$Id: MemScan.txt,v 1.42 2018/12/29 13:30:20 ralph Exp $
// atom:set fileencoding=windows1252 fileformat=dos filetype=plain tabstop=2 expandtab:


     __  __                ____                     ______   ___  ____
    |  \/  | ___ _ __ ___ / ___|  ___ __ _ _ __    / /  _ \ / _ \/ ___|
    | |\/| |/ _ \ '_ ` _ \\___ \ / __/ _` | '_ \  / /| | | | | | \___ \
    | |  | |  __/ | | | | |___) | (_| (_| | | | |/ / | |_| | |_| |___) |
    |_|  |_|\___|_| |_| |_|____/ \___\__,_|_| |_/_/  |____/ \___/|____/

                            (c) 16.10.1990-2019 by ROSE SWE, Ralph Roth


Hint: The complete documentation for MemScan in English can be found in the
document "MemScan_Eng.txt!"

Regelbasierendes, universelles Virensuchprogramm fr den Arbeitsspeicher. Es
ist nicht auf bekannte Boot- und DOS Viren beschrnkt!


Funktion von MemScan
--------------------

  MemScan untersucht Ihren Arbeitsspeicher auf speicherresidente MS-DOS
  Computerviren.  Falls Sie hierzu Fragen haben, lesen Sie die Dateien
  VIRSCAN.DOC & VIRSCAN.TXT durch (falls vorhanden).

  MemScan kann auch das "UPPER" Memory (UMB = Speicher oberhalb von 640 KB bis
  zu 1MB) und den HMA (High Memory Area = 1088 KB) Bereich untersuchen.
  MemScan bentigt fr die Virenerkennungen und Hashtabellen insgesamt ca.
  450 KB freien DOS Arbeitsspeicher!  MemScans Arbeitsspeicherbedarf wurde
  speziell an Netzwerkumgebungen angepasst und luft deshalb auch mit nur 450
  KB freiem Speicher!

  MemScan findet -dank heuristischen Scannen- unbekannte Viren (Option /UNB).
  MemScan meldet solche Viren i.  A.  mit einer der folgenden Meldungen:

              Execution - Funktion [EXEC]   oder
              Generic File Open [FOpen]     oder
              Memory Control Blocks [MCB]   oder
              Generic ExeHeader.????-????   oder
              Generic Bootvirus [BOOT]        (und weitere...)

  Bei Meldung einer dieser zwei Viren bitte ich um Zusendung einer infizierten
  Datei, um den Virus zu klassifizieren zu knnen (wenn VirScan mit der Option
  /HEUR in Dateien den gleichen Virustyp anzeigt) und um ihn in MemScan
  aufnehmen zu knnen!  Versuchen Sie den Virus die beigefgten "Opferdateien"
  INFECTME.* infizieren zu lassen!

  Hinweis: MS-DOS 6.xx und Novell DOS 7.0 erzeugen einen Fehlalarm bei der
  Option /UNB in Verbindung mit der Option /HIGH.

  Meistens wird ein Generic Exec Virus im Segment Fxxx:xxxx gemeldet, welches
  jedoch der hoch geladene COMMAND.COM belegt.


MemScan warum?
--------------

  MemScan wird von uns intern verwendet, um neue Viren schnell und sicher in
  VirScan aufzunehmen.  Anwender haben uns jedoch laufend nach einem Programm
  gefragt, dass NUR den Arbeitsspeicher untersucht.  Aus diesem Grund wurde
  MemScan der ffentlichkeit zugnglich gemacht.


 Wahlweise Aufrufparameter:
 --------------------------

    /?                Kurze Hilfestellung ausgeben
    /HIGH             Hohen Arbeitsspeicher (bis 1 MB) auch durchsuchen.
    /IVT              Interrupt Virentest, siehe auch VIRSCAN.DOC
    /NOLIVEBAIT       bergehe den Live Bait Test
    /NOMEM            bergehe den kompletten "Quick Memory Check"
    /NOPATHCOMPANION  bergehe den Path Companion Test
    /UNB /UNK         Nach neuen unbekannten Viren suchen.
                      Keinen Hinweis zu Parameter ausgeben
                      (Guru-Option).
    /AKTION           Hinweis zur Virussonderaktion anzeigen.

  Weitere Parameter siehe Option /?  (-> MemScan /?)

  Option /UNB
  -----------

  Diese Option ist nur fr den Ernstfall gedacht!  Diese Funktion erzeugt
  IMMER Fehlalarme!  Sie dient mir zum Katalogisieren von bekannten und neuen
  Viren!  Fast jeder neue Virus kann mit MemScan gefunden werden!


