home *** CD-ROM | disk | FTP | other *** search
/ Nautilus 1994 August / Nautilus CD Magazine Volume 4-8 August 1994 Windows Edition.mdf / compware / virus / wscan / viruscan.txt < prev    next >
Text File  |  1994-06-26  |  234KB  |  5,878 lines

  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.  
  8.  
  9.  
  10.  
  11.  
  12.  
  13.  
  14.  
  15.  
  16.  
  17.  
  18.  
  19.  
  20.  
  21.  
  22.  
  23.                            VirusScan Version 2.10
  24.                        Copyright 1994 by McAfee, Inc.
  25.                             All Rights Reserved.
  26.  
  27.               Documentation by Aryeh Goretsky and Logical Arts.
  28.  
  29.  
  30.  
  31.  
  32.  
  33.  
  34.  
  35.  
  36.  
  37.  
  38.  
  39.  
  40.  
  41.  
  42.  
  43.  
  44.  
  45.  
  46.  
  47.             McAfee, Inc.                 (408) 988-3832 office
  48.             2710 Walsh Avenue            (408) 970-9727 fax
  49.             Santa Clara, CA  95051-0963  (408) 988-4004 BBS (25 lines)
  50.             U.S.A.                       USR HST/v.32/v.42bis/MNP1-5
  51.                                          CompuServe        GO MCAFEE
  52.                                          InterNet support@mcafee.COM
  53.                                          America Online       MCAFEE
  54.  
  55.            Using VirusScan (Version 2.10)                           
  56.             
  57.             TABLE OF CONTENTS
  58.  
  59.             Chapter 1: Welcome to VirusScan  / 1   
  60.                        What VirusScan includes  / 3 
  61.                        System requirements  / 5
  62.                        License and registration  / 6
  63.                        Technical support  / 6 
  64.             Chapter 2: Don't skip this chapter  / 10 
  65.                        Installing VirusScan  / 11 
  66.                        Scanning your system  / 14 
  67.                        If you detect a virus  / 16 
  68.                        Activating VShield  / 19 
  69.                        Making a clean start-up diskette  / 21 
  70.                        Running the VirusScan programs  / 23 
  71.                        When to rescan  / 25 
  72.                        Updating VirusScan regularly  / 25 
  73.             Chapter 3: VirusScan reference  / 28 
  74.                        Technical overview  / 30 
  75.                        Validating Scan  / 31 
  76.                        Running Scan from the command line  / 31 
  77.                        Scan command line option summary  / 33 
  78.                        Scan option descriptions  / 35
  79.                        Cleaning viruses  / 45 
  80.                        Examples  / 49 
  81.                        Error levels  / 50
  82.                        Application note 1: Updating validation codes  / 52 
  83.                        Application note 2: Reformatting infected 
  84.                           diskettes with DOS 5.0 and later  / 52 
  85.                        Technical note 1: Creating an exception 
  86.                           list file for the /EXCLUDE option  / 53 
  87.             Chapter 4: VShield reference  / 54 
  88.                        Four levels of protection  / 57 
  89.                        Running VShield  / 59 
  90.                        VShield option summary  / 63 
  91.                        VShield option descriptions  / 65 
  92.                        Deciding which options are for you  / 72 
  93.                        Examples  / 74 
  94.                        Error levels  / 75 
  95.                        Using VShieldCRC  / 76 
  96.                        VShieldCRC option summary  / 77 
  97.                        Using CheckVShield  / 78 
  98.                        Technical note 1: Creating an exception list 
  99.                           for the /EXCLUDE option  / 80 
  100.                        Technical note 2: Sample NetWare login 
  101.                           script and .BAT file  / 81 
  102.             Chapter 5: Tips & troubleshooting  / 82 
  103.             Appendix A: Retrieving McAfee programs with
  104.                         communications software  / 90 
  105.             Appendix B: Options comparison between VirusScan 
  106.                         versions 1.5 and 2.10  / 92 
  107.             Glossary  / 102
  108.             
  109.             
  110.            Using VirusScan (Version 2.10)                           1
  111.  
  112.             CHAPTER 1: WELCOME TO VIRUSSCAN
  113.             
