-----BEGIN PGP SIGNED MESSAGE-----

Lukas-Fabian Moser                                      Tel:  08161-67625
Abelestrae 2                                           Fax:  08161-67629
85354 Freising                                          Fido: 2:2489/8849.15

                     --------ͻ
                         R   e   s   c   u   e    
                     --------ͼ(c)

                  (c) 1996-97 by Lukas-Fabian Moser, VHM
                               Version 1.2
  


                             H A N D B U C H
 
1.  Was ist Rescue? .....................................................
2.  Systemanforderungen .................................................
3.  Erstellen einer Notdiskette .........................................
    3.1. Kommandozeilenparameter ........................................
4.  Der Notfall .........................................................
    4.1. Benutzung der Rescue-Diskette ..................................
    4.2. Ein Trick bei Stealth-Viren ....................................
5.  Bezugsquellen und Registrierung .....................................
6.  Oft gestellte Fragen (FAQ) ..........................................
    6.1. Was ist aus Rescinfo geworden? .................................
    6.2. Rechner hngt sich beim Antistealth-Zugriff auf ................
7.  Danksagung ..........................................................

1. Was ist Rescue?

      Rescue ist  ein  Virenschutz fr  den Notfall  und ein  Entferner fr
      Bootsektor-  und  Partitionsviren.  Auerdem wird  das CMOS-Setup des
      Rechners fr den Notfall gespeichert.  Dazu wird eine Notfalldiskette
      angelegt, von der man bei Virenbefall booten und beschdigte Bereiche
      wiederherstellen kann.

      Im Idealfall kann so der  Originalzustand vor der Infektion mit einem
      Virus komplett wiederhergestellt werden - wenn Sie die Diskette ange-
      legt haben, als der Rechner noch virenfrei war (Ausnahmen dazu spter
      in Kapitel 5.2).

2. Systemanforderungen

      Rescue bentigt  mindestens einen  80286-Prozessor, eine CGA-Graphik-
      karte und MS-DOS oder  kompatibel ab Version 3.2. Fr die Notdiskette
      brauchen Sie eine MS-DOS-formatierte 3,5" oder 5,25"-Diskette, die in
      das Laufwerk A: pat.

3. Erstellen einer Notdiskette

      Nachdem Sie  die Diskette  (s. Abschnitt 2) ins  Laufwerk A eingelegt 
      haben,  wechseln Sie ins Rescue-Verzeichnis und tippen 'RESCUE' (Kom-
      mandozeilenparameter siehe Abschnitt 3.1).

      Nun werden die  Daten auf die Diskette geschrieben.  Wenn alles funk-
      tioniert hat,  testet Rescue die Daten auf der Diskette - dies  dient
      dazu, Unglcksflle wie  das Wiederherstellen von einer defekten Dis-
      kette zu vermeiden.  Wollen Sie die Diskette spter noch einmal ber-
      prfen, knnen Sie dazu den Parameter /CHECK benutzen.

      Meldet Rescue  beim Erstellen einen Fehler  oder bei der  berprfung
      "Different", so  kann die Diskette nicht als  Rettungsdiskette einge-
      setzt werden! Versuchen Sie zuerst, eine andere Diskette zu benutzen;
      sollte es berhaupt nicht klappen, melden Sie sich bei mir.

   3.1. Kommandozeilenparameter

      /ABOUT    Eine Liste der  Personen, die mir  bei der Entwicklung  des
                Programms geholfen  haben,  und einige andere Informationen
                werden angezeigt.

      /CHECK    Es wird keine neue Diskette erstellt, sondern nur eine alte
                berprft (wie es Rescue  nach dem Erstellen einer Diskette
                auch tut).

      /NOAS     Der Antistealth-Zugriff wird abgeschaltet (s. Kapitel 3.2).

      /NOCMOS   Verhindert, da  das CMOS-Setup des  Computers auf Diskette
                gespeichert wird, es kann dann auch nicht wiederhergestellt
                werden.  Verwenden Sie diesen  Parameter, wenn  Rescue beim
                Lesen des CMOS "Fehler" meldet.

      /NOHDDAS  Der Antistealth-Zugriff  fr die Festplatte wird abgeschal-
                tet, fr Disketten  jedoch weiterhin benutzt.  Das wird be-
                ntigt,  falls SVS von  Stefan Kurtzhals resident ist, oder
                wenn man  den Trick aus  Abschnitt 5.2. anwenden will.  Fr 
                genauere  Informationen  siehe  "3.2.  Der  Antistealth-Zu-
                griff".

