home *** CD-ROM | disk | FTP | other *** search
/ Gold Medal Software 3 / Gold Medal Software - Volume 3 (Gold Medal) (1994).iso / virus / osc115b.arj / OSCN115.DOC < prev    next >
Text File  |  1994-05-16  |  44KB  |  1,157 lines

  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.  
  8.  
  9.  
  10.  
  11.  
  12.  
  13.  
  14.  
  15.  
  16.  
  17.  
  18.                       OS2SCAN FOR OS/2 Version 9.27V115 B
  19.                 Copyright (C) 1989 - 1994 by McAfee Associates
  20.                              All rights reserved.
  21.  
  22.                        Documentation by Aryeh Goretsky.
  23.  
  24.  
  25.  
  26.  
  27.  
  28.  
  29.  
  30.  
  31.  
  32.  
  33.  
  34.  
  35.  
  36.  
  37.  
  38.  
  39.  
  40.  
  41.  
  42.  
  43.  
  44.  
  45.  
  46.  
  47.           McAfee Associates                (408) 988-3832 office
  48.           3350 Scott Blvd, Bldg. 14        (408) 970-9727 fax
  49.           Santa Clara, CA  95054           (408) 988-4004 BBS (25 lines)
  50.           U.S.A.                           USR HST/v.32/v.42bis/MNP1-5
  51.                                            CompuServe        GO MCAFEE
  52.                                            InterNet support@mcafee.COM
  53.                                            America OnLine       MCAFEE
  54.  
  55.  
  56.  
  57.  
  58.                               TABLE OF CONTENTS:
  59.  
  60.  
  61.           WHAT'S NEW . . . . . . . . . . . . . . . . . . . . . . . . . .2
  62.             - New features added in this release
  63.             - System Requirements
  64.  
  65.           OVERVIEW . . . . . . . . . . . . . . . . . . . . . . . . . . .3
  66.             - Detection of known viruses
  67.             - Detection of new and unknown viruses
  68.  
  69.           AUTHENTICITY . . . . . . . . . . . . . . . . . . . . . . . . .5
  70.             - How to verify the OS2SCAN.EXE program file
  71.  
  72.           COMMAND SUMMARY. . . . . . . . . . . . . . . . . . . . . . . .6
  73.             - One-line description of switches
  74.  
  75.           OPTIONS. . . . . . . . . . . . . . . . . . . . . . . . . . . .8
  76.             - Detailed explanation of switches
  77.  
  78.           EXIT CODES . . . . . . . . . . . . . . . . . . . . . . . . . .13
  79.             - ERRORLEVEL's returned by OS2SCAN for REXX scripts
  80.  
  81.           EXAMPLES . . . . . . . . . . . . . . . . . . . . . . . . . . .14
  82.             - Samples of frequently-used options
  83.  
  84.           VIRUS REMOVAL. . . . . . . . . . . . . . . . . . . . . . . . .15
  85.             - How to manually remove a virus
  86.  
  87.           REGISTRATION . . . . . . . . . . . . . . . . . . . . . . . . .16
  88.             - How to register OS2SCAN
  89.  
  90.           TECHNICAL SUPPORT INFORMATION  . . . . . . . . . . . . . . . .17
  91.            - Information you should have ready when calling
  92.  
  93.           OBTAINING THE LATEST VERSION OF OS2SCAN. . . . . . . . . . . .18
  94.            - BBS, CompuServe, and Internet access to OS2SCAN
  95.  
  96.           APPENDIX A . . . . . . . . . . . . . . . . . . . . . . . . . .19
  97.            - Creating a virus string file with the /EXT option
  98.  
  99.  
  100.  
  101.  
  102.  
  103.  
  104.  
  105.  
  106.  
  107.  
  108.                                     Page 1
  109.  
  110. OS2SCAN FOR OS/2 Version 9.27V115 B                         Page 2
  111.  
  112.  
  113.           WHAT'S NEW
  114.  
  115.                This is version 9.27V115 B of VIRUSCAN (OS2SCAN.EXE).
  116.           This release adds detection of 12 new virus and 5 variants,
  117.           bringing the total number of known viruses to 1,902 or
  118.           counting variants, 2,864 viruses. (if also fixes a false alarm
  119.           reported soon after the 115 release with BUDO virus)
  120.  
  121.                Beginning with Version 111, McAfee Associates' will be
  122.           using PKZIP Version 2.04g to archive programs.
  123.  
  124.  
  125.           Like it's DOS-based counterpart, VIRUSCAN (for DOS), OS2SCAN
  126.           searches PC's for computer viruses in memory, the master boot
  127.           record (partition table), boot sector, and files.  However,
  128.           OS2SCAN contains several important differences:
  129.  
  130.           ·     Since OS/2 operates in a protected mode environment it can
  131.                 only check its own area of memory or "memory image" for
  132.                 viruses.  Viruses in a DOS session or VDM will not be
  133.                 detected in memory by OS2SCAN.  To protect against viruses
  134.                 in a DOS session or VDM, use the VSHIELD (for DOS) virus
  135.                 prevention TSR.
  136.  
  137.           ·     OS2SCAN does not have the /CHKHI, /M, /MAINT, /NOMEM,
  138.                 or /UNATTEND switches that VIRUSCAN does.
  139.  
  140.           ·     The /SAVE switch does not modify the OS2SCAN.EXE file.
  141.                 Instead, it creates an OS2SCAN.INI file.
  142.  
  143.  
  144.  
  145.  
  146.  
  147.  
  148.  
  149.  
  150.  
  151.  
  152.  
  153.  
  154.  
  155.  
  156.  
  157.  
  158.  
  159.  
  160.  
  161.  
  162.  
  163.  
  164.  
  165.  
  166. OS2SCAN FOR OS/2 Version 9.27V115 B                         Page 3
  167.  
  168.  
  169.           SYSTEM REQUIREMENTS
  170.  
  171.                OS2SCAN requires IBM OS/2 Version 2.00(GA) or above.  Use
  172.           the SYSLEVEL command to determine what version of OS/2 you are
  173.           running.
