home *** CD-ROM | disk | FTP | other *** search
/ Liren Large Software Subsidy 16 / 16.iso / t / t168 / 1.img / TIPS.DOC < prev    next >
Encoding:
Text File  |  1991-06-28  |  7.4 KB  |  173 lines
  1. SYMANTEC CORPORATION - PETER NORTON GROUP
  2. TIPS.DOC file for NORTON ANTIVIRUS Version 1.5
  3. June 17, 1991
  4.  
  5. Here are the answers to some common questions about The Norton AntiVirus
  6. product:
  7.  
  8.  
  9. 1.  VIRUS CLINIC REPORTS FINDING A STRAIN OF AN "UNKNOWN" VIRUS
  10.  
  11.     This message is generated if 1) an unknown virus has infected your
  12.     program or 2) the program has been altered since it was inoculated
  13.     (perhaps by upgrading or reconfiguring the program).  If you have
  14.     altered an inoculated program, then you will want to reinoculate.
  15.     Otherwise, replace the file with an original, uninfected copy.
  16.  
  17.  
  18. 2.  VIRUS CLINIC REPORTS A VIRUS FOUND AT A MEMORY LOCATION, BUT WON'T LET
  19.     ME DO ANYTHING ABOUT IT.
  20.  
  21.     It is quite likely that any action taken while a virus is resident in
  22.     memory will further infect your machine.  The most certain way of removing
  23.     a virus from memory is to power off your machine.  Once you have powered
  24.     off your system you will want to reboot from an uninfected,
  25.     write-protected bootable DOS disk.  Then run Virus Clinic and re-scan
  26.     your system.  Virus Clinic will identify files or system areas that are
  27.     infected, and allow you to take action against them.
  28.  
  29.  
  30. 3.  AFTER REPAIRING A FILE AND RE-SCANNING, VIRUS CLINIC SAYS THE FILE
  31.     IS STILL INFECTED.
  32.  
  33.     Some viruses (such as Jerusalem-B) can infect a file multiple times.
  34.     Every time a file is run after it is infected, it will have another copy
  35.     of the virus attached to it.  The Repair option removes one copy of the
  36.     virus per scan.  Either continue to scan and repair the file until it
  37.     comes up clean, or reinstall the file from the original program disk.
  38.  
  39.  
  40. 4.  I'VE INSTALLED THE NORTON ANTIVIRUS AND SUDDENLY THERE ARE DOZENS OF
  41.     77-BYTE FILES WITH ._XE, ._OM, ._YS, ._V?, ._RV AND ._IN EXTENSIONS.
  42.  
  43.     These files are inoculation files, and are created by NAV when running
  44.     in Advanced Scan mode to detect changes in existing program files.
  45.     Such changes can indicate the presence of an unknown virus.
  46.  
  47.     Inoculation files are created only for files with .EXE, .COM, .SYS,
  48.     .OV?, .DRV and .BIN filename extensions.
  49.  
  50.  
  51. 5.  HOW DO I REMOVE THE INOCULATION FILES?
  52.  
  53.     The program UNINOC.EXE will remove all inoculation files from a drive
  54.     or directory.  Instructions for using that program can be found in the
  55.     text file UNINOC.DOC.
  56.  
  57.     Note that Virus Clinic should first be set to Basic Scan mode.
  58.  
  59.     
  60. 6.  WHY DOES SPEED DISK REPORT THAT THE INOCULATION FILES ARE UNMOVABLE?
  61.  
  62.     The Norton Utilities Speed Disk program will not move files that have
  63.     hidden or system attributes.  The Norton AntiVirus inoculation files
  64.     initially have these attributes set, although, they are not required.
  65.  
  66.     To change the attributes of the inoculation files with The Norton
  67.     Utilities, version 4.5, type:
  68.  
  69.         FA C:\*._* /HID- /SYS- /S
  70.  
  71.     To change the attributes of the inoculation files with The Norton
  72.     Utilities, version 5.0 or later, type:
  73.  
  74.         FILEFIND C:\*._* /HID- /SYS-
  75.  
  76.  
  77. 7.  WHAT IS A BOOT SECTOR/PARTITION TABLE INFECTOR?
  78.  