      /?        Damit wird eine kurze Hilfe eingeblendet.

   3.2. Der Antistealth-Zugriff

      Rescue versucht mit  einem besonderen Trick, residente Programme, Vi-
      ren usw. beim Erstellen der Diskette zu umgehen. Der Hauptgrund dafr
      sind einige  Festplattentreiber, die  sich selber - wie  einige Viren
      auch - verbergen.  Wrde  nun nicht der  richtige Festplattentreiber,
      sondern  der vorgespiegelte Sektor  auf die Diskette geschrieben wer-
      den, so  wrde beim Wiederherstellen  des MBRs der Festplattentreiber
      berschrieben  und die Daten  auf der  Festplatte wahrscheinlich  un-
      brauchbar gemacht.

      Beim Programmstart berprft Rescue mittels des Antistealth-Zugriffs,
      ob ein Virus aktiv ist, der sich im MBR aufhlt, aber vor dem Zugriff
      durch Antivirensoftware verbirgt.  Meldet Rescue "Stealth-Routine ak-
      tiv", so  kann das entweder ein Treiber wie  EZDrive oder der Ontrack
      Disk Manager  sein,  oder ein Virus.  Im ersten Fall  mssen Sie  den
      Antistealth-Zugriff unbedingt aktiv lassen,  im zweiten Fall  sollten
      Sie ihn abstellen (siehe Abschnitt 5.2).

      Leider ist der Antistealth-Zugriff, da er sehr systemnah programmiert
      wurde, nicht mit jeder  Art von Software oder Computer kompatibel. In
      diesem Fall schalten Sie ihn einfach mit dem Parameter /NOAS aus.

      Das Programm SVS von Stefan Kurtzhals bietet die Mglichkeit, direkte
      Festplattenzugriffe  ber das BIOS unmglich zu machen.  Das betrifft
      leider auch Rescue (es meldet dann beim Stealth-Test und beim Sichern
      des  Partitionssektors  einen Fehler), daher  mu der Antistealth-Zu-
      griff fr  die Festplatte  abgeschaltet  werden (Parameter /NOHDDAS).

4. Der Notfall
   4.1. Benutzung der Rescue-Diskette

      Ĵ ACHTUNG! Ŀ
                                                                         
       Bei Viren, die Teile der Festplatte verschlsseln (z.B. One_Half, 
       Neuroquila u.a.), darf die Rescue-Reinigung auf keinen Fall ange- 
       wendet werden!                                                    
                                                                         
      

      Schalten Sie den Rechner aus, legen Sie die Rescue-Diskette ins Lauf-
      werk A, und schalten  Sie den Computer wieder an.  Nun mte  auf dem
      Bildschirm ein Men erscheinen, das etwa folgendermaen aussieht:
   
        Men:
          S    Sektoren wiederherstellen
          C    CMOS wiederherstellen
          Q    Beenden und von Platte booten
         ESC   Beenden und Rechner neu booten

      Sie haben nun folgende Auswahlmglichkeiten:
        S Nach einer Sicherheitsabfrage werden Partitions- und Bootsektoren
          der ersten  Festplatte  wiederhergestellt  und zum Men zurckge-
          kehrt.
        C Nach einem  'Sind Sie sicher?' wird  das CMOS-Setup des Computers
          wiederhergestellt.  Diese Option  ist nicht verfgbar,  wenn  Sie
          beim Erstellen der Diskette den Parameter /NOCMOS (siehe 3.1) an-
          gegeben haben!
        Q Rescue wird beendet, und der Computer startet von der Festplatte.
      ESC Der Rechner startet  komplett neu.  Um von der Festplatte starten
          zu knnen, mssen Sie die Diskette aus dem Laufwerk nehmen.
    
   4.2. Ein Trick bei Stealth-Viren

      Stealth-Viren sind  eine besondere Spezies: Sie knnen sich, wenn sie
      aktiv im  Speicher  sind, vor  Virenscannern und  anderen  Programmen
      'verstecken'. Dazu kontrollieren sie, ob der Sektor, der gerade gele-
      sen werden soll, infiziert ist  und liefern, wenn ja, stattdessen die
      ursprngliche, saubere Kopie zurck.