  174.  
  175.                OS2SCAN is designed to check PC's and file servers for
  176.           viruses and is compatible with all network operating systems
  177.           including 3Com, Artisoft LanTastic, AT&T StarLAN, DEC Pathworks
  178.           IBM LAN Server, Microsoft LAN Manager, and Novell NetWare.
  179.           Contact McAfee Associates if you do not see your NOS listed.
  180.           If you have a Novell NetWare/386 server, you may wish to use
  181.           the NETSHIELD NetWare Loadable Module for virus prevention in
  182.           conjunction with OS2SCAN.
  183.  
  184.           NOTE:  WRITE-PROTECT THE FLOPPY DISK CONTAINING THE OS2SCAN FOR
  185.                  OS/2 (OS2SCAN.EXE) PROGRAM BEFORE SCANNING TO PREVENT IT
  186.                  FROM BECOMING INFECTED BY A COMPUTER VIRUS.
  187.  
  188.  
  189.           OVERVIEW (Known Virus Detection)
  190.  
  191.                OS2SCAN FOR OS/2 Version 9.27V115 B (filename OS2SCAN.EXE)
  192.           identifies all 1,902 known computer viruses and their variants.
  193.           Some viruses have been modified so that more than one "strain"
  194.           exists.  Counting such modifications, 2,864 viruses exist.
  195.                                                    
  196.                All known viruses infect one or more of the following
  197.           areas: the hard disk partition table (alias Master Boot Record);
  198.           the Boot Sector of disks; or one or more executable files on
  199.           the system.  Executable files include operating system files,
  200.           .COM files, .EXE files, overlay files, or any other files
  201.           containing program code.  A virus that infects more than one
  202.           area, such as a boot sector and an executable file is called
  203.           a multipartite virus.
  204.  
  205.                OS2SCAN checks files, subdirectories, diskettes or entire
  206.           systems for pre-existing computer virus infections.  It will
  207.           identify the virus infecting the system and the area where it
  208.           was found, giving the name of the virus as well as the I.D.
  209.           code used with CLEAN-UP to remove it.
  210.  
  211.                Infected files can be removed using the /D switch in OS2SCAN
  212.           to erase the file, or with the CLEAN-UP universal virus removal
  213.           (disinfection) program.  CLEAN-UP is recommended because in most
  214.           cases it will eliminate the virus and fully restore infected
  215.           programs or system areas to normal operation.  CLEAN-UP is
  216.           available in both DOS and OS/2 versions.
  217.  
  218.                The accompanying VIRLIST.TXT file lists describes all
  219.           viruses identified by OS2SCAN and their associated I.D. codes
  220.           for removal by CLEAN-UP.
  221. OS2SCAN FOR OS/2 Version 9.27V115 B                         Page 4
  222.  
  223.  
  224.           OVERVIEW (Unknown Virus Detection)
  225.  
  226.               OS2SCAN checks for new or unknown viruses by comparing
  227.           files against previously-recorded validation (checksum) data.
  228.           OS2SCAN has two levels of validation which are stored in three
  229.           separate ways:
  230.  
  231.           ·     A simple 10-byte long validation checksum may be appended
  232.                 to .COM and .EXE files.  If a file has been modified, it
  233.                 no longer matches the checksum and OS2SCAN reports the
  234.                 file may be infected.  (/AV, /CV, /RV switches)
  235.  
  236.           ·     An enhanced 52-byte validation and recovery data checksum
  237.                 can also be created.  This can be appended to the end of
  238.                 files like the 10-byte checksum, or stored in a separate
  239.                 log file which can be offline (e.g., on floppies) for
  240.                 recovery purposes.  CLEAN-UP can restore infected files,
  241.                 partition tables, or boot sectors using this information.
  242.                 (/AG, /CG, /RG switches and /AF, /CF, /RF switches)
  243.  
  244.           NOTE:  OS2SCAN does NOT add codes to the partition table, boot
  245.                  sector, or system files.  Instead, a separate hidden file
  246.                  will be created in the root directory named SCANVAL.VAL
  247.                  containing data for these areas.
  248.  
  249.           NOTE:  Files which are self-checking (e.g., Lotus 1-2-3) should
  250.                  not be validated with the /AV (Add Validation) or /AG
  251.                  (Add Generic) switches which modify files.  Instead, use
  252.                  the /AF (Add File) switch.
  253.  
  254.                OS2SCAN also checks for new or unknown viruses by searching
  255.           for Generic or Family virus strings.  These are strings that
  256.           have been found repeatedly in different viruses.  Since virus
  257.           writers may use the older pieces of code for new viruses, this
  258.           allows OS2SCAN to detect viruses which have not been written yet.
  259.  
  260.                OS2SCAN can be updated to search for new viruses by an
  261.           External Virus Data File, which allows the user to input new
  262.           search strings for viruses. (/EXT switch)
  263.  
  264.  
  265.  
  266.  
  267.  
  268.  
  269.  
  270.  
  271.  
  272.  
  273.  
  274.  
  275.  
  276. OS2SCAN FOR OS/2 Version 9.27V115 B                         Page 5
  277.  
  278.  
  279.           AUTHENTICITY
  280.  
  281.                Before using OS2SCAN for the first time, verify that it has
  282.           not been tampered with or infected by a virus by using the
  283.           enclosed VALIDATE for OS/2 (OS2VAL.EXE) program.  For
  284.           instructions on using OS2VAL, please read the OS2VAL.DOC file.
  285.  
  286.                The validation results for Version 9.27V115 B should be:
  287.  
  288.                              FILE NAME: OS2SCAN.EXE
  289.                              SIZE: 241,488
  290.                              DATE: 5-16-1994
  291.               FILE AUTHENTICATION
  292.                    Check Method 1: E262
  293.                    Check Method 2: 1107
  294.  
  295.           NOTE:  If you run VALIDATE.COM for DOS against OS2SCAN.EXE, a
  296.                  different Check Method 1 value will be returned.  Do not
  297.                  use VALIDATE.COM to validate OS2SCAN.EXE
  298.  
