home *** CD-ROM | disk | FTP | other *** search
/ Nautilus 1993 August / Nautilus CD Magazine Volume 3-8 August 1993 Windows Edition.mdf / virus / scan / clean106.doc < prev    next >
Text File  |  1993-06-22  |  21KB  |  551 lines

  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.  
  8.  
  9.  
  10.  
  11.  
  12.  
  13.  
  14.  
  15.  
  16.  
  17.  
  18.  
  19.  
  20.  
  21.  
  22.  
  23.  
  24.  
  25.  
  26.                           CLEAN-UP Version 9.17V106
  27.                 Copyright (C) 1990 - 1993 by McAfee Associates
  28.                              All rights reserved.
  29.  
  30.                        Documentation by Aryeh Goretsky.
  31.  
  32.  
  33.  
  34.  
  35.  
  36.  
  37.  
  38.  
  39.  
  40.  
  41.  
  42.  
  43.  
  44.  
  45.  
  46.  
  47.  
  48.                McAfee Associates, Inc.       (408) 988-3832 office
  49.                3350 Scott Blvd., Bldg. 14    (408) 970-9727 fax
  50.                Santa Clara, CA  95054-3107   (408) 988-4004 BBS (25 lines)
  51.                U.S.A                         USR HST/v.32/v.42bis/MNP1-5
  52.                                              CompuServe        GO MCAFEE
  53.                                              InterNet support@mcafee.COM       
  54.  
  55.  
  56.  
  57.  
  58.  
  59.                               TABLE OF CONTENTS:
  60.  
  61.  
  62.           SYNOPSIS  . . . . . . . . . . . . . . . . . . . . . . . . . . .2
  63.            - What is CLEAN-UP?
  64.            - System Requirements
  65.  
  66.           AUTHENTICITY  . . . . . . . . . . . . . . . . . . . . . . . . .2
  67.            - Verifying the integrity of CLEAN-UP
  68.  
  69.           WHAT'S NEW  . . . . . . . . . . . . . . . . . . . . . . . . . .3
  70.            - New features and viruses added in this release
  71.  
  72.           OVERVIEW  . . . . . . . . . . . . . . . . . . . . . . . . . . .3
  73.            - General description of CLEAN-UP
  74.  
  75.           OPERATION and OPTIONS . . . . . . . . . . . . . . . . . . . . .5
  76.            - How to use CLEAN-UP, detailed explanation of switches
  77.  
  78.           EXAMPLES  . . . . . . . . . . . . . . . . . . . . . . . . . . .7
  79.            - Samples of frequently-used options
  80.  
  81.           REGISTRATION  . . . . . . . . . . . . . . . . . . . . . . . . .8
  82.            - How to register CLEAN-UP
  83.  
  84.           TECH SUPPORT  . . . . . . . . . . . . . . . . . . . . . . . . .8
  85.            - Information to have ready when calling for tech support
  86.  
  87.           APPENDIX A  . . . . . . . . . . . . . . . . . . . . . . . . . .9
  88.             - Foreign language support for CLEAN-UP
  89.  
  90.  
  91.  
  92.  
  93.  
  94.  
  95.  
  96.  
  97.  
  98.  
  99.  
  100.  
  101.  
  102.  
  103.  
  104.  
  105.  
  106.  
  107.  
  108.                                           Page 1
  109.  
  110. CLEAN-UP Version 9.17V106                                    Page 2
  111.  
  112.  
  113.           SYNOPSIS
  114.  
  115.                CLEAN-UP (CLEAN) is a virus disinfection program for IBM PC
  116.           and compatible computers.  CLEAN searches through the partition
  117.           table, boot sector, or files of a PC to remove viruses specified
  118.           by the user.  In most instances, CLEAN repairs infected areas
  119.           of the system, restoring them to their pre-infected state.
  120.           CLEAN removes all viruses identified by the current version of
  121.           VIRUSCAN.  CLEAN can also remove new or unknown viruses using
  122.           recovery information stored by SCAN [See VIRUSCAN's
  123.           documentation for details].
  124.                CLEAN runs on any PC with 400Kb and DOS 2.00 or above.
  125.  
  126.  
  127.           AUTHENTICITY
  128.  
  129.                CLEAN performs a self-test when run.  If CLEAN has been
  130.           modified in any way, a warning will be displayed.  However,
  131.           CLEAN is still able to remove viruses.  If CLEAN reports it
  132.           has been damaged, a new, undamaged copy should be obtained.
  133.                CLEAN is packaged with VALIDATE, a program to check
  134.           the integrity of CLEAN.EXE.  The VALIDATE.DOC file explains
  135.           its usage.  The VALIDATE program distributed with CLEAN may
  136.           be used to check new versions for tampering or damage.
