home *** CD-ROM | disk | FTP | other *** search
/ Chip 1999 July / Chip_1999-07_cd.bin / zkuste / TBAV / tbav_dos / TBAV.FAQ < prev    next >
Encoding:
Text File  |  1999-01-11  |  22.4 KB  |  487 lines
  1.  
  2. This is a list with Frequently Asked Questions.
  3.  
  4. If you have a question about our product, or want to know why our product
  5. differs from some competitive products, please check out the questions
  6. below.
  7.  
  8. User related questions
  9. ----------------------
  10.  
  11. What do viruses usually infect?
  12.         Generally there are two different types of infections: bootsector and
  13.         file viruses. Bootsectorviruses infect the hard diskÆs bootsector or
  14.         master boot record and floppy disks that have not been write-
  15.         protected. Viruses will try to infect executable files which have
  16.         .EXE, .COM, .SYS, .BIN, or OV? extension. Nowadays, other files that
  17.         can get infected are those that contain macros (Word, Excel and Ami-
  18.         Pro).
  19.  
  20.  
  21. Can I get a virus by doing a DIR (directory) on a diskette?
  22.         NO! A virus must first be æexecuted' in order to become active. If the
  23.         diskette has been infected with a bootsector virus, you would have to
  24.         boot your computer with the infected diskette in your A: drive in
  25.         order to activate this virus. Should the diskette contain an infected
  26.         executable file, you would have to execute this file on the diskette
  27.         for the virus to become active.
  28.  
  29.  
  30. What is a rescue diskette?
  31.         A  rescue diskette is a virus-free and write-protected bootable
  32.         diskette (not the same for every computer), with the same DOS version
  33.         as your computer. It also contains vital system information which will
  34.         allow you to recover from damage caused by a crash or a virus attack.
  35.         Make sure that the rescue diskette always remains write-protected!
  36.  
  37.  
  38. How do I create a rescue diskette?
  39.         You will need a new, empty diskette (for example, the green TBAV 
  40.         recovery diskette). Place it in the diskette station, and on the DOS-
  41.         directory prompt you enter the following commands:
  42.             FORMAT A: /S
  43.             COPY SYS.COM A:
  44.         Return to the TBAV directory:
  45.             CD\TBAV
  46.         Execute the MAKERESC batch file:
  47.             MAKERESC A:
  48.  
  49.         Write-protect your rescue diskette and keep it in a safe place!
  50.  
  51.         ATTENTION! This rescue diskette is a random indication of your system.
  52.         Should you change the DOS-version, the hardware or the computer, a new
  53.         rescue diskette has to be created. Refer to the TBAV Utilities-Guide,
  54.         Chapter 2.1 "Virus protection", for more information.
  55.  
  56.  
  57. What should I do with infected files?
  58.         The best solution, once you have booted your computer with a resue
  59.         diskette, is to replace the original files. In case there is no master
  60.         disk to replace the infected programs, try to replace clean backup
  61.         copies that were made before the virus infected the computer. When
  62.         both solutions are not possible you may try to clean the files using
  63.         TBCLEAN.
  64.  
  65.         Remark:
  66.         In case you do not have a rescue diskette you may use a DOS-bootable
  67.         diskette, for example the MS-DOS 'Diskette 1 - Setup' diskette. (In
  68.         the main menu you push the F3 button twice to interrupt the
  69.         installation). However, we highly recommend to create a rescue
  70.         diskette in a virus-free situation.
  71.  
  72.  
  73. How do I clean a virus from within Windows?
  74.         All virus cleaning is to be performed in DOS after booting from a
  75.         rescue diskette. This is necessary to avoid serious problems that may
  76.         occur when you try to remove the virus WHILE it is still active.
  77.  
  78.         Remark:
  79.         In case you do not have a rescue diskette you may use a DOS-bootable 
  80.         diskette, for example the MS-DOS 'Diskette 1 - Setup' diskette. (In
  81.         the main menu you push the F3 button twice to interrupt the
  82.         installation). However, we highly recommend to create a rescue
  83.         diskette in a virus-free situation.
  84.  
  85.  
  86. How do I uninstall  TBAV for Windows 3.x?
  87.         Follow these instructions in order to successfully remove TBAV for
  88.         Windows:
  89.  