  299.           If your copy of OS2SCAN differs, it may have been damaged.
  300.           Always obtain your copy of OS2SCAN from a known source.  The
  301.           latest version of OS2SCAN and validation data for OS2SCAN.EXE
  302.           can be obtained from McAfee Associates' bulletin board system
  303.           at (408) 988-4004 or from the McAfee Virus Help Forum on
  304.           CompuServe (GO MCAFEE), or the mcafee.COM anonymous ftp site
  305.           on the Internet.
  306.  
  307.                OS2SCAN performs a self-check when run.  If OS2SCAN has
  308.           been modified in any way, a warning will be displayed and the
  309.           user will be prompted to either continue or quit.  OS2SCAN can
  310.           still check for viruses.  However, if OS2SCAN reports that it
  311.           has been damaged, it is recommended that a new copy be obtained.
  312.  
  313.                All of McAfee Associates' programs are archived with
  314.           Version 2.04g of PKWare's PKZIP Authentic File Verification.
  315.           When unzipped with Version 2.04g of PKWare's PKUNZIP program,
  316.           an "-AV" will be displayed after each file is unzipped and an
  317.           "Authentic files Verified!   # FZW807  McAFEE ASSOCIATES" will
  318.           appear once all files are unzipped.
  319.  
  320.           NOTE:  If you do not receive the Authentic File Verification
  321.                  messages, you may be using a different version of
  322.                  PKUNZIP, such as V1.10 or V1.93A.  Use PKUNZIP Version
  323.                  2.04g to unzip files if you wish to have Authenticity
  324.                  Verification displayed as files are unzipped.
  325.  
  326.  
  327.  
  328.  
  329.  
  330.  
  331. OS2SCAN FOR OS/2 Version 9.27V115 B                         Page 6
  332.  
  333.  
  334.           COMMAND SUMMARY
  335.  
  336.           IMPORTANT NOTE:  WRITE PROTECT YOUR FLOPPY DISK BEFORE SCANNING
  337.                            TO PREVENT INFECTION OF THE OS2SCAN PROGRAM.
  338.  
  339.                OS2SCAN checks files and other areas of the system that
  340.           can contain a computer virus.  When a virus is found, OS2SCAN
  341.           identifies the virus and the file or system area where it was
  342.           found.
  343.                OS2SCAN examines files based on their extension.  The default
  344.           extensions supported by OS2SCAN are .APP, .BIN, .COM, .EXE,
  345.           .OV?, .PGM, .PIF, .PRG, .SWP, .SYS, and .XTP.  Additional
  346.           extensions can be added with the /E option, or use the /A to
  347.           check all files.
  348.  
  349.  
  350.           Valid options for OS2SCAN are:
  351.  
  352.                            OS2SCAN {drive(s)} {options}
  353.  
  354.           {drive(s)}       - Indicates a drive or drives to be scanned
  355.  
  356.           Options are:
  357.  
  358.           \                - Scan root directory and boot area only
  359.           /? /H or /HELP   - Displays help screen
  360.           /A               - Scan all files, including data, for viruses
  361.           /AD              - Scan all local drives for viruses
  362.           /AF {filename}   - Store recovery & validation data to {filename}
  363.           /AG {filename}   - Add recovery & validation data to files
  364.                               EXCEPT for those listed in {filename}
  365.           /AV {filename}   - Add validation codes to files EXCEPT for
  366.                               those listed in {filename}
  367.           /BELL            - Beep whenever a virus is found
  368.           /BMP             - Scan OS/2 Boot Manager Partition ONLY
  369.           /CERTIFY         - List files that do not have a validation code
  370.           /CF {filename}   - Check for viruses using recovery & validation
  371.                               data stored in {filename}
  372.           /CG              - Check recovery & validation data on files
  373.           /CV              - Check validation codes on files
  374.           /D               - Overwrite and delete infected files
  375.           /DATE            - Save the date and time OS2SCAN was last run
  376.                               (use /SHOWDATE to display)
  377.           /E .xxx .yyy     - Scan overlay extensions .XXX and .YYY
  378.           /EXT {filename}  - Scan using external virus data from {filename}
  379.           /FAST            - Speed up OS2SCAN's output
  380.                               (see below for specifics)
  381.           /HISTORY {fname} - Create infection log {fname} appending to old log
  382.  
  383.  
  384.  
  385.  
  386. OS2SCAN FOR OS/2 Version 9.27V115 B                         Page 7
  387.  
  388.  
  389.           /MANY            - Scan multiple disks
  390.           /NLZ             - Skip internal scan of LZEXE-compressed files
  391.                               (DOS executables only)
  392.           /NOBREAK         - Disable Ctrl-C and Ctrl-Brk during scanning
  393.           /NOEXPIRE        - Do not display expiration notice
  394.           /NOPAUSE         - Disable screen pause when scanning
  395.           /NPKL            - Skip internal scan of PKLITE-compressed files
  396.                               (DOS executables only)
  397.           /REPORT {fname}  - Create infection log {fname} deleting the old log
  398.           /RF filename     - Remove recovery & validation data stored
  399.           /RG              - Remove recovery & validation data from files
  400.           /RV              - Remove validation codes from specified files
  401.           /SAVE            - Save specified options as new default options
  402.           /SHOWDATE        - Display the date and time OS2SCAN was last run
  403.                               (use /DATE to save date and time)
  404.           /SUB             - Scan all subdirectories inside a subdirectory
  405.           @{filename}      - Scan using options from {filename}
  406.  
  407.  
  408.  
  409.  
  410.  
  411.  
  412.  
  413.  
  414.  
  415.  
  416.  
  417.  
  418.  
  419.  
  420.  
  421.  
  422.  
  423.  
  424.  
  425.  
  426.  
  427.  
  428.  
  429.  
  430.  
  431.  
  432.  
  433.  
  434.  
  435.  
  436.           *Denotes new option added in this release
  437.  
  438.  
  439.  
  440.  
  441. OS2SCAN FOR OS/2 Version 9.27V115 B                         Page 8
  442.  
  443.  
  444.           OPTIONS
  445.  