  79.     A boot sector/partition table infector is a virus that goes memory
  80.     resident when the Master Boot Program (or MBP) is executed.  The MBP is
  81.     a small program located on the first sector of the disk which is used by
  82.     the computer to load the Disk Operating System (DOS).  When you boot your
  83.     computer, the MBP is loaded and executed.  If there is a virus present in
  84.     the MBP, it will load before DOS.  One problem with detecting boot sector
  85.     infectors is that DOS (and therefore all programs loaded by DOS) load
  86.     AFTER the boot sector infector has loaded itself.  This means that when
  87.     Virus Intercept loads, the boot infector is already present.
  88.  
  89.     Your boot sector or partition table can be infected in one of the 
  90.     following two ways:
  91.  
  92.     1)  By booting your system from a floppy disk with an infected boot
  93.        sector.
  94.  
  95.     2)  By executing a virus-infected program that infects boot sectors or
  96.     partition tables.
  97.  
  98.  
  99.  
  100. 8.  I JUST DELETED A BOOT/PARTITION TABLE INFECTOR VIRUS AND NOW MY SYSTEM
  101.     WON'T BOOT.
  102.  
  103.     When "Delete" is chosen to remove a boot infector virus, the infected
  104.     master boot program is deleted (overwritten). Because DOS cannot be
  105.     loaded without this program, you are not able to boot the computer from
  106.     the hard disk.  If you have the Norton Utilities, version 5.0 or later,
  107.     this situation can be repaired by using the Norton Disk Doctor program.
  108.     Boot the machine from an uninfected DOS floppy disk, insert the Norton
  109.     Utilities disk that contains the NDD program into the A: drive, and type
  110.     the following at the A:\> prompt:
  111.  
  112.         NDD C: /REBUILD
  113.  
  114.     If you do not have The Norton Utilities, you must repartition the disk
  115.     using the DOS FDISK program, or similar partitioning software.  In most
  116.     cases, your hard disk will then function normally.  If this does not
  117.     occur, you will have to reformat the hard disk, and restore your
  118.     program and data files from your backups.
  119.  
  120.  
  121. 9.  WHERE DO I GET A DESCRIPTION OF A VIRUS?
  122.  
  123.     Here are two sources.  The first is a book by David J. Stang, Ph.D,
  124.     titled "Computer Viruses."  It is published by the National Computer
  125.     Security Association, which can be reached at (202) 364-8252.  The second
  126.     is the "Virus Information Summary List" by Patricia M. Hoffman, who can be
  127.     reached by voice or FAX at (408) 246-3915.  This document can also be
  128.     downloaded by modem from the Excalibur! BBS at (408) 244-0813.
  129.  
  130.  
  131. 10. WHY CAN'T I SCAN MY NETWORK DRIVES?
  132.  
  133.     Access to network drives can be enabled by changing a configuration
  134.     option, but we recommend doing so only if you are the network
  135.     administrator.
  136.  
  137.     To access the network drives, enter the Options menu and select
  138.     Configure.  Cursor down to the "Disable Scanning of Network Drives"
  139.     option and remove the "X" by pressing the space bar.  Press <Enter> to
  140.     save the selection.  Keep in mind that you will need to enter a
  141.     password to access the Configure option if a password has been
  142.     previously entered.
  143.  
  144.  
  145. 11. HOW DO I PREVENT VIRUSES FROM SPREADING ACROSS A NETWORK?
  146.  
  147.     Obtain a site license from Symantec to allow you to run Virus Intercept
  148.     on all of the workstations.  Once loaded, Virus Intercept will prevent
  149.     the execution of an infected file from any drive (including network
  150.     drives).
  151.  
  152.     In addition, the network administrator should use Virus Clinic to scan
  153.     the network servers regularly to detect and remove any infected files.
  154.  
  155.  
  156. 12. WHY CAN'T I REMOVE A DIRECTORY AFTER I'VE DELETED ALL THE FILES IN IT?
  157.  
  158.     If you have scanned your disk in Advanced mode and have inoculated the
  159.     files, you will have created a hidden system file for each executable
  160.     file.  When you delete these files, you must remove the hidden files
  161.     as well.
  162.  
  163.     NOTE: If the directory you are trying to delete contains The Norton 
  164.           AntiVirus and NAV_.SYS is loaded in memory, then you will need to
  165.           disable it by rebooting your machine, waiting for a beep, and
  166.           then simultaneously pressing BOTH Shift keys.
  167.  
  168.  
  169. 13. WHY DON'T MY COMMAND LINE OPTIONS WORK?
  170.  
  171.     You must customize the program with your name and company before any
  172.     configuration changes can be made from the command line.
  173.