  90.         Step 1
  91.             Start TBAV for Windows
  92.         Step 2
  93.             Select TBSETUP in the pull down menu and choose 'Options'
  94.         Step 3
  95.             Select 'REMOVE ANTI-VIR.DAT files' and click OK
  96.         Step 4
  97.             Select 'All local hard drives' as the target
  98.         Step 5
  99.             Click the SETUP button and click Yes to continue
  100.         Step 6
  101.             Use Notepad to change WIN.INI in the WINDOWS directory
  102.         Step 7
  103.             Use Notepad to search for 'TBAVÆ
  104.         Step 8
  105.             Delete the LOAD statement part that refers to TBAV
  106.             For example: C:\TBAV\TBLOAD.EXE
  107.         Step 9
  108.             Have Notepad perform another search for 'TBAV'
  109.         Step 10
  110.             Remove the three lines that refer to TBAV 
  111.             For instance:
  112.             [TBAVWIN]
  113.             DirectDiskOffs...
  114.             DirectDiskSegm...
  115.         Step 11
  116.             Save WIN.INI and edit the SYSTEM.INI file
  117.         Step 12
  118.                 Search for and remove the line that refers to æTBAVÆ
  119.             For instance:
  120.             device=c:\tbav\tbavwin.386...
  121.         Step 13
  122.             Save and exit the SYSTEM.INI file and Notepad
  123.         Step 14
  124.             Quit Windows and return to the ROOT of your C: drive
  125.         Step 15
  126.             Edit AUTOEXEC.BAT and remove the CALL statement for TBAV
  127.             For instance:
  128.             Call c:\tbav\tbstart.bat
  129.         Step 16
  130.             Remove TBAV from the PATH-statement as well
  131.             For instance:
  132.             PATH=%PATH%;C:\TBAV;
  133.         Step 17
  134.             Save AUTOEXEC.BAT and quit the editor 
  135.         Step 18
  136.             Delete all files in your TBAV directory, then remove the TBAV
  137.                 directory
  138.         Step 19
  139.             Reboot your computer
  140.  
  141.  
  142. How do I remove the 3 TBAV checks from my master boot record?
  143.         Having a DOS version 5.00 or higher, execute the following command:
  144.             C:\>FDISK /MBR <Enter>
  145.  
  146.  
  147. How can I avoid getting TBCHECK interceptions when running programs 
  148. from a file server?
  149.         The reason TBCHECK intercepts network files is because TBSETUP has
  150.         not been executed on the file server. There are two possible
  151.         solutions. The first is to run TBSETUP on the file server (in this
  152.         case the user has to be supervisor), the second is to modify the
  153.         TBSTART.BAT file in your TBAV directory and to add to TBCHECK the
  154.         NOAVOK option(1).
  155.         
  156.         For instance:
  157.             C:\TBAV\TBCHECK.EXE NOAVOK=*
  158.  
  159.             * Indicates all network drives.
  160.  
  161.         In case this only applies to F: and G:, the NOAVOK option looks like
  162.         this:
  163.             C:\TBAV\TBCHECK.EXE NOAVOK=FG
  164.  
  165.         (1) The NOAVOK parameter makes sure that TBCHECK will not check 
  166.         programs for the volumes indicated.
  167.  
  168.  
  169. What to do when the memory has been virus-infected and TBCLEAN is not 
  170. able to clean it?
  171.         When a virus in the memory is detected, the virus will already be
  172.         active. Turn off your computer as soon as possible in order to avoid
  173.         more damage. The reason TBCLEAN is not able to do something about it is
  174.         because TBCLEAN is only able to clean DOS files!
  175.         Turn off the computer and reboot with a rescue diskette. Then you have
  176.         to scan your local hard disks with the latest version of TBAV for DOS.
  177.         There is a fair chance that a virus will be detected in the boot sector
  178.         and/or the master boot record. How to clean this will be answered after
  179.         the question: æWhat to do when the hard diskÆs boot sector/master boot
  180.         record has been infected?Æ
  181.  
  182.         Remark:
  183.         In case you do not have a rescue diskette you may use a DOS-bootable
  184.         diskette, for example the MS-DOS 'Diskette 1 - Setup' diskette. (In
  185.         the main menu you push the F3  button twice to interrupt the
  186.         installation). However, we highly recommend to create a rescue diskette
  187.         in a virus-free situation. 
  188.  
  189.  
  190. The hard diskÆs boot sector/master boot record has been infected. What do 
  191. I have to do?
  192.         Use the following steps to remove the boot sector virus:
  193.  
  194.         Having a rescue diskette:
  195.         Step 1
  196.             Boot the computer with a rescue diskette
  197.         Step 2
  198.             Select TBUTIL from TBAV main menu
  199.         Step 3
  200.             Select SYSTEM MAINTENANCE MENU from TBUTIL menu
  201.         Step 4
  202.             Choose RESTORE SYSTEM CONFIGURATION
  203.             (Restore System Configuration will be selected)
  204.         Step 5
  205.             Select (from the same menu): Execute TBUTIL
  206.         Step 6
  207.             Give <Enter>
  208.         Step 7
  209.             Follow the on-screen instructions
  210.  