  446.                Following is a detailed description of OS2SCAN's options.
  447.           Please note the /AF and /AG switches modify executable files.
  448.           This may cause other anti-viral programs to generate a warning.
  449.  
  450.           /A - This option checks all files on the drive scanned and also
  451.           examines a greater portion of files.  This substantially
  452.           increases the time required to scan disks and also increases
  453.           OS2SCAN's ability to detect viruses in overlay files.  It is
  454.           recommended this switch only be used when installing software
  455.           or if a file-infecting virus has been found.  This option takes
  456.           priority over the /E option.
  457.  
  458.           /AD - This option scans all local hard disk drives for viruses.
  459.           No drives need to be listed when the /AD switch is used.
  460.  
  461.           NOTE:  If network drives exist, OS2SCAN will attempt to access
  462.                  them when run with the /AD switch and fail.
  463.  
  464.           /AF {filename} - This option logs recovery and validation
  465.           data for .COM and .EXE files, boot sector, and partition table
  466.           of a disk to a user-specified file.  The log file size is about
  467.           20Kb per 1,000 files validated.  Recovery from a virus using the
  468.           /AF information requires the CLEAN-UP program.
  469.  
  470.           /AG {filename} - This option allows the user to store recovery
  471.           and validation data for .COM and .EXE files, boot sector, and
  472.           partition table of a disk.  Recovery information adds 52 bytes
  473.           to files.  The recovery information for the partition table,
  474.           boot sector, COMMAND.COM and system files is stored separately
  475.           in a hidden file called SCANVAL.VAL in the root directory of the
  476.           drive being scanned.  {filename} is an optional ASCII text file
  477.           listing files NOT to add recovery and validation data to (see
  478.           NOTE below).  Recovery from a virus using the /AG information
  479.           requires the CLEAN-UP (CLEAN.EXE) program.
  480.  
  481.           /AV {filename} - This option allows the user to store validation
  482.           codes for .COM and .EXE files, boot sector, and partition table
  483.           of a disk.  Validation information adds 10 bytes to files.  The
  484.           validation codes for the partition table, boot sector, system
  485.           files and COMMAND.COM is stored separately in a hidden file
  486.           named SCANVAL.VAL in the root directory of the drive being
  487.           scanned.  {filename} is an optional ASCII text file listing the
  488.           files NOT to add validation codes to (see note below).
  489.  
  490.  
  491.  
  492.  
  493.  
  494.  
  495.  
  496. OS2SCAN FOR OS/2 Version 9.27V115 B                         Page 9
  497.  
  498.  
  499.           NOTE:  Files which are immunized against viruses or contain
  500.                  self-modifying code should not have validation codes
  501.                  added to them.  To prevent OS2SCAN from adding validation
  502.                  codes to these files, a validation exception list must be
  503.                  created with the path and filename of each file NOT to be
  504.                  validated listed on each line (only one filename for each
  505.                  line).  To put a comment in, start the line with an "*"
  506.                  character.  This sample file contains a list of programs
  507.                  NOT to validate:
  508.  
  509.           *LIST OF FILES NOT TO USE /AV OR /AG OPTIONS WITH
  510.           *
  511.           *This is Nantucket Corp's database program, Clipper
  512.           D:\CLIPPER\BIN\CLIPPER.EXE
  513.           *This is Lotus Development Corp's spreadsheet program, 1-2-3
  514.           D:\123\123.COM
  515.           *This is MS-DOS 5.00's self-modifying program, SETVER
  516.           D:\DOS\SETVER.EXE
  517.           *PKWare's data compression programs already perform a self-check
  518.           D:\PKWARE\PKLITE.EXE
  519.           D:\PKWARE\PKZIP.EXE
  520.           D:\PKWARE\PKUNZIP.EXE
  521.           *Stac Technologies hard disk swapping program
  522.           D:\SWAPVOL.COM
  523.           *Symantec's Norton Utilities V6.01 disk caching program
  524.           D:\NORTON\NCACHE.EXE
  525.           *WordStar Corp's word processor is self-modifying
  526.           D:\WORDSTAR\WS.EXE
  527.  
  528.                The validation exception list should be an ASCII or DOS
  529.           text file.  If a word processor is used to create the list, be
  530.           sure to save the file as ASCII or DOS Text.
  531.  
  532.           /BELL - This option tells OS2SCAN to beep when a virus is found.
  533.  
  534.           /BMP - This option tells OS2SCAN to check the OS/2 Boot Manager
  535.           partition.  When run with this option, OS2SCAN will check the
  536.           Boot Manager partition and boot sector.
  537.  
  538.           /CERTIFY -  This option will audit a system for files that have
  539.           validation codes added to them with the /AG or /AV switches.
  540.           Files that have no validation code will be reported as being
  541.           uncertified by OS2SCAN.
  542.  
  543.           /CF {filename} - This option checks recovery and validation data
  544.           stored by the /AF option in {filename}.  If a file or system
  545.           area has changed, OS2SCAN reports that a viral infection may
  546.           have occurred.  Using the /CG option adds about 25% more time to
  547.           scanning.
  548.  
  549.  
  550.  
  551. OS2SCAN FOR OS/2 Version 9.27V115 B                         Page 10
  552.  
  553.  
  554.           /CG - This options checks recovery and validation data added by
  555.           the /AG option.  If a file or system area has changed, OS2SCAN
  556.           reports that a viral infection may have occurred.  Using the /CG
  557.           option adds about 25% more time to scanning.  This option takes
  558.           priority over the /CV option.
  559.  
  560.           /CV - This option checks validation codes inserted by the /AV
  561.           option.  If a file or system area has been changed, OS2SCAN will
  562.           report that the file or system area has been modified and a
  563.           viral infection may have occurred.  Using the /CV option adds
  564.           about 20% more time to scanning.
  565.  
  566.           NOTE:  Dual Boot systems change the Boot Sector between DOS and
  567.                  OS/2 depending on which operating system is currently
  568.                  active.  This will cause OS2SCAN to report that the boot
  569.                  sector has been modified.
  570.  