      Wenn Sie nun, wenn ein Stealth-Virus aktiv ist,  eine Rescue-Diskette
      erstellen, liefert  der Virus Rescue den  sauberen Ur-Sektor  zurck,
      der dann auf Diskette gespeichert wird. Dazu mu allerdings der Anti-
      stealth-Zugriff  von Rescue mit  dem Parameter  /NOHDDAS abgeschaltet
      werden - ein  idealer Parameter hierfr,  da der saubere  MBR gelesen
      wird, der Virus aber vom Schreiben auf die Diskette nichts mitbekommt
      und sie auch nicht  infizieren kann. Das  bringt freilich  nur etwas,
      wenn die Diskette nach Rescue sofort aus dem Laufwerk entfernt wird!
      Wenn Sie dann  neu booten  und die  Sektoren von der  Rescue-Diskette
      wiederherstellen,  wird der  saubere  Sektor auf die  Festplatte  ge-
      schrieben, und der Virus ist entfernt.

      Diese Technik funktioniert z.B. beim  weitverbreiteten Parity_Boot.B-
      Virus.

5. Bezugsquellen und Registrierung

      Die neue Version von Rescue und viele andere  empfehlenswerte Antivi-
      rensoftware finden Sie immer

       im WWW unter http://members.aol.com/rlink/pub/html/rescue.htm
       per FTP bei ftp://members.aol.com/rlink/pub/progs/rescue12.zip
       per Filerequest bei 2:2480/8849 (ISDN und analog), RESCU???.ZIP
       in der  Virus Help Munich-Mailbox  (08638-881108, ISDN und  analog)
        im Dateibereich 'Deutsche AV-Programme'

      Wenn Rescue auch auf Ihrer Homepage, in Ihrer Mailbox usw. verffent-
      licht werden werden soll,  schreiben Sie mir bitte eine Mail, Sie er-
      halten dann immer  die neuesten Updates.  Bedingung ist nur,  da Sie
      die Originalarchive ohne BBS-Addies usw. anbieten.

      Rescue selbst ist Mailware, d.h., wer es einsetzt, mu mir eine Mail,
      einen Brief oder eine Postkarte schicken. Das ist keine Schikane, je-
      der, der  schon einmal programmiert  hat, wei, wie  frustrierend  es
      ist, keinerlei  Feedback fr die Arbeit zu bekommen, die man sich ge-
      macht hat.

6. Oft gestellte Fragen (FAQ)

   6.1. Was ist aus Rescinfo geworden?

      Rescinfo war bei Rescue v1.13 dabei  und berprfte, ob eine  Rescue-
      Diskette noch aktuell war.  Diese Funktion bernimmt jetzt die Option
      tion RESCUE /CHECK.

   6.2. Rechner hngt sich beim Antistealth-Zugriff auf

      Der Antistealth-Zugriff  ist sehr systemnah programmiert und kann da-
      her mit einigen Konfigurationen  nicht funktionieren. Sie sollten mir
      mitteilen, ob  Sie irgendwelche Treiber  wie "EZDrive" benutzen,  die
      vor DOS  geladen werden,  und bis  zur Fehlerkorrektur  den Parameter
      /NOAS von Rescue benutzen.

7. Danksagung

      Ich bedanke mich  bei allen Leuten, die  mich bei der Entwicklung von
      Rescue untersttzt haben.  Eine genaue Liste kann sich, wer will, mit
      RESCUE /ABOUT anzeigen lassen.

      Besonderen Dank  an meinen  bisher einzigen  Betatester: Rainer Link,
      der es immer  wieder  geschafft hat, mich  mit neuen Ideen  dem Wahn-
      sinn noch nher zu bringen :-), und der auf seiner WWW-Homepage immer
      die aktuelle Version anbietet.

      Vor allem  aber bedanke ich  mich bei Martin Rsler, ohne  den Rescue
      garantiert nie entstanden wre.

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850

iQEVAgUBM0cJINUW69rblYr1AQH8Igf/b7Us6G52/xC0HxyTzxReSzimJJblF/dI
L5l2Uh3FKN0Eu29QR8CMQGBa0uePv+J3+5zjUDYJPPl1zjeW2NQt6umFKMQFH006
nycLDT/JW++fDbtmMMXFnJndRSHHYXXwovINGJ/mkQaXF+j4iLVJv/KNxbvDIlST
LEpLLIXSM5xvXxdeSYwXmF00gqNfDSHpFW2yZRH/TYHV4gqfhzWFZDqX6s0RPw43
lpB32nXm0mUOG7kboFjEoyMqqTBLAEWzizrj8vCdUwxOw/uEWoHGv05q9sY7f5qX
VlfNNFvf+JS6EMpGq7xc+k5TdGjBOo0LKnfbLkweUhAm7l9H8ETFzg==
=ZJnF
-----END PGP SIGNATURE-----