  211.         Not having a rescue diskette:
  212.  
  213.         Step 1
  214.             Boot the computer with a MS-DOS bootable diskette
  215.  
  216.         In case you do not have a rescue diskette you may use a DOS-bootable
  217.         diskette, for example the MS-DOS 'Diskette 1 - Setup' diskette (In
  218.         the main menu you push the F3 button twice to interrupt the
  219.         installation). However, we highly recommend to create a rescue
  220.         diskette in a virus-free situation.
  221.  
  222.         Step 2
  223.             Execute the SYS C: command
  224.         Step 3
  225.             Execute the FDISK /MBR command
  226.  
  227.         Remark:
  228.         Removing a boot sector/master boot record virus by using a rescue
  229.         diskette gives you a 100% guarantee that every boot sector/master boot
  230.         record virus in your system will be removed. Using the SYS C: and
  231.         FDISK /MBR does not give this guarantee!
  232.  
  233.  
  234. What to do when the diskette boot sector has been infected?
  235.         In order to remove a boot sector virus from a diskette, use the following 
  236.         steps:
  237.         
  238.         Step 1
  239.             Start TBAV
  240.         Step 2
  241.             Select TBUTIL from the main menu
  242.         Step 3
  243.             Select Immunize/Clean bootsector A: (or B:) in TBUTIL
  244.         Step 4
  245.             Follow the on-screen instructions
  246.  
  247.  
  248. I am having (e.g.) the following interception :
  249.         ╒════════ TBAV interception   ═════════╕
  250.         │             WARNING!                 │
  251.         │ TbCheck could not find the NEW.COM   |
  252.         | checksum information.                │
  253.         │ The integrity of this file cannot    │
  254.         │ be checked. Cancel execution? (Y/N)  │
  255.         ╘══════════════════════════════════════╛
  256.         How is this possible and how can I avoid it?
  257.         This interception is caused by the fact that  no NEW.COM Checksum 
  258.         information is available. Usually it concerns new software that has not 
  259.         been validated by TBSETUP. Perform the following steps:
  260.         
  261.         Step 1
  262.             Scan the NEW.COM loaded directory
  263.             For instance:
  264.             TBSCAN C:\SOFTWARE\NEW\*.*
  265.         Step 2
  266.             **
  267.             Only to be performed when no viruses have been detected by the
  268.                 previous act.
  269.             **
  270.             Execute a TBSETUP in the NEW.COM directory
  271.             For instance:
  272.             TBSETUP C:\SOFTWARE\NEW\*.*
  273.  
  274.         See for more information: 'How can I avoid TBCHECK interceptions when
  275.         running programs from a file server?'.
  276.  
  277.  
  278. When loading TbScanX, 'Not enough memory' is mentioned. What does it
  279. mean and how do I solve it?
  280.         This is caused by the missing of two options in the TBSCAN.EXE boot 
  281.         command. As a rule, TBAV utilities are loaded via TBSTART.BAT, which
  282.         is called by a CALL statement from the AUTOEXEC.BAT.
  283.         Use the following steps:
  284.         
  285.         Step 1
  286.             Use a text editor to open TBSTART.BAT in de TBAV directory
  287.         Step 2
  288.             Search for the line with TBSCANX
  289.         Step 3
  290.             Adjust the line in the following way:
  291.             C:\TBAV\TBSCANX.EXE XMS EMS
  292.         Step 4
  293.             Save the adjusted contents of TBSTART.BAT and close the editor
  294.         Step 5
  295.             Reboot the computer
  296.  
  297. Should I install TBAV for DOS in Windows 95?
  298.         TBAV for DOS utilities are not designed to work in Windows 95.
  299.         This means you can not use the memory resident TBAV utilities
  300.         (TbDriver, TbScanX etc.) in Windows 95. So, you must never start
  301.         INSTALL.EXE from the TBAV for DOS diskette (the TBAV for DOS TSR's
  302.         will be installed). If you want to have the TBAV for DOS on your
  303.         hard-disk, create a new TBAV directory and copy all the files of
  304.         the TBAV for DOS diskette in this directory. Now you can use TbScan,
  305.         TbUtil etc. in a Windows 95 DOS-Box.
  306.  
  307. How to make a Rescue Diskette in Windows 95
  308.         You can create a TBAV Rescue Diskette in Windows 95. Creating such a
  309.         disk ensures you, you can remove ANY bootsector virus from your PC.