  571.           /D - This option tells OS2SCAN to prompt the user to overwrite
  572.           and delete an infected files.  Files erased by the /D option
  573.           can not be recovered.  If the CLEAN-UP program is available,
  574.           it can be used to disinfect the file.  Partition table and boot
  575.           sector viruses can not be removed by the /D option and require
  576.           the CLEAN-UP virus removal program.
  577.  
  578.           /DATE - This option stores the time and date OS2SCAN was last
  579.           executed.  This is done by changing the date on the SCANVAL.VAL
  580.           file.  If no SCANVAL.VAL file exists, OS2SCAN will create a 0-byte
  581.           long file in the currently-logged directory.
  582.  
  583.           /E .xxx .yyy - This option allows an additional extension or set
  584.           extensions to be scanned.  Extensions should include a period "."
  585.           character and be separated by a space after the /E.  Up to three
  586.           extensions may be added with the /E.  For more extensions, use
  587.           the /A option instead.
  588.  
  589.           /EXT {filename} - This option tells OS2SCAN to search for viruses
  590.           using virus search strings from ASCII text file {filename}, in
  591.           addition to the viruses that OS2SCAN looks for.  For instructions
  592.           creating an external virus data file, refer to Appendix A.
  593.  
  594.           NOTE:  The /EXT option provides users with the ability to add
  595.                  strings for detection of viruses on an interim or
  596.                  emergency basis.  When used with the /D option, it will
  597.                  overwrite-and-delete infected files.  This option is not
  598.                  for general use and should be used with caution.
  599.  
  600.  
  601.  
  602.  
  603.  
  604.  
  605.  
  606. OS2SCAN FOR OS/2 Version 9.27V115 B                         Page 11
  607.  
  608.  
  609.           /FAST - This option speeds OS2SCAN up by displaying less on the
  610.           the screen, skipping checking inside of LZEXE- and PKLITE-
  611.           compressed files (DOS only), and examining a smaller portion of
  612.           files during scanning.  This may reduce the accuracy of OS2SCAN.
  613.  
  614.           /HISTORY {filename} - This option saves the output of OS2SCAN
  615.           to {filename} in ASCII text file format.  If {filename} exists,
  616.           OS2SCAN will add the results of the current scan to the end.
  617.  
  618.           /MANY - This option is used to scan multiple diskettes placed
  619.           in a given drive.  If the user has more than one floppy disk to
  620.           check for viruses, the /MANY option will allows the user to
  621.           check disks without having to re-run OS2SCAN multiple times. 
  622.  
  623.           /NLZ - This option tells OS2SCAN not to look inside files
  624.           compressed with LZEXE, a file compression program for DOS
  625.           .EXE files.  OS2SCAN will still check LZEXE-compressed files for
  626.           viruses that may have become infected after LZEXE compression.
  627.  
  628.           /NOBREAK - This option prevents Ctrl-C or Ctrl-Brk from aborting
  629.           the scanning process.
  630.  
  631.           /NOEXPIRE - This option prevents OS2SCAN from displaying a
  632.           warning message after 7 months warning that it may no longer be
  633.           current with respect to known computer viruses.
  634.  
  635.           /NOPAUSE - This option disables the "More? (H = Help )" prompt
  636.           displayed when OS2SCAN fills up a screen with 24 lines of text.
  637.           This allows OS2SCAN to run on PC's with severe infections without
  638.           requiring operator assistance.
  639.  
  640.           /NPKL - This option tells OS2SCAN not to look inside files
  641.           compressed with PKLITE, a file compression program for DOS .EXE
  642.           files.  OS2SCAN will still check PKLITE-compressed files for
  643.           viruses that may have become infected after PKLITE compression.
  644.  
  645.           /REPORT {filename} - This option saves the output of OS2SCAN
  646.           to {filename} in ASCII text file format.  If {filename} exists,
  647.           OS2SCAN will erase it and replace with the current scan results.
  648.  
  649.           /RF {filename} - This option removes recovery and validation
  650.           data from log file {filename} created by the /AF option.
  651.  
  652.  
  653.  
  654.  
  655.  
  656.  
  657.  
  658.  
  659.  
  660.  
  661. OS2SCAN FOR OS/2 Version 9.27V115 B                         Page 12
  662.  
  663.  
  664.           /RG - This option removes validation and recovery data from a
  665.           file or files validated with the /AG option.  Using the /RG
  666.           switch against a drive removes the SCANVAL.VAL file.  This
  667.           option can not be used with the /AG option.
  668.  
  669.           /RV - This option removes validation codes from a file or files
  670.           validated with the /AV option.  Using the /RV switch against a
  671.           drive removes the SCANVAL.VAL file.  This option can not
  672.           be used with the /AV option.
  673.  
  674.           /SAVE - This option stores any listed options for subsequent
  675.           executions of OS2SCAN.  The options are stored by creating a
  676.           file named OS2SCAN.INI in the same directory as OS2SCAN.EXE.  For
  677.           example, the command:
  678.  
  679.                OS2SCAN /NOMEM /REPORT C:\OS2SCAN.LOG /NOPAUSE /SAVE
  680.  
  681.           saves the default options to /NOMEM, /REPORT C:\OS2SCAN.LOG and
  682.           /NOPAUSE and will cause OS2SCAN to use these options the next
  683.           time it is run.  If OS2SCAN is run with only the /SAVE switch,
  684.           the OS2SCAN.INI file is removed.  If you wish to use more than one
  685.           set of switches with OS2SCAN, use the @{filename} option
  686.           instead.
  687.  
  688.           /SHOWDATE - This option displays the time and date OS2SCAN was
  689.           last run.  No virus checking is performed.
  690.  
  691.           NOTE:  When run with /SHOWDATE, OS2SCAN only displays the last run
  692.                  date.  Viruses will *NOT* be checked for.
  693.  
  694.           /SUB - This option scans all subdirectories inside a
  695.           subdirectory.  Previously, OS2SCAN would only recursively check
  696.           subdirectories if a drive was scanned at the root level (e.g.,
  697.           C:).  Do not use the /SUB switch if you are scanning a drive
  698.           from the root level.