  114.             Thank you for purchasing McAfee(R)'s VirusScan(TM)
  115.             software, a powerful and advanced system
  116.             designed to detect, eradicate, and prevent
  117.             computer viruses. VirusScan will help you
  118.             protect one of your most important assets--the
  119.             information on your personal computer or local
  120.             area network.
  121.             
  122.             VirusScan includes two main programs:
  123.             
  124.             o The Scan program detects known viruses in your
  125.               computer's memory or on disks. It can also
  126.               detect new and unknown viruses. Once viruses
  127.               are detected, it can remove them and restore
  128.               your system to normal operation. The Scan
  129.               program comes in two forms:
  130.  
  131.               o A graphical interface so that you can select
  132.                 commands and options using a mouse and
  133.                 keyboard, if you like. For instructions,
  134.                 see the on-line documentation.
  135.               
  136.               o A command line interface, so you can run the
  137.                 program and select options by typing from a
  138.                 command prompt or from batch or script files,
  139.                 if you prefer.
  140.  
  141.             o The VShield(TM) memory-resident program
  142.               continuously monitors and protects your
  143.               system from viruses that might be introduced.
  144.             
  145.             The VirusScan programs run on IBM-PC or 100%
  146.             compatible personal computers (PCs) that use
  147.             DOS, Windows, or OS/2.
  148.             
  149.             VirusScan is an important element of a
  150.             comprehensive security program that includes a
  151.             variety of safety measures, such as regular
  152.             backups, meaningful password protection,
  153.             training, and awareness. We urge you to set up
  154.             and comply with such a security program in your
  155.             organization. For tips on how to do this, see
  156.             "Other sources of information" in this chapter.
  157.             
  158.             
  159.             
  160.             
  161.             
  162.             
  163.             
  164.             
  165.            Using VirusScan (Version 2.10)                           2
  166.             
  167.             HOW TO USE THIS MANUAL
  168.             
  169.             This manual will help you get VirusScan running
  170.             quickly and properly on DOS, Windows, and OS/2
  171.             systems.
  172.             
  173.             All the key information is in Chapter 2, "Don't
  174.             skip this chapter." Please don't install
  175.             VirusScan before reading it, even if you are a
  176.             PC power user or already familiar with Scan.
  177.             Installing and using VirusScan is not like using
  178.             other software.
  179.             
  180.             The rest of Chapter 1, "Welcome to VirusScan,"
  181.             describes the programs and files on your
  182.             VirusScan disk, system requirements, how to
  183.             register, and how to get help.
  184.             
  185.             Chapter 3, "VirusScan reference," and Chapter 4,
  186.             "VShield reference," contain reference
  187.             information for Scan and VShield, respectively.
  188.             Many users will not need to read these chapters,
  189.             because basic operation of VirusScan, as
  190.             described in Chapter 2, will detect and remove
  191.             most viruses from your system. The options
  192.             described in Chapters 3 and 4 offer additional
  193.             power and control, and are most useful in
  194.             vulnerable environments and to network
  195.             administrators and information services staff.
  196.             
  197.             Chapter 5, "Tips & troubleshooting," explains
  198.             how to get the most out of VirusScan, and how to
  199.             cope with some common problems.
  200.             
  201.             Appendix A describes how to retrieve new
  202.             versions of McAfee programs using your
  203.             communications software.
  204.             
  205.             Appendix B describes differences in command line
  206.             options between VirusScan version 1.5 and
  207.             version 2.10.
  208.             
  209.             
  210.             
  211.             
  212.             
  213.             
  214.             
  215.             
  216.             
  217.             
  218.             
  219.             
  220.            Using VirusScan (Version 2.10)                           3
  221.             
  222.             NOTATION
  223.  
  224.             In this manual, we use several conventions to distinguish
  225.             particular kinds of text.
  226.  
  227.             CONVENTION     │  EXAMPLE     │  REPRESENTS
  228.             ═══════════════╪══════════════╪══════════════════════════
  229.             Uppercase      │  C:\>        │  What your
  230.                            │              │  computer displays
  231.                            │              │  on your screen.
  232.             ───────────────┼──────────────┼──────────────────────────
  233.             Lowercase      │  scan c:     │  What you
  234.                            │              │  type, verbatim.
  235.             ───────────────┼──────────────┼──────────────────────────
  236.             Curly braces   │  {filename}  │  Required
  237.                            │              │  element; do not
  238.                            │              │  type braces { }.