  137.  
  138.                The validation results for Version 106 should be:
  139.  
  140.                         FILE NAME: CLEAN.EXE
  141.                              SIZE: 166,248
  142.                              DATE: 06-22-1993
  143.               FILE AUTHENTICATION
  144.                    Check Method 1: C495
  145.                    Check Method 2: 1FCC
  146.  
  147.           If your copy of CLEAN.EXE differs, it may have been modified.
  148.           Always obtain CLEAN from a known source.  The latest version of
  149.           CLEAN and validation data can be obtained from McAfee
  150.           Associates' bulletin board system at (408) 988-4004, from the
  151.           McAfee Virus Help Forum on CompuServe (GO MCAFEE), and by
  152.           anonymous ftp from the mcafee.COM site on the Internet.
  153.                All of McAfee Associates' programs are archived with
  154.           Version 1.10 of PKWare's PKZIP Authentic File Verification.
  155.           When unzipped with Version 1.10 of PKWare's PKUNZIP program,
  156.           an "-AV" will be displayed after each file is unzipped and an
  157.           "Authentic Files Verified! # NWN405  Zip Source: McAFEE
  158.           ASSOCIATES" will appear once all files are unzipped.
  159.  
  160.           NOTE:  If you do not receive the Authentic File Verification
  161.                  messages, you may be using a different version of
  162.                  PKUNZIP, such as V1.93α or V2.04.  Use PKUNZIP Version
  163.                  1.10 to unzip files if you wish to have Authenticity
  164.                  Verification displayed as files are unzipped.
  165. CLEAN-UP Version 9.17V106                                    Page 3
  166.  
  167.  
  168.           WHAT'S NEW
  169.  
  170.                Version 106 adds detection of the Boot FR [FRB], a
  171.           variant of the ExeBug1 virus which requires different removal.
  172.  
  173.                Version 105 added new removers for the 2878, ExeBug1,
  174.           ExeBug2, Green Caterpillar, and Paradise viruses.
  175.  
  176.           New features added in Version 105 include:
  177.  
  178.           ·    The /MAINT switch has been made a default option.  This
  179.                switch was an option to invoke scanning of non-DOS or
  180.                damaged partition tables.
  181.  
  182.                CLEAN displays messages in English (default); refer to
  183.           APPENDIX C for information on displaying messages in other
  184.           languages.
  185.  
  186.                Please refer to the enclosed VIRLIST.TXT file for a short
  187.           description of the new viruses.  For more detailed descriptions,
  188.           please refer to Patricia Hoffman's virus summary listing (VSUM).
  189.  
  190.  
  191.           OVERVIEW
  192.  
  193.                CLEAN searches the system for viruses to remove.  When an
  194.           infected file is found, CLEAN isolates and removes the virus and
  195.           in most cases repairs the infected file and restores it to
  196.           normal operation.  If the file is infected with an uncommon
  197.           virus, CLEAN displays a warning message asking whether to
  198.           overwrite and delete the infected file.  Erased files are non-
  199.           recoverable.
  200.                Before running CLEAN, verify the infection with VIRUSCAN.
  201.           SCAN will locate and identify the virus and provide the I.D.
  202.           code used by CLEAN.  The I.D. is displayed inside the square
  203.           brackets, "[" and "]."  For example, the I.D. code for the
  204.           Jerusalem virus is displayed as "[Jeru]".  This I.D. must
  205.           be used with CLEAN to remove the virus.  The square brackets
  206.           "[" and "]" MUST be included.
  207.                If SCAN finds an unknown virus in a file that has had
  208.           validation or recovery data stored for it, it will warn that an
  209.           infection has occurred.  It will not, however,  display an I.D.
  210.           code.
  211.  
  212.                NOTE:  When CLEAN is run with the /GENERIC or /GRF options
  213.                       to disinfect files or system areas based on recovery
  214.                       information stored by SCAN, no I.D. code should be
  215.                       used.
  216.  
  217.                Please refer to the VIRUSCAN documentation for instructions
  218.           in adding recovery information to your system.
  219.  
  220. CLEAN-UP Version 9.17V106                                    Page 4
  221.  
  222.  
  223.                The common viruses that CLEAN-UP is able to remove while
  224.           repairing and restoring the infected programs or system areas
  225.           are:
  226.  