  699.  
  700.           @{filename} - This option allows the user to run OS2SCAN with
  701.           a configuration file listing the options and drives OS2SCAN is
  702.           to check.  Options need to be separated by a space, while drives
  703.           (disks, subdirectories, or files) need to be listed on separate
  704.           lines.  A sample file might look like this:
  705.  
  706.           /A /BELL /CV /REPORT C:\OS2SCAN\OS2SCAN.LOG
  707.           C:
  708.  
  709.           The first line contains the OS2SCAN options while other lines
  710.           list the names of disks, subdirectories, or files to scan.  The
  711.           file should be an ASCII text file.  
  712.  
  713.  
  714.  
  715.  
  716. OS2SCAN FOR OS/2 Version 9.27V115 B                         Page 13
  717.  
  718.  
  719.           EXIT CODES
  720.  
  721.                After OS2SCAN has finished running, it will set the
  722.           ERRORLEVEL.  ERRORLEVEL's are used in REXX scripts to pass on
  723.           the results of a program's actions.  The ERRORLEVEL's returned
  724.           by OS2SCAN are:
  725.  
  726.                ERRORLEVEL │ DESCRIPTION
  727.                ═══════════╪══════════════════════════════════════════════
  728.                    0      │ No viruses found
  729.                    1      │ One or more viruses found
  730.                    2      │ Abnormal termination (program error)
  731.                    3      │ One or more uncertified files found
  732.                    4      │ Ctrl-C or Ctrl-Break aborted scan
  733.  
  734.           If a user stops the scanning process, OS2SCAN will set the
  735.           ERRORLEVEL to 4.  If you wish to prevent users from stopping the
  736.           scanning process, then run OS2SCAN with the /NOBREAK option.
  737.  
  738.  
  739.  
  740.  
  741.  
  742.  
  743.  
  744.  
  745.  
  746.  
  747.  
  748.  
  749.  
  750.  
  751.  
  752.  
  753.  
  754.  
  755.  
  756.  
  757.  
  758.  
  759.  
  760.  
  761.  
  762.  
  763.  
  764.  
  765.  
  766.  
  767.  
  768.  
  769.  
  770.  
  771. OS2SCAN FOR OS/2 Version 9.27V115 B                         Page 14
  772.  
  773.  
  774.           EXAMPLES
  775.  
  776.                The following examples show different option settings:
  777.  
  778.                OS2SCAN C:
  779.                    To scan drive C:
  780.  
  781.                OS2SCAN A:R-HOOPER.EXE
  782.                    Scans file "R-HOOPER.EXE" on drive A:
  783.  
  784.                OS2SCAN A: /A /CV
  785.                    Scans all files and checks validation codes for unknown
  786.                    viruses on drive A:.
  787.  
  788.                OS2SCAN B: /D /A
  789.                    Scans all files on drive B: and prompt for erasure of
  790.                    any infected files, if found.
  791.  
  792.                OS2SCAN C: D: E: /AV
  793.                    Scan for viruses, add validation codes to files on
  794.                    drives C:, D:, and E:.
  795.  
  796.                OS2SCAN C: D: /A /FR
  797.                    Scan all files on drives C: and D: for viruses, and
  798.                    display all messages in French.
  799.  
  800.                OS2SCAN C: D: /E .WPM .COD
  801.                    Scans drives C: and D:, including .WPM and .COD files 
  802.  
  803.                OS2SCAN C: /EXT D:\SAMPLE_VIRUSSTRING.TXT /BELL
  804.                    To scan drive C: for known computer viruses and also
  805.                    for viruses added by the user via the external virus
  806.                    data file option, and beep whenever a virus is found.
  807.  
  808.                OS2SCAN C: /NOPAUSE /REPORT G:INFECTION_REPORT.DRIVEC
  809.                    To scan drive C: without stopping, and create a log
  810.                    file INFECTION_REPORT.DRIVEC on drive G:
  811.  
  812.                OS2SCAN E:\DOWNLOADS /SUB
  813.                    To scan all subdirectories under the directory
  814.                    DOWNLOADS on drive E:
  815.  
  816.                OS2SCAN C: D: E: /FAST /CERTIFY
  817.                    To perform a fast scan of drives C:, D:, and E: and
  818.                    check for any files that do not have validation codes.
  819.  
  820.                OS2SCAN @C:\SCANOPTN.LST
  821.                    To run OS2SCAN using configuration file SCANOPTN.LST
  822.                    located in the root directory of drive C:.
  823.  
  824.                OS2SCAN /AD
  825.                     Scan all hard drive partitions for viruses.
  826. OS2SCAN FOR OS/2 Version 9.27V115 B                         Page 15
  827.  
  828.  
  829.           VIRUS REMOVAL
  830.  
  831.                What do you do if a virus is found?  You can contact McAfee
  832.           Associates for help, their authorized agents, or use the CLEAN-UP
  833.           program.  CLEAN-UP is available for DOS (CLEAN.EXE) and OS/2
  834.           (OS2CLEAN.EXE).
  835.  
  836.                McAfee Associates can be reached by BBS, CompuServe, FAX,
  837.           Internet, or Telephone and there is no charge for support calls
  838.           to McAfee Associates (Authorized agents may charge normal McAfee
  839.           Associates consulting rates.).
  840.  
  841.                The CLEAN-UP universal virus disinfection program can
  842.           disinfect virtually all reported computer viruses.  It is
  843.           updated with each release of the OS2SCAN program to remove new
  844.           viruses.  CLEAN-UP can be downloaded from McAfee Associates'
  845.           BBS, the McAfee Virus Help Forum on CompuServe, and the
  846.           mcafee.COM and WSMR-SIMTEL20.Army.Mil sites on the Internet, or
  847.           from any of the agents' BBSes listed in the enclosed AGENTS.TXT
  848.           text file.
  849.  
  850.                It is strongly recommended that you get experienced help in
  851.           dealing with viruses if you are unfamiliar with anti-virus
  852.           software and methods.  This is especially true for 'critical'
  853.           viruses and partition table/boot sector infecting viruses as
  854.           improper removal of these viruses can result in the loss of
  855.           all data and the use of the infected disk(s).  