  239.             ───────────────┼──────────────┼──────────────────────────
  240.             Square braces  │  [filename]  │  Optional
  241.                            │              │  element; do not
  242.                            │              │  type braces [ ].
  243.             ───────────────┼──────────────┼──────────────────────────
  244.             Upper-case in  │  <ENTER>     │  Key to press
  245.             brackets       │              │  on the
  246.                            │              │  keyboard.
  247.  
  248.             WHAT VIRUSSCAN INCLUDES
  249.             
  250.             In addition to Scan and VShield, your VirusScan
  251.             diskette contains another program that will help
  252.             you use VirusScan. The Validate program ensures
  253.             that new versions of VirusScan software you've
  254.             obtained are authentic and unmodified.
  255.             
  256.             Your VirusScan diskette also contains several
  257.             useful text files, which you can view and print
  258.             with a text editor, word processor, or print
  259.             command. You'll find version-specific
  260.             information in the README.1ST file.
  261.             
  262.             
  263.             
  264.             
  265.             
  266.             
  267.             
  268.             
  269.             
  270.             
  271.             
  272.             
  273.             
  274.  
  275.            Using VirusScan (Version 2.10)                           4
  276.             
  277.             VIRUSSCAN FILES AFTER UNPACKING
  278.  
  279.             After unpacking VirusScan you should have appropriate
  280.             program files on your system for the version you have
  281.             obtained (DOS, Windows, or OS/2). Several useful text
  282.             files are also included.
  283.  
  284.             VirusScan for DOS.
  285.             AGENTS.TXT   - lists McAfee authorized agents.
  286.             CLEAN.DAT    - virus removal data file required by SCAN.EXE
  287.             COMPUSER.NOT - explains how to obtain CompuServe membership
  288.             FILE_ID.DIZ  - description of VirusScan used by some BBS
  289.                            software
  290.             LICENSE.TXT  - explains how to license VirusScan
  291.             NAMES.DAT    - virus name data file required by SCAN.EXE
  292.             PACKING.LST  - contains a list of all files, including
  293.                            validation information
  294.             README.1ST   - late-breaking information and new
  295.                            instructions not contained in this manual
  296.             REGISTER.TXT - explains how to register VirusScan for
  297.                            your use
  298.             SCAN.DAT     - virus string data file required by SCAN.EXE
  299.             SCAN.EXE     - the VirusScan program
  300.             SCAN.TXT     - on-line manual for Scan
  301.             VALIDATE.EXE - used to check VirusScan programs for
  302.                            authenticity
  303.             VALIDATE.TXT - explains how to run VALIDATE.EXE
  304.  
  305.             VShield
  306.             AGENTS.TXT   - lists McAfee authorized agents.
  307.             CHKVSHLD.EXE - checks for presence of VShield and VShieldCRC
  308.                            in memory
  309.             COMPUSER.NOT - explains how to obtain CompuServe membership
  310.             FILE_ID.DIZ  - description of VShield used by some BBS
  311.                            software
  312.             LICENSE.TXT  - explains how to license VShield
  313.             PACKING.LST  - contains a list of all files, including
  314.                            validation information
  315.             REGISTER.TXT - explains how to register VirusScan for 
  316.                            your use
  317.             VALIDATE.EXE - used to check VirusScan programs for
  318.                            authenticity
  319.             VALIDATE.TXT - explains how to run VALIDATE.EXE
  320.             VSHIELD.DAT  - virus string data file required by
  321.                            VSHIELD.EXE
  322.             VSHIELD.EXE  - the VShield program
  323.             VSHIELD.TXT  - on-line manual for VShield
  324.             VSHLDCRC.EXE - the VShieldCRC program
  325.             VSHLDWIN.EXE - used by VShield and VShieldCRC to display
  326.                            messages within Windows
  327.  
  328.  
  329.  
  330.            Using VirusScan (Version 2.10)                           5
  331.  