  310.  
  311.         * Start a DOS-Box (or go to the DOS-Prompt)
  312.         * Copy (NOT install!) TBAV for DOS in a TBAV directory.
  313.         * Format a diskette with 'format a: /u /s'
  314.         * Go to the TBAV (for DOS) directory and type: MakeResc.Bat A:
  315.  
  316.         Now a Rescue Diskette will be created of your Windows 95 machine.
  317.         Make the diskette write-protected and keep it on a safe place. Some-
  318.         times the Rescue Diskette is the only way to remove a virus from
  319.         your PC.
  320.  
  321.  
  322. Design philosophy
  323. -----------------
  324.  
  325. Why does TbSetup create an Anti-Vir.Dat file in every directory (in which 
  326. are executable files), in stead of generating just ONE reference file for the
  327. entire system?
  328.         1. It is more intuitive. It is much easier for a user to see whether
  329.            or not a directory has been processed by the checksummer. At a
  330.            single glance you can see what the last time was that you modified
  331.            the Anti-Vir.Dat file, and whether this fits in with the latest
  332.            date-and-time stamp of the executable files.
  333.  
  334.         2. Maintenance. When an entire directory is deleted, the Anti-Vir.Dat
  335.            file (the checksum information) will be gone too. Automatically!
  336.            Using the single file approach, you will have to run an update
  337.            utility or you will have to accept that the database will
  338.            constantly get bigger. The same goes for moving one directory to
  339.            another disk or subdirectory. You do not have to worry about the
  340.            Anti-Vir.Dat files as they will be moved automatically!
  341.  
  342.         3. Security. When a company decides to introduce new software, it can
  343.            make a backup of the diskettes, scan it for viruses, install the
  344.            Anti-Vir.Dat files and distribute them within the company. Anyone
  345.            who uses the diskettes will have the correct Anti-Vir.Dat files
  346.            near at hand, and TbSetup is not to be used anymore. The new Anti-
  347.            Vir.Dat files do not interfere with already existing files.
  348.  
  349.         4. Networks. Different users of a network may have access to a direc-
  350.            tory via another path. E.g., one user may see the F:\JOHN directory
  351.            whereas another user with more access rights may refer to the same
  352.            directory as G:\USERS\JOHN. Using the single file approach you will
  353.            have to create a separate database for every user. Using an Anti-
  354.            Vir.Dat file for each directory, the supervisor needs to create
  355.            only ONE Anti-Vir.Dat file per directory. No matter what access
  356.            rights a user has, he automatically has access to the Anti-Vir.Dat
  357.            file. When a network product update is being done, the supervisor
  358.            simply has to create a new Anti-Vir.Dat file for that specific
  359.            directory, and EVERY network user will immediately have the correct
  360.            checksum information. 
  361.  
  362.  
  363. Why does TbScanX, unlike some other products, not scan a boot sector 
  364. when you press Ctrl-Alt-Delete?
  365.         First of all, TbScanX will scan a boot sector immediately when you try
  366.         to get access to a diskette. Most people insert a diskette because
  367.         they need a diskette file, or want to copy to it, or because they want
  368.         to look into a directory. In all of these cases TbScanX will check the
  369.         boot sector, long time before one presses Ctrl-Alt-Del. Therefore
  370.         there is no need for TbScanX to check the boot sector when you reboot;
  371.         it has been done.
  372.  
  373.         The second reason is that it might be dangerous to scan a diskette
  374.         while rebooting. You do not usually reboot for fun! Most of the times
  375.         you reboot because the system has become instable, or because a
  376.         program instructed you to reboot after having changed vital hard disk
  377.         information. Having a instable system you may damage data by trying to
  378.         get access to a disk. When the program tells you to reboot, this
  379.         reboot is often necessary because the system is not informed of
  380.         configuration changes. Without having appropriate drivers it is
  381.         dangerous to continue and try to get access to the disks.
  382.  
  383.         The third reason is that it could cause people to believe that
  384.         rebooting and having a dikette in the drive is OK, because the
  385.         diskette will be scanned anyway. Unfortunately, checking a diskette
  386.         can only be done before a soft boot and not when one hits the reset
  387.         button. It is only partially a solution. For many people the
  388.         difference between a hard and a soft boot is not entirely clear, and
  389.         they will assume that rebooting with a diskette inserted will always
  390.         be safe.
  391.  
  392.         Concluding you may say that it is dangerous, unreliable, confusing
  393.         and in most cases unnecessary. Therefore it is decided not to scan
  394.         after having pressed Ctrl-Alt-Delete.
  395.  