  227.           555             644             696             730
  228.           748             855             1008            1024
  229.           1139            1241            1253            1339
  230.           1554            1575*+          1757            1992
  231.           2560            2878            4096*+          Air Cop*
  232.           Alabama+        Alameda         Antitelefonica  Azusa
  233.           Barrotes        Beeper          Black Monday+   Bloody!
  234.           Boys            Cansu           Cascade*+       Coahuila
  235.           Creeper         Curse           Dark Avenger*+  DataLock+
  236.           December 28+    Devil's Dance   Dir-2           Disk Killer*
  237.           EDV*            Empire*         Enigma          Exebug1
  238.           ExeBug2         Fellowship+     Filler          Fish+
  239.           Flash           Flip*+          Form            Generic Boot
  240.           Generic MBR     Ghost           Grn Caterpillar Haifa
  241.           Holocausto      Invader*+       Irish_3         Jerusalem*+
  242.           Joshi           KeyPress*+      Korea*          Lazy
  243.           Lehigh          Liberty+        Lisbon*         Little Girl2
  244.           Little Girl3    Loa Duong       M128            Maltese Amoeba
  245.           Mardi Bro.'s    Math Test       Michelangelo    Monkey
  246.           Mosquito        Multi-2         Murphy*+        Music Bug
  247.           Nomenclature    Pakistani Brain*Paradise        Perfume
  248.           Ping Pong*      Plastique*+     Possessed       Print Screen-2*
  249.           R-11+           SBC             Slayer          Slow+
  250.           Stoned*         Striker+        Sunday+         Sunday2+
  251.           SVC+            Taiwan 3+       Taiwan 4+       Tequila
  252.           Tokyo           Topo            Traceback/3066  Troi
  253.           Typo Boot       V800            V-801           VACSINA*+
  254.           Vienna*         Violator*+      VirDem          XTAC
  255.           Whale*+         Yankee Doodle*+ ZeroBug
  256.  
  257.           *Denotes virus with more than one strain
  258.           +Denotes virus which attaches to overlays
  259.  
  260.           AN IMPORTANT NOTE ABOUT .EXE FILES:  Some viruses damage .EXE
  261.           files when they infect them if the file being infected loads
  262.           overlays internally.  CLEAN will truncate files infected in
  263.           this manner.  If a file no longer runs after being cleaned,
  264.           replace it from the original disk or virus-free backups.
  265.  
  266.           AN IMPORTANT NOTE ABOUT PARTITION TABLE VIRUSES (e.g., Stoned):
  267.           Removing a partition table-infecting virus like the Stoned
  268.           can cause loss of the partition table on systems partitioned
  269.           with programs other than DOS, e.g., Disk Manager or SpeedStor.
  270.           As a precaution, back up all critical data before running CLEAN.
  271.           Loss of the partition table can result in the LOSS OF ALL DATA
  272.           ON THE DISK.
  273.  
  274.  
  275. CLEAN-UP Version 9.17V106                                    Page 5
  276.  
  277.  
  278.           OPERATION and OPTIONS
  279.  
  280.           IMPORTANT NOTE:  TURN OFF YOUR PC AND BOOT FROM A CLEAN DOS
  281.                            SYSTEM-BOOTABLE DISK BEFORE BEGINNING.  RUN
  282.                            CLEAN FROM A WRITE-PROTECTED DISK TO PREVENT
  283.                            INFECTION OF THE CLEAN.EXE PROGRAM FILE.
  284.  
  285.                Power down the infected system and boot from a clean,
  286.           write-protected system-bootable diskette.  This insures that the
  287.           virus is not in system memory and prevents reinfection.  After
  288.           cleaning, power down the PC, boot from the system disk, and run
  289.           VIRUSCAN to ensure the system has been successfully disinfected.
  290.           After cleaning the hard disk, copy the SCAN and CLEAN programs
  291.           on to it and check all floppy disks that have been in
  292.           contact with the system.
  293.  
  294.                CLEAN displays the name of infected files or system areas,
  295.           the virus found, and reports a "successful" disinfection for
  296.           each virus removed.  If a file has multiple infections, CLEAN
  297.           will report the virus has been removed successfully for each
  298.           infection.
  299.  
  300.                Select valid options for CLEAN-UP from the list below:
  301.  
  302.           CLEAN {drive(s)} [virus I.D.] {options}
  303.                            ^
  304.                            |
  305.                            `---- NOTE:  The square brackets "[" and "]"
  306.                                         are required around the I.D. code.
  307.  
  308.           Options are:
  309.  
  310.           {drives}          - indicate drive(s) to be cleaned
  311.  
  312.           [virus I.D.]      - Virus identification code provided by
  313.                               SCAN when a virus is detected (See the
  314.                               VIRLIST.TXT file for a complete list.)
  315.  