  Option /IVT
  -----------

  Mit dem Parameter /IVT kann der Arbeitsspeicher nach ca.  150 der
  bekanntesten DOS Viren untersucht werden (veraltet, kaum noch verbreitet).
  Dies erfolgt mit sogenannten "Am I there" Aufrufen, die in
  Sekundenbruchteilen durchgefhrt sind (im Vergleich zum langsamen
  Untersuchen des Arbeitsspeichers).  Der Arbeitsspeicher wird hierbei u.a.
  auf folgende Viren untersucht:

        -  Jerusalem und verwandte Viren (mind. 48 Varianten)
             -  Frere Jaque
             -  Fu Manchu
        -  Tequila (Tarnkappen/Stealth-Virus)
        -  Yankee Doodle/Vacsina (45 Varianten)
        -  Cascade und Yap (14 Varianten)
        -  Flip/Omicrone (6 Varianten/Substealth-Virus)
        -  Parity Check (4 Varianten, Bootvirus)
        -  dBase
        -  Plastique (AntiCad,  Invader, Tobacco, 4.21, 5.21 und
           Cobol)
        -  Tremor (Tarnkappenvirus)
        -  Hare

  Bei Erkennung des Virus wird der Benutzer darber informiert.

  Sie sollten diese Option nicht verwenden, wenn Sie Novell Netware
  installiert haben, weil es zu berschneidungen der Interrupt aufrufe kommt.
  Diese Funktion wurde ursprnglich automatisch durchgefhrt, es hat sich
  jedoch herausgestellt, dass die sogenannten "Am I there" Aufrufe nicht 100%
  kompatibel mit verschiedenen Betriebssystemen und Konfigurationen sind.
  Falls es also zu ungewhnlichen Seiteneffekten kommt, so knnte es an dieser
  Option liegen.  Diese Option untersucht -falls vorhanden- auch den hohen
  Arbeitsspeicher (HMA) auf Viren.


 Hinweise zur Parametereingabe
 -----------------------------

  Anwender, welche die amerikanische bzw. nach Linuxart Parametereingabe mit
  dem Minuszeichen gewohnt sind, knnen statt den Slashzeichen ('/') das
  Minuszeichen ('-') verwenden.

  Beispielsweise ist -ivt quivalent mit /Ivt

  Hinweis: Zwischen den einzelnen Parametern muss mindestens ein Leerzeichen
  vorhanden sein!


 Die Umgebungsvariable MemScan
 ----------------------------

  Statt MemScan immer mit Parametern aufzurufen, kann MemScan mit einer
  sogenannten Environment Variable (Umgebungsvariable) gesteuert werden. Geben
  Sie beispielsweise am DOS-Prompt folgendes ein:

                      SET MEMSCAN=/unb -high -ivt

  Wenn Sie nun MemScan starten, liest MemScan aus der Variable alle
  bentigen Parameter aus.


 Zurcksetzen von vor eingestellten Werten
 -----------------------------------------

  Manchmal ist es wnschenswert, schon fest (also per SET MEMSCAN=...)
  eingestellte Optionen wieder rckgngig zu machen.  Dies erfolgt einfach
  durch Angabe eines Minuszeichens nach der Option.  Damit wird die Option
  ausgeschaltet!

  Beispielsweise haben Sie folgendes eingeben:

                           SET MEMSCAN=/high

  Dann starten Sie MemScan mit folgendem Parameter:

                             MemScan /high-


 Fehlalarme von MemScan
 ----------------------

  MemScan entdeckt mit der Option /UNB ca.  98% ALLER neuer speicherresidenten
  Viren, jedoch ist diese Option nur fr absolute Virengurus zu empfehlen.
  TIPP: Bei einem Virusverdacht VirScan Plus mit folgenden Parametern starten:

                          Virscan -auto -heur -log

  Findet VirScan Plus jetzt in mehreren EXE/COM den gleiche Virus wie MemScan:
  Neuer Virus!  Findet VirScan in vielen COM/EXE einen anderen Virus, z.B.:
  Crypt/FamZ, dann ist es ein neuer VERSCHLSSELTER Virus! In diesen Fllen
  bitte eine Diskette mit diesen infizierte Dateien zusenden!  Hinweis: Die
  Option /HEUR ist nur in der Vollversion von VSP enthalten!

 Program Return Values
 ---------------------

 Siehe Englische Anleitung!


 Der Integrierte Virenschutz
 ---------------------------

  Das Programm enthlt einen integrierten Checksummentester, um einen
  mglichen Virenbefall gleich anzeigen zu knnen.  Die zum Programm gehrige
  Checksumme befindet sich in der Datei mit der Endung "XXX".

  Diese in der Datei befindliche Checksumme sowie das Hauptprogramm drfen auf
  keinen Fall verndert bzw.  modifiziert werden!  Das Hauptprogramm nimmt
  sonst an, es sei eventuell von einem Virus befallen worden (dem Programm
  noch unbekannter Virus)!

  Folgende Merkmale der EXE-Datei werden berwacht und auf Vernderungen
  berprft:

   Checksumme - Wird auch nur ein Bit des Programms vom Virus verndert, so
  stimmt die Checksumme nicht mehr (eigene sichere Routine, nach ANSI X3.66 -
  CRC-Polynom ist: 0xDEBB20E3).

   Dateilnge - Wird ein Programm ber Nacht um ein oder zwei KB lnger,
  ist es infiziert!