  396.  
  397. Why does TbClean not clean ALL files in one time?
  398.         Let us see what happens when your system has been infected by a virus
  399.         and you would run an 'automatic' cleaner. Having only ONE virus, every
  400.         executable will be in one of the following conditions after the
  401.         cleaning has been done:
  402.  
  403.         1. Files that have not been infected by this virus at all.
  404.         2. Infected files that have been cleaned successfully. 
  405.         3. Files that have been damaged (not infected) by the virus and that
  406.            can not be cleaned because they have been deleted or have been
  407.            overwritten.
  408.         4. Files which have been successfully cleaned according to the cleaner
  409.            but which do not function anymore afterwards (e.g., because of copy
  410.            protection or various othere reasons).
  411.         5. Files of which the cleaner says that it failed to clean them and
  412.            which have to be replaced because they still are infected.
  413.  
  414.         Are you going to sort out the condition of all the files after the
  415.         æautomaticÆ cleaning has been done? A much better approach is to work
  416.         through the files one by one: clean a file, check  the result, test
  417.         the file and only then proceed with the next one. Tedious? Yes, so an
  418.         even better approach is to take the back-up tape and to restore all
  419.         executable files.
  420.  
  421.         Remember that viruses have not been written to be bug-free and 
  422.         compatible using present-dayÆs complex configurations. In no way a
  423.         cleaner can clean files that have been infected by a æbuggyÆ virus;
  424.         automatic cleaning is an illusion. Nevertheless, if you  insist on
  425.         using a cleaner, you have the best chances of success by going through
  426.         your files one by one.
  427.  
  428. I have seen on Internet some information how to fool TbScan. What are you
  429. going to do about it?
  430.         This is nothing to worry about. We know that it is possible to
  431.         fool heuristics. We know that it is possible to design a virus
  432.         that TbScan can not yet detect. We have seen many examples of
  433.         this in the past.
  434.         Encrypted viruses have been invented to make signature scanning
  435.         useless, until the AV industry invented signature wildcards and
  436.         entry point tracers. Polymorphic viruses have been invented to
  437.         make signature scanning completely impossible, until the
  438.         anti-virus industry invented generic decryption.
  439.         It is an endless battle. Some strategics are involved as well.
  440.         Sometimes it is better to leave an easy to close door open,
  441.         and let a virus writer spend weeks to write something
  442.         that exploits this 'loophole' and then just slam this door
  443.         without any trouble and any damage, than to attempt to foresee all
  444.         possible future virus-writing-developments and to close all
  445.         doors in advance, and let someone discover something that is much
  446.         more difficult to solve. Someone who wants to attac a specific
  447.         anti-virus product will finally discover something that can be
  448.         used. This applies to all anti-virus products, no matter how
  449.         clever they are. That's why all serious anti-virus products have
  450.         to be frequently updated.
  451.  
  452.         If a virus is able to escape heuristic detection, we will find it
  453.         with a signature. If some information leads to a virus that indeed
  454.         succeeds to remain unspotted, we will do something about it. We have
  455.         been doing so dozens of times in the past, and we will keep doing so.
  456.         So far, there is no reason to believe that virus writers will
  457.         finally come up with something that we can't handle.
  458.  
  459.  
  460. Network related questions
  461. -------------------------
  462.  
  463. We installed TBAV on a server and we are using the TbScan æonceÆ option. 
  464. However, when the PCs are being turned on in the morning, only the first 
  465. workstation is scanned and the others are not. Why is that?
  466.         When TbScan uses the 'once' option, information will be written to
  467.         TBSCAN.EXE. The first PC scans and updates the information in
  468.         TBSCAN.EXE. The other PCs will conclude that TbScan has already been
  469.         used that day and they will proceed without scanning.
  470.  
  471.         In order to solve this problem you may specify a file name behind the
  472.         æonceÆ option. Instead of putting the information in the TBSCAN.EXE
  473.         program, TbScan puts it in the specified file.
  474.         Use for instance æTbScan once=c:\config.sysÆ to ensure that every PC
  475.         maintains its own ælast time scannedÆ record.
  476.         Attention please! TbScan does not alter the specified fileÆs contents.
  477.         It records the information in a different way and therefore you may
  478.         specify any EXISTING file.
  479.  
  480.  
  481. We have installed TBAV on a server and we are using the TbScan æonceÆ 
  482. option. However, when the PCs are booted several times a day TbScan is 
  483. always scanning instead of only once. Why is that?
  484.         The users probably do not have write access rights for TBSCAN.EXE.
  485.         Perfect! Use the method as has been described in the previous
  486.         question.
  487.