  316.           /A                - Check all files for viruses
  317.           /AD{x}            - Clean all drives {L = Local, N = Network}
  318.           /E .xxx .yyy .zzz - Clean overlay extensions .xxx .yyy .zzz
  319.           /GENERIC          - Clean unknown viruses
  320.                               (see below for specifics)
  321.           /GRF {filename}   - Clean unknown viruses using recovery
  322.                               data file {filename}
  323.           /MANY             - Check multiple disks for viruses
  324.           /NOEXPIRE         - Do not display expiration notice
  325.           /NOPAUSE          - Disable screen prompting
  326.           /REPORT {fname}   - Create report file {fname}
  327.  
  328.  
  329.  
  330. CLEAN-UP Version 9.17V106                                    Page 6
  331.  
  332.  
  333.           /A - This option checks all files on the drive(s) scanned and
  334.           also examines a greater portion of files.  This substantially
  335.           increases the amount of time required to check disks and also
  336.           increases CLEAN's ability to detect viruses infecting overlay
  337.           files.  It is recommended this switch only be used when an
  338.           overlay-infecting virus is found.  This option takes priority
  339.           over the /E option.
  340.  
  341.           /AD{x} - This option cleans all drives of viruses.  If /ADL
  342.           is used, all local drives are checked, including compressed
  343.           drives and CD-ROM's.  If /ADN is used, all networked drives
  344.           are checked.  To clean local and network drives, use /AD by
  345.           itself.
  346.  
  347.           /E .xxx .yyy .zzz - This option allows additional extension(s)
  348.           to be cleaned.  Extensions should include a period "." and each
  349.           extension must be separated by a space after the /E.  Up to
  350.           three extensions may be added with the /E.  For more extensions,
  351.           use the /A option instead.
  352.  
  353.           /GENERIC - This option is used to clean files or system areas
  354.           that have been infected with a new (unknown) virus.  For
  355.           /GENERIC to work, recovery information must have been stored
  356.           prior to infection by VIRUSCAN's /AG option.  No virus I.D. code
  357.           is required when using the /GENERIC switch.
  358.  
  359.           /GRF {filename} - This option is used to clean files or system
  360.           areas that  have been infected by a new (unknown) virus.  For
  361.           /GRF to work, recovery data and validation codes must have been
  362.           saved by VIRUSCAN's /AF option to {filename}.  No virus I.D.
  363.           code is required when using the /GRF switch.
  364.  
  365.           /MANY - This option is used to clean multiple disks placed in
  366.           the same drive.  If you have more than one floppy disk to check
  367.           for viruses, the /MANY option allows you to check them without
  368.           running CLEAN multiple times.
  369.  
  370.           /NOEXPIRE - This option disables a warning message that CLEAN
  371.           displays after seven months warning that it may no longer be
  372.           current with respect to known viruses.
  373.  
  374.           /NOPAUSE - This option disables the "More? (H = Help)" prompt
  375.           displayed when CLEAN fills up a screen with 24 lines of text.
  376.           This allows CLEAN to be run on PC's with severe infections
  377.           without user assistance.
  378.  
  379.           /REPORT {filename} - This option saves the output of CLEAN to
  380.           {filename} in ASCII text format.  If {filename} exists, CLEAN
  381.           will erase it and create a new report
  382.  
  383.  
  384.  
  385. CLEAN-UP Version 9.17V106                                    Page 7
  386.  
  387.  
  388.           EXAMPLES
  389.  
  390.                The following examples show different option settings:
  391.  
  392.                CLEAN C: D: E: [JERU] /A
  393.                     To remove the Jerusalem virus from drives C:, D:, and
  394.                     E:, searching all files for the virus
  395.  
  396.                CLEAN A: [STONED]
  397.                     To remove the Stoned virus from the disk in drive A:
  398.  
  399.                CLEAN C:\MORGAN [DAV] /A
  400.                     To remove the Dark Avenger virus from subdirectory
  401.                     MORGAN on drive C:, searching all files for the virus
  402.  
  403.                CLEAN B: [DOODLE] /REPORT C:YNKINFCT.TXT
  404.                     To remove the Yankee Doodle virus from drive B: and
  405.                     create a report named YNKINFCT.TXT on drive C:
  406.  
  407.                CLEAN C: /GENERIC
  408.                     To remove an unknown virus from drive C: using
  409.                     recovery data stored by SCAN's /AG option.
  410.  
  411.                CLEAN C: D: /GRF A:\SCANCRC.CRC
  412.                     To remove an unknown virus from drives C: and D: using
  413.                     recovery data stored by SCAN's /AF option.
  414.  
  415.  
  416.  
  417.  
  418.  
  419.  
