nic, co by Vám řeklo, že případný trojský kůň je aktivní při zavádění TroGuardu do paměti. Všimněte si, že aktivní proces pod Windows NT nemůže být ukončen, pokud nemáte administrátorská práva. 5.2 Odstranění chyb: 5.2.1 Ve verzi 4.60 nemohl jakýkoliv podadresář na 2. úrovni nebo níž přesahovat 84 znaků, protože jinak NVC95/NVCNT zhavaroval. Bylo odstraněno ve verzi v4.7x. 5.2.2 Ve verzích před 4.70 nvcnt/nvc95 neumožňoval vyčistit infikovaný soubor, jestliže tento soubor byl typu "pouze pro čtení". Odstraněno. 5.2.3 Jestliže byla zrušena volba menu "Uložit při ukončení", tato akce nebyla nikdy uložena. Když příště někdo jiný spustil aplikaci, volba "Uložit při ukončení" byla stále zvolena. Toto bylo rovněž odstraněno. 5.2.4 Bylo zlepšeno ošetření kontroly obsahu .zip souborů a .arj archivních souborů. NVC nyní rekursivně hledá viry v rámci souborů této kategorie. To znamená, že archivní soubory v rámci jiných archivních souborů budou také zkontrolovány. 5.2.5 Chyba ve virové knihovně občas vedla k zobrazení špatných hodnot v rámci virové knihovny. To je odstraněno. 5.3 Známé problémy 5.3.1 Jestliže nějaké naplánované skenování skončí ve stejnou minutu, jako začalo, je opakováno tolikrát, kolikrát se vejde do této minuty. Ale přestane, jakmile hodniny přeskočí na další minutu. 5.3.2 Jestliže je nějaké plánované skenování zadáno se stylem a tento styl je změněn, stará nastavení v přepíšou mezitím udělané změny. Chcete-li aktivovat změny ve stylu , musíte nejprve ukončit program a restartovat NVC. 5.3.3 Skener pravého tlačítka pouze skenuje ZIP a ARJ archivní soubory. ======================================================================== 6.0 NVC pro Groupware ======================================================================== Viz také samostatné readme, které je nainstalováno s NVC pro Groupware. 6.1 NVC pro Groupware v4.7x je kompatibilní s Domino v5. 6.2 Jestliže změníte kořenový adresář pro skenování podle potřeby, nový root je uložen pro další skenování. 6.3 Manuální nastavení a odstranění Tato procedura je pro manuální údržbu NVC pro Groupware servisní modul. Je možné nastartovat, zastavit, nainstalovat a odstranit tuto službu pomocí příkazů na NVCgroup.exe povelovém řádku. Normálně je instalace provedena programem Install Shield setup a tato procedura by měla být dostačující. Chcete-li se vyhnout chybě 'NNOTES.DLL not found', ujistěte se, že Váš Notes adresář je zahrnut do Vaší systémové cesty. Pokud ne, přidejte vstup cesty a proveďte restart NT před pokusem o instalaci tohoto služebního modulu. Chcete-li nainstalovat manuálně 'NVC pro Groupware', spusťte 'NVCgroup.exe -install' z domovského adresáře 'NVC for Groupware'. To nainstaluje tuto službu, zkopíruje hook-dll (NVCgwlh.dll) do domovského adresáře Domino serveru a zmodifikuje soubor 'notes.ini', aby bylo umožněno skenování v reálném čase po příštím restartu Domino serveru. Soubor 'notes.ini' by měl mít přidán následující vstup: 'NSF_hooks=NVCgwlh' 6.4 Start skenerové služby Chcete-li spustit skenerovou službu, udělejte jednu z následujících věcí: - proveďte reboot NT serveru (služba je nainstalována s 'automatickým' startem) nebo - spusťte 'NVCgroup -start' nebo - spusťte grafický front-end 'NVCgw.exe', zvolte počítač a stiskněte 'start' nebo - spusťte službu ze 'services' v NT řídícím panelu 6.5 Zastavení skenerové služby Chcete-li zastavit skenerovou službu, proveďte jednu z následujících věcí: - spusťte grafický front-end 'NVCgw.exe', zvolte počítač a stiskněte 'stop' nebo - spusťte 'NVCgroup -stop' nebo - zastavte službu ze 'services' v NT řídícím panelu 6.6 Odstranění skenerové služby Chcete-li odstranit systém, včetně real-time hook: - spusťte 'NVCgroup -remove'. To zastaví službu, jestliže běží, a také to odstraní reference na hook v souboru 'notes.ini'. Všechna zákaznická nastavení v registru budou ztracena. Chcete-li odstranit službu bez vymazání konfigurace: - spusťte 'NVCgroup -upgrade'. To zastaví službu, jestliže běží, a také to odstraní reference na hook v souboru 'notes.ini'. Registrářová nastavení budou uchráněna. Chcete-li odstranit hook z Domino serveru po té, co byla odstraněna 'NVCgroup': - Ujistěte se, že vstup v 'notes.ini' byl odstraněn. - Proveďte restart Notes Domino serveru. 6.7 Nestandardní jména lokálních poštovních schránek Tato služba bude využívat několik metod pro lokalizaci poštovní schránky, aby mohla poslat varovné zprávy o virech. Jestliže není tato služba schopna lokalizovat poštovní schránku, cesta může být zadána manuálně vytvořením vstupu v místě registru NVCgroup. Udělejte klíč nazvaný 'LocalMailbox', a nastavte hodnotu na plnou cestu k této poštovní schránce. 