  856.  
  857.                Before removing a boot sector or partition table-infecting
  858.           virus, it is recommended that you cold boot the infected PC from
  859.           a clean DOS disk and backup any critical data.
  860.  
  861.                For qualified assistance in removing a virus, contact
  862.           McAfee Associates directly or any of the Authorized Agents in
  863.           your area.  Agents may charge McAfee Associates' normal consult
  864.           rates for their services.
  865.  
  866.                If you wish to remove a file-infecting virus manually, cold
  867.           boot the PC from a clean (virus-free) OS/2 boot diskette and run
  868.           OS2SCAN with the /A and /D switches to erase all infected files.
  869.           Any files removed in this manner can not be recovered.
  870.  
  871.  
  872.  
  873.  
  874.  
  875.  
  876.  
  877.  
  878.  
  879.  
  880.  
  881. OS2SCAN FOR OS/2 Version 9.27V115 B                         Page 16
  882.  
  883.  
  884.           REGISTRATION
  885.  
  886.                A registration fee of US$35.00 is required for the use of
  887.           OS2SCAN by individual home users.  Registration entitles the
  888.           holder to unlimited free upgrades from McAfee Associates' BBS,
  889.           the Internet, and the McAfee Virus Help Forum on CompuServe as
  890.           well as technical support for one year.  When registering, a
  891.           diskette containing the latest version may be requested for an
  892.           additional US$9.00.  Only one diskette mailing will be made.
  893.  
  894.                Registration is for home users only and does not apply to
  895.           businesses, corporations, organizations, government agencies, or
  896.           schools, which must obtain a license for use.  Contact McAfee
  897.           Associates directly or an Authorized Agent for more information.
  898.  
  899.  
  900.           TECH SUPPORT
  901.  
  902.                For fast and accurate help, please have the following
  903.           information ready when you contact McAfee Associates:
  904.  
  905.                -    Program name and version number.
  906.  
  907.                -    Type and brand of computer, hard disk, plus any
  908.                     peripherals.
  909.  
  910.                -    Version of OS/2 (use the SYSLEVEL command to determine)
  911.                     plus any device drivers in use.
  912.  
  913.                -    Printouts of your AUTOEXEC.BAT and CONFIG.SYS files.
  914.  
  915.                -    The exact problem you are having.  Please be as
  916.                     specific as possible.  Having a printout of the
  917.                     screen and/or being at your computer will be helpful.
  918.  
  919.           McAfee Associates can be contacted by BBS, CompuServe, FAX, or
  920.           InterNet 24 hours a day, or by telephone at (408) 988-3832,
  921.           Monday through Friday, 7:00AM to 5:30PM Pacific Time.
  922.  
  923.                If you are overseas, you can contact a McAfee Associates
  924.           Authorized Agent.  Agents are located in over 50 countries
  925.           around the world and provide local sales and support for our
  926.           software.  Please refer to the AGENTS.TXT file for a complete
  927.           list of McAfee Associates Agents.
  928.  
  929.  
  930.  
  931.  
  932.  
  933.  
  934.  
  935.  
  936. OS2SCAN FOR OS/2 Version 9.27V115 B                         Page 17
  937.  
  938.  
  939.           OBTAINING THE LATEST VERSION OF McAFEE ASSOCIATES PROGRAMS
  940.  
  941.                McAfee Associates regularly updates the OS2SCAN series
  942.           of programs every 4 to 6 weeks to add new virus detectors,
  943.           new options, and fix reported bugs.  To distribute these new
  944.           versions, we run a multi-line BBS, CompuServe Forum, and
  945.           Internet node.
  946.  
  947.           BBS ACCESS
  948.  
  949.                Our 25-line BBS is accessible 24 hours a day, 365 days a
  950.           year, except for scheduled downtime and maintenance.  All lines
  951.           run US Robotics Courier HST Dual Standard ASL modems operating
  952.           from 1,200bps to 14,400bps with line settings of 8 data bits, no
  953.           parity, and one stop bit.
  954.  
  955.  
  956.           THE McAFEE VIRUS HELP FORUM ON COMPUSERVE
  957.  
  958.                We are now sponsoring the McAfee Virus Help Forum on
  959.           CompuServe.  To reach the McAfee Virus Help Forum type GO MCAFEE
  960.           at any CompuServe prompt.  A free introductory membership is
  961.           available.  For more information, please read the enclosed
  962.           COMPUSER.NOT file.
  963.  
  964.  
  965.           INTERNET ACCESS TO McAFEE ASSOCIATES SOFTWARE
  966.  
  967.                The latest versions of McAfee Associates' anti-viral
  968.           software is now available by anonymous ftp (file transfer
  969.           protocol) over the Internet from the site mcafee.COM.  If
  970.           your domain resolver does not support names, use the IP#
  971.           192.187.128.1.  Enter "anonymous" for your user I.D. and
  972.           your own email address for the password.  Programs are
  973.           located in the pub/antivirus directory.  If you have any
  974.           questions, please send email to support@mcafee.COM
  975.  
  976.                 McAfee Associates' DOS-based anti-viral software may also
  977.           be found at the SimTel archive site Oak.Oakland.EDU in the
  978.           pub\msdos\virus directory or at any of Simtel's associated
  979.           mirror sites WUARCHIVE.WUSTL.EDU (US), NIC.SWITCH.CH (Swiss),
  980.           NIC.FUNET.FI (Finland), SRC.DOC.IC.AC (UK), and ARCHIE.AU
  981.           (Australia).
  982.  
  983.  
  984.  
  985.  
  986.  
  987.  
  988.  
  989.  
  990.  
  991. OS2SCAN FOR OS/2 Version 9.27V115 B                         Page 18
  992.  
  993.  
  994.           APPENDIX A:  Creating a Virus String File with the /EXT Option
  995.  