  420.  
  421.  
  422.  
  423.  
  424.  
  425.  
  426.  
  427.  
  428.  
  429.  
  430.  
  431.  
  432.  
  433.  
  434.  
  435.  
  436.  
  437.  
  438.  
  439.  
  440. CLEAN-UP Version 9.17V106                                    Page 8
  441.  
  442.  
  443.           REGISTRATION
  444.  
  445.                A registration fee of US$35.00 is required for the use of
  446.           CLEAN-UP by individual home users.  Registration entitles the
  447.           holder to unlimited free upgrades from McAfee Associates' BBS,
  448.           CompuServe Forum, and Internet node as well as technical
  449.           support for one year.  When registering, a diskette containing
  450.           the latest version may be requested for an additional US$9.00.
  451.           Only one diskette mailing will be made.
  452.                Registration is for home users only and does not apply to
  453.           businesses, corporations, organizations, government agencies, or
  454.           schools, which must obtain a license for use.  Contact McAfee
  455.           Associates directly or an Authorized Agent for more information.
  456.  
  457.  
  458.           TECH SUPPORT
  459.  
  460.                For fast and accurate help, please have the following
  461.           information ready when you contact McAfee Associates:
  462.  
  463.                ·    Program name and version number.
  464.  
  465.                ·    Type and brand of computer, hard disk, plus any
  466.                     peripherals.
  467.  
  468.                ·    Version of DOS plus any TSRs or device drivers in use.
  469.  
  470.                ·    Printouts of your AUTOEXEC.BAT and CONFIG.SYS files.
  471.  
  472.                ·    A printout of what is in memory from the MEM command
  473.                     (DOS 4 and above users only) or a similar utility.
  474.  
  475.                ·    The exact problem you are having.  Please be as
  476.                     specific as possible.  Having a printout of the
  477.                     screen and/or being at your computer be will helpful.
  478.  
  479.           McAfee Associates can be contacted by BBS, CompuServe, FAX, or
  480.           InterNet 24 hours a day, or by telephone at (408) 988-3832,
  481.           Monday through Friday, 7:00AM to 5:30PM Pacific Time.
  482.  
  483.                McAfee Associates, Inc.       (408) 988-3832 office
  484.                3350 Scott Blvd. Bldg. 14     (408) 970-9727 fax
  485.                Santa Clara, CA  95054-3107   (408) 988-4004 BBS (25 lines)
  486.                U.S.A                         USR HST/v.32/v.42bis/MNP1-5
  487.                                              CompuServe        GO MCAFEE
  488.                                              Internet support@mcafee.com
  489.  
  490.           If you are overseas, there may be an Authorized McAfee Associates
  491.           Agent in your area.  Please refer to the AGENTS.TXT file for a
  492.           listing of McAfee Associates Agents for support or sales.
  493.  
  494.  
  495. CLEAN-UP Version 9.17V106                                    Page 9
  496.  
  497.  
  498.           APPENDIX A:  CLEAN-UP'S FOREIGN LANGUAGE SUPPORT
  499.  
  500.                CLEAN-UP can display messages in a foreign language by
  501.           reading in a replacement set of messages from an external
  502.           file named MCAFEE.MSG.  When the MCAFEE.MSG file is placed in
  503.           the same directory as the SCAN.EXE file, SCAN will display
  504.           messages from the foreign language module instead of displaying
  505.           messages in English (American).  Currently, SCAN is bundled with
  506.           two .MSG files, FRENCH.MSG and SPANISH.MSG, which contain
  507.           messages in French (European) and Spanish (Latin America),
  508.           respectively.
  509.  
  510.                To use a foreign language module, rename it to MCAFEE.MSG
  511.           and place it in the same directory as the CLEAN.EXE file.  When
  512.           CLEAN-UP is run, it will check for the MCAFEE.MSG file and use it,
  513.           if found.
  514.  
  515.                Support for other languages such as Chinese, Dutch, Finnish,
  516.           French (Canadian), German, Hungarian, Norwegian, Portuguese,
  517.           Russian, Spanish (European), Swahili, Swedish and Bulgarian is
  518.           planned for future releases.  Contact your local McAfee Associates
  519.           Authorized Agent or McAfee Associates directly for availability.
  520.  
  521.  
  522.  
  523.  
  524.  
  525.  
  526.  
  527.  
  528.  
  529.  
  530.  
  531.  
  532.  
  533.  
  534.  
  535.  
  536.  
  537.  
  538.  
  539.  
  540.  
  541.  
  542.  
  543.  
  544.  
  545.  
  546.  
  547.  
  548.  
  549.  
  550.  
  551.