6.8 Změny v dialogovém boxu 'On-demand scan' Byla přidána dvě tlačítka: 6.8.1 'Change root': Umožňuje uživateli specifikovat kořenový adresář pro prohledání adresářového stromu a vyhledání seznamu Notes základen. Výsledkem je odstranění vstupu menu 'Extra database' v systémovém menu v tomto dialogu. 6.8.2 'Options': Stejný efekt jako tlačítko 'Options' (a vstup menu Options|Options) v hlavním okně, které zahrnuje skenovací volby pro skenování podle potřeb a jiná skenování. Nové tlačítko povede k specifickým volbám skenování podle potřeb. ======================================================================== 7.0 Síťové úvahy ======================================================================== 7.1 NVC.SYS a IPX KOMUNIKACE 7.1.1 Všechny NVC.SYS verze budou posílat zprávy všem verzím programu FireBreak přes IPX, a všechny verze programu FireBreak budou přijímat tyto zprávy. 7.2 POŽADAVKY PRO SPRÁVNOU KOMUNIKACI Existují verze client softwaru nutné pro NVC v4.00+ workstation produkty (s výjimkou NVC.SYS), aby bylo možno posílat IPX zprávy na FireBreak v3.60+. Pokud nemáte tyto verze client softwaru, můžete si je stáhnout zdarma z anonymního ftp ftp://ftp.novell.com/pub/updates/nw Můžete také získat client software ukázáním svého web prohlížeče na http://support.novell.com a zvolit "Minimum Patch List". VŠIMNĚTE SI, že Microsoft Client Services pro NetWare (k dispozici pro Windows 95 a Windows NT) nejsou podporovány NVC IPX komunikacemi. Proto ve Windows 95 a Windows NT musíte mít spuštěný NetWare client software. 7.2.1 DOS/Windows 3.1x: - Netx - VLMs - Netware Client 32 pro DOS/Windows 3.1x Poznámka: Pouze VLM podporují Canary na serveru. 7.2.2 Windows 95: - NetWare Client 32 pro Windows 95 7.2.3 Windows NT: - NetWare Client v4.0 nebo pozdější pro Windows NT 7.2.4 OS/2: - Netware Client v2.12 nebo pozdější pro OS/2 7.2.5 NVC workstation produkty (s výjimkou NVC.SYS) budou vysílat zprávy všem verzím programu FireBreak přes IPX, ale pouze FireBreak v3.60 a novější verze je budou přijímat. 7.2.6 IPX zprávy z NVC pracovních stanic nezahrnují zprávy o virech nalezených v paměti. 7.3 NetWare v5 Prosím, všimněte si, že NVC v současnosti pouze podporuje zprávy přes IPX. To znamená, že jestliže provozujete NetWare v5 s čistým IP jako Vaším jediným protokolem, funkce posílání zpráv nebude fungovat. Toto omezení bude odstraněno v budoucí verzi. ======================================================================== 8.0 N_DIST ======================================================================== 8.1 Win32: Distribuce konfigurací skeneru v síti Chcete-li distribuovat Win 95 nebo Win NT skenerové konfigurace v nějakém síťovém prostředí, měli byste: 1. Nakonfigurovat skener, včetně stylů a možných plánovaných skenování. 2. Nastartovat REGEDIT. 3. Exportovat obsah HKEY_CURRENT_USER\Software\NORMAN\NVC do x:\nvcadmin\win95\nvc95.reg (Windows 95) nebo x:\nvcadmin\win32\nvcnt.reg (Windows NT) 4. Až příště spustíte N_DIST, NVCxx.REG bude zkopírováno na pracovní stanice a REGEDIT bude spuštěn proti tomuto souboru. 8.2 Použití N_DIST pro upgrade běžící NVC služby Protože N_DIST skript bude spuštěn v kontextu s nalogováním uživatele, dřívější verze NVC Service je již spuštěna, když se spouští N_DIST skript. Admin uživatel by mohl zastavit tuto službu a pak zkopírovat nové soubory před dalším startem služby. Ještě je tu problém s komponentami reálného času (NVC ovladače zařízení), které nezastaví, když služba zastaví. Nejjistějším způsobem, jak se ujistit, že všechny komponenty jsou vhodně upgradovány, je, ujistit se, že N_DIST skript: 1. přejmenovává otevřené NVC soubory na počítači (nvcsrv.exe a .sys soubory v adresáři \NORMAN\WIN32) 2. kopíruje nové soubory na vrch přejmenovaných Proveďte reboot počítače a nové komponenty budou použity. 8.3 Známé problémy Příkaz 'Register' nebude vždy registrovat ikony v profilu 'Common'. Příkaz 'Unregister' neodstraní jednotlivé ikony, jestliže jméno ikony obsahuje dvojitou mezeru. ======================================================================== 9.0 SNMP extenze ======================================================================== 9.1 Změna formátu pro přizpůsobení se dlouhým jménům počítačů Byla provedena změna SNMP extenzí tak, že jména počítačů mohou být zadávána v souboru 'SYSTEMS.TXT' až do délky 50 znaků. Uživatelé PC-NFS nebo LAN Workplace by měli pokračovat v užívání starého formátu. Uživatelé, kteří nemají žádné použití pro dlouhá jména počítačů, nemusí překompilovat své soubory 'SYSTEMS.TXT'. Starý soubor 'TCP_IP.CFG' bude nadále pracovat. Více informací naleznete v souboru readme pro SNMP extenze.