  Ich rate ab, irgendwelche nderungen an der EXE & XXX-Datei durchzufhren,
  da dann das Programm mit Sicherheit nicht mehr luft! Die Datei mit der
  Endung "XXX" enthlt auch die aktuelle Version, wie viel verschiedene Viren
  vom Checksummentester erkannt werden knnen. Das Testen der Checksumme nimmt
  ca.  1-2 Sekunden Zeit in Anspruch (je nach Rechnertyp und Laufwerk).
  Meiner Ansicht nach ein vertretbarer Aufwand!  Ist die Checksumme in
  Ordnung, wird das Programm ausgefhrt. Andernfalls wird eine ausfhrliche
  Fehlermeldung mit Hinweisen auf mgliche Fehlerquellen ausgegeben.


Sonstiges
---------

  Wenn Sie die Vollversionen meiner Antivirensoftware erwerben wollen, so
  starten Sie bitte das Programm REGISTER.COM und ein Bestellschein wird
  ausgedruckt.

  brigens ist MemScan von 380 KB auf z.  Z.  85 KB EXE + 180 KB Overlay
  komprimiert!


Was ist neu?
------------


   Version          nderungen
  #######################################################################

   3.00             Teile von MemScan wurden in die Overlay-
                    Datei MEMSCAN.OVR ausgelagert, deshalb
                    bentigt MemScan jetzt 50 KB weniger
                    Arbeitsspeicher. Checksummentester hinzugefgt.
   3.10             Erweiterter 'Am I There' Virentest.
   3.17             Wartet jetzt nicht mehr auf Tastendruck,
                    wenn KEIN Virus gefunden wurde!
   3.33             Anzahl von erkannten Viren ca. 3.000 Stck!
   3.36             Den Paket liegt jetzt auch HMS.COM bei.
   3.50             Live Bait Test um unbekannte Dateiviren zu
                    erkennen.
   3.53             Neue ChkPC Version (Hare & Boot-437)
   3.55             50 neue Viren, u.a. CriCri & Grief.
   3.98             4180 Viren. QMS, TestBoot & HMS wurden
                    erheblich erweitert. Der LiveBait Test
                    wurde erheblich verbessert.

   4.xx             Neue Viren.

   5.0.1            Komplett berarbeitet Version. Programmfhrung
                    in Englischer Sprache!
   5.1.0            Stealth Live Goat Test hinzugefgt.
   5.6              /NOPATHCOMPANION, /NOLIVEBAIT
   5.7              /NoMem
   6.0              Win32 Live Bait Test
   6.2.7            /NoWin32Test, /NoStealthTest, Doku berarbeitet
   6.3.1            Englische Dokumentation
   6.5.5            /NoHMA verbessert, Probleme mit HMA/A20 Gate behoben
   6.7              Kommandozeile wird ausgegeben
   9.5.5            An DosEMU (Linux) angepasst
   10.4             Dokumentation angepasst/erweitert (12/2018)



BANNERWARE von ROSE
-------------------

  Dieses Programm darf frei kopiert und weitergegeben werden.  Es handelt sich
  hier um sog.  Bannerware, d.h.  ich lege nur Wert darauf, das folgende
  Vereinbarungen eingehalten werden:

      * das Copyright liegt bei ROSE SWE, Ralph Roth (sog. BANNER)
      * ein Verkauf und/oder gewerbliche Weitergabe der Programme ist
        verboten. Keine kommerzielle Weitergabe ohne unseres
        schriftliches Einverstndnis!
      * die Programme MSSEN kostenlos bzw. gegen eine kleine Kopiergebhr
        (Sharewarehndler) weitergegeben werden (max. Euro 10).
      * keine Haftung fr jegliche denkbare Fehler!
      * die Programme/Dokumentationen drfen nicht verndert werden!
      * das Programmpaket muss komplett und unverndert weitergegeben
        werden!

  Wer  diese  Bestimmungen  nicht  einhlt  begeht  unter  Umstnden  eine
  (C)opyrightverletzung und macht sich eventuell strafbar! ;-)))



(C)opyright by (ALL RIGHTS RESERVED!)


__________ ________    ____________________   ___________      _____________
\______   \\_____  \  /   _____/\_   _____/  /   _____/  \    /  \_   _____/
 |       _/ /   |   \ \_____  \  |    __)_   \_____  \\   \/\/   /|    __)_
 |    |   \/    |    \/        \ |        \  /        \\        / |        \
 |____|_  /\_______  /_______  //_______  / /_______  / \__/\  / /_______  /
        \/         \/        \/         \/          \/       \/          \/

 -------------------------------------=-----------------------------------
     ROSE SWE                           See ROSEBBS.TXT for
     Dipl.-Ing. Ralph Roth              full address, FAX and PGP keys.
     http://rose.rult.at
     rose_swe@hotmail.com               All Rights Reserved!
 -------------------------------------=-----------------------------------





FAQ/Tipps (Deutsch)
------------------

Ein Tipp noch, wie Sie vielleicht einen Datei-/Bootvirus erkennen knnen:

1.) MemScan -unb -high
2.) qms -unb
3.) testboot.exe als letzten Befehl in die Autoexec.bat einbinden
4.) rhbvs -auto -log -all -high