  996.           NOTE:  The /EXT option is intended for emergency and research
  997.                  use only.  It is a temporary method for identifying new
  998.                  viruses prior to the subsequent release of OS2SCAN.  A
  999.                  thorough understanding of viruses and string-search
  1000.                  techniques is advised for using this option.  A string
  1001.                  length of 10 to 15 bytes is recommended.
  1002.  
  1003.                The External Virus Data file should be created with an
  1004.           editor or a word processor and saved as an ASCII text file.  Be
  1005.           sure each line ends with a Carriage Return/Line Feed pair.
  1006.  
  1007.  
  1008.                The virus string file uses the following format:
  1009.  
  1010.           #Comment about Virus_1
  1011.           "aabbccddeeff..." Virus_1_Name
  1012.           #Comment about Virus_2
  1013.           "gghhiijjkkll..." Virus_2_Name
  1014.                .
  1015.                .
  1016.           "uuvvwwxxyyzz..." Virus_n_Name
  1017.  
  1018.  
  1019.           Where aa, bb, cc, etc. are the hexadecimal bytes that you wish
  1020.           to scan for.  Each line in the file represents one virus.  The
  1021.           Virus Name for each virus is mandatory, and may be up to 25
  1022.           characters in length.  The double quotes (") are required at the
  1023.           beginning and end of each hexadecimal string.
  1024.                OS2SCAN will use the string file to search the Master Boot
  1025.           Record (partition table), Boot Sector, System files, all .COM
  1026.           and .EXE files, and overlay files with the extension .APP, .BIN,
  1027.           .COM, .EXE, .OV?, .PGM, .PIF, .PRG, .SWP, .SYS, and .XTP.
  1028.                Virus strings may contain wild cards.  The two wildcard
  1029.           options are:
  1030.  
  1031.           FIXED POSITION WILDCARD
  1032.                The question mark "?" may be used to represent a wildcard
  1033.           in a fixed position within the string.  For example, the string:
  1034.  
  1035.                              "E9 7C 00 10 ? 37 CB"
  1036.  
  1037.           would match "E9 7C 00 10 27 37 CB", "E9 7C 00 10 9C 37 CB", or
  1038.           any other similar string, regardless of the fifth byte.
  1039.  
  1040.  
  1041.  
  1042.  
  1043.  
  1044.  
  1045.  
  1046. OS2SCAN FOR OS/2 Version 9.27V115 B                         Page 19
  1047.  
  1048.  
  1049.           RANGE WILDCARD
  1050.  
  1051.                The asterisk "*", followed by range number in parentheses
  1052.           "(" and ")" is used to represent a variable number of adjoining
  1053.           random bytes.  For example, the string:
  1054.  
  1055.                              "E9 7C *(4) 37 CB"
  1056.  
  1057.           would match "E9 7C 00 37 CB", "E9 7C 00 11 37 CB", and
  1058.           "E9 7C 00 11 22 37 CB".  The string "E9 7C 00 11 22 33 44 37 CB"
  1059.           would not match since the distance between 7C and 37 is greater
  1060.           than four bytes.  You may specify a range of up to 99 bytes.
  1061.           Up to 10 different wildcards of either kind may be used in one
  1062.           virus string.
  1063.  
  1064.  
  1065.           COMMENTS
  1066.                A pound sign "#" at the beginning of a line will denote a
  1067.           comment.  Use this for adding notes to the external virus data
  1068.           file.  For example:
  1069.  
  1070.                              #New .COM virus found in file FRITZ.EXE from
  1071.                              #Schneiderland on 01-22-91
  1072.                              "53 48 45 45 50" Fritz-1 [F-1]
  1073.  
  1074.           gives a description of the virus, name of the infected file,
  1075.           where and when it was found, etc.
  1076.  
  1077.  
  1078.           APPENDIX B:  Miscellaneous Application Notes
  1079.  
  1080.  
  1081.           OS2SCAN VALIDATION CODES
  1082.  
  1083.                If you have installed any new software or programs on your
  1084.           system, and are running OS2SCAN or VSHIELD for DOS with the /CF,
  1085.           /CG, or /CV validation codes options, you will need to reinstall
  1086.           validation codes to the new files with the /AF, /AG, or /AV
  1087.           add validation codes options of OS2SCAN.  In addition, the
  1088.           SCANVAL.VAL hidden file containing validation codes for the
  1089.           partition table, boot sector, COMMAND.COM, and system files may
  1090.           have to be replaced (unhide the file with the ATTRIB command
  1091.           and then delete it).
  1092.                The quickest way to update the validation codes is to
  1093.           remove all validation codes from the hard disk and then add them
  1094.           back by running OS2SCAN with the /RV and then the /AV options.
  1095.  
  1096.           NOTE: This applies to any new version of DOS, as well as any
  1097.                 programs which you install on your system.
  1098.  
  1099.  
  1100.  
  1101. OS2SCAN FOR OS/2 Version 9.27V115 B                                Page 20
  1102.  
  1103.  
  1104. IMPORTANT NOTICE - PLEASE READ!
  1105.  
  1106.           Due to the nature of anti-virus software, the slight chance
  1107.           exists that a virus may be reported in a file that is not
  1108.           infected by that virus.
  1109.  
  1110.           If you receive a report of a virus infection which you believe
  1111.           may be in error, please contact McAfee Associates by telephone
  1112.           at (408) 988-3832, by fax at (408) 970-9727, or upload the file
  1113.           to our BBS at (408) 988-4004 along with your name, address,
  1114.           daytime telephone number, and electronic mail address, if any.
  1115.  
  1116.  
  1117.  
  1118.  
  1119.  
  1120.  
  1121.  
  1122.  
  1123.  
  1124.  
  1125.  
  1126.  
  1127.  
  1128.  
  1129.  
  1130.  
  1131.  
  1132.  
  1133.  
  1134.  
  1135.  
  1136.  
  1137.  
  1138.  
  1139.  
  1140.  
  1141.  
  1142.  
  1143.  
  1144.  
  1145.  
  1146.  
  1147.  
  1148.  
  1149.  
  1150.  
  1151.  
  1152.  
  1153.  
  1154.  
  1155.  
  1156.  
  1157.