  332.             VirusScan for OS/2
  333.             AGENTS.TXT   - lists McAfee authorized agents.
  334.             CLEAN.DAT    - virus removal data file required by
  335.                            OS2SCAN.EXE
  336.             COMPUSER.NOT - explains how to obtain CompuServe membership
  337.             FILE_ID.ZIP  - description of VirusScan used by some BBS
  338.                            software
  339.             LICENSE.TXT  - explains how to license VirusScan
  340.             NAMES.DAT    - virus name data file required by OS2SCAN.EXE
  341.             PACKING.LST  - contains a list of all files, including
  342.                            validation information
  343.             README.1ST   - late-breaking information and new
  344.                            instructions not contained in this manual
  345.             REGISTER.DOC - explains how to register VirusScan for your
  346.                            use
  347.             OS2SCAN.EXE  - the VirusScan program
  348.             SCAN.DAT     - virus string data file required by
  349.                            OS2SCAN.EXE
  350.             SO32DLL.DLL  - dynamic link library required by OS2SCAN.EXE
  351.             TCP32DLL.DLL - dynamic link library required by OS2SCAN.EXE
  352.             USR32DLL.DLL - dynamic link library required by OS2SCAN.EXE
  353.             VALIDATE.EXE - used to check VirusScan programs for
  354.                            authenticity
  355.             VALIDATE.TXT - explains how to run VALIDATE.EXE
  356.            
  357.             SYSTEM REQUIREMENTS
  358.             
  359.             The VirusScan programs require an IBM-compatible
  360.             personal computer and any of the following
  361.             operating systems:
  362.             
  363.             o DOS 3.1 or later and at least 340Kb of free
  364.               RAM for the command line programs and 530Kb
  365.               of free RAM for the graphical programs.
  366.  
  367.             o Windows 3.1 or later and at least 4Mb of RAM.
  368.  
  369.             o IBM OS/2 2.1 or later and at least 8Mb of RAM.
  370.  
  371.             VShield is a terminate-and-stay-resident (TSR)
  372.             program that requires 67Kb of free memory.
  373.             VShield attempts to minimize the use of
  374.             conventional memory by loading into expanded,
  375.             extended, or upper memory. For more information,
  376.             see "VShield reference" in Chapter 4.
  377.             
  378.             You'll need a high-density 3.5" diskette drive
  379.             to use the VirusScan diskette in this package.
  380.             Contact McAfee for other media, or download the
  381.             software from the McAfee bulletin board system
  382.             (BBS).
  383.             
  384.             
  385.            Using VirusScan (Version 2.10)                           6
  386.             
  387.             LICENSE AND REGISTRATION
  388.             
  389.             The VirusScan software is provided under license
  390.             from McAfee, Inc., a copy of which is provided
  391.             with this manual. Please read it and comply with
  392.             it.
  393.             
  394.             Also, please fill out and return the
  395.             registration form in your VirusScan package.
  396.             Registration entitles you to upgrades at no
  397.             charge from McAfee's bulletin board system and
  398.             other sources, as well as technical support, for
  399.             one year from your date of purchase.
  400.             
  401.             TECHNICAL SUPPORT
  402.             
  403.             For help in using this product, we invite you to
  404.             contact McAfee technical support. You can
  405.             contact us:
  406.             
  407.             o On-line 24 hours a day, through our bulletin
  408.               board system, CompuServe, or Internet (see
  409.               "On-line access to updates and technical
  410.               support" below);
  411.  
  412.             o By fax, at (408) 970-9727; or
  413.  
  414.             o By telephone at (408) 988-3832, Monday through
  415.               Friday, 6:00 am to 5:00 pm Pacific Standard
  416.               Time.
  417.  
  418.             For fast and accurate help, please have the
  419.             following information ready when you contact
  420.             McAfee:
  421.             
  422.             o Program name and version number.
  423.  
  424.             o Type and brand of computer, hard disk, and any
  425.               peripherals.
  426.  
  427.             o Version of DOS, along with any TSRs or device
  428.               drivers in use.
  429.  
  430.             o Printouts of your AUTOEXEC.BAT and CONFIG.SYS
  431.               files.
  432.  
  433.             o A printout of the contents of memory, from the
  434.               MEM command (provided in DOS 4.0 and later)
  435.               or a similar utility.
  436.  
  437.             
  438.             
  439.             
  440.            Using VirusScan (Version 2.10)                           7
  441.             
  442.             o A description of the exact problem you are
  443.               having. Please be as specific as possible. If
  444.               you can't be at your computer when you call,
  445.               a printout of the screen will be helpful.
  446.  
  447.             If you are overseas, you can contact a McAfee
  448.             authorized agent. Agents are located in more
  449.             than 50 countries around the world and provide
  450.             local sales and support for our software. Please
  451.             refer to the AGENTS.TXT file for a complete list
  452.             of McAfee agents.
  453.             
  454.             ON-LINE ACCESS TO UPDATES AND TECHNICAL SUPPORT
  455.             
  456.             McAfee updates VirusScan monthly to add new
  457.             virus detectors, new options, and fix reported
  458.             bugs. To distribute these new versions, we run a
  459.             multi-line bulletin board system, a forum on
  460.             CompuServe, and an Internet node.
  461.             
  462.             MCAFEE BULLETIN BOARD SYSTEM (BBS)
  463.             
  464.             Our multi-line BBS is accessible 24 hours a day,
  465.             365 days a year, except for scheduled downtime
  466.             and maintenance. All lines run high-performance
  467.             modems operating from 1,200 bps to 14,400 bps
  468.             with line settings of 8 data bits, no parity,
  469.             and 1 stop bit. The McAfee BBS phone number is
  470.             (408) 988-4004.
  471.             
  472.             Appendix A, "Retrieving McAfee programs with
  473.             communications software" explains how to dial up
  474.             the McAfee BBS. Both technical support and
  475.             software updates are available on the bulletin
  476.             board.
  477.             
  478.             MCAFEE FORUM ON COMPUSERVE
  479.             
  480.             We sponsor the McAfee Virus Help Forum on
  481.             CompuServe. To reach it, type GO MCAFEE at any
  482.             CompuServe prompt. A free introductory
  483.             membership is available. For more information,
  484.             please read the enclosed COMPUSER.TXT file.
  485.             
  486.             
  487.             
  488.             
  489.             
  490.             
  491.             
  492.             
  493.             
  494.  
  495.            Using VirusScan (Version 2.10)                           8
  496.             
  497.             INTERNET ACCESS
  498.             
  499.             The latest versions of McAfee's anti-virus
  500.             software are available by anonymous ftp (file
  501.             transfer protocol) over the Internet from the
  502.             site mcafee.com. If your domain resolver does
  503.             not support names, use the IP address
  504.             192.187.128.1. Enter anonymous or ftp as your
  505.             user ID and your own e-mail address as the
  506.             password. Programs are located in the
  507.             pub/antivirus directory. If you have questions,
  508.             please send e-mail to support@mcafee.com.
  509.             
  510.             You can also find McAfee's anti-virus software
  511.             at the SimTel Software Repository at
  512.             Oak.Oakland.EDU in the simtel/msdos/virus
  513.             directory and its associated mirror sites:
  514.             
  515.             o wuarchive.wustl.edu (US).
  516.             o ftp.switch.ch (Switzerland).
  517.             o ftp.funet.fi (Finland).
  518.             o src.doc.ic.ac (UK).
  519.             o archie.au (Australia).
  520.  
  521.             MCAFEE PRODUCTS AND SERVICES
  522.             
  523.             Founded in 1989, McAfee, Inc. is the leading
  524.             provider of tools for productive computing for
  525.             the DOS, OS/2, and Windows environments. Our
  526.             anti-virus products are used by more than 16,000
  527.             corporations worldwide. Our utility products
  528.             provide data security, automated version
  529.             updating, and system inspection and editing.
  530.             McAfee is also the pioneer and leading provider
  531.             of electronically distributed software. All of
  532.             McAfee's products can be purchased through
  533.             dealers or downloaded from bulletin board
  534.             systems and on-line services around the world.
  535.             
  536.             McAfee doesn't stop at developing the world's
  537.             best anti-virus and utility products. We back
  538.             them with the industry's best service and
  539.             technical support. Product support is provided
  540.             by a full-time staff of virus researchers,
  541.             programmers, and support professionals, and
  542.             delivered directly by McAfee or our network of
  543.             more than 150 Authorized Agent offices in more
  544.             than 50 countries worldwide.
  545.             
  546.             
  547.             
  548.             
  549.             
  550.            Using VirusScan (Version 2.10)                           9
  551.             
  552.             OTHER SOURCES OF INFORMATION
  553.             
  554.             The McAfee BBS and CompuServe Virus Help Forum
  555.             are excellent sources of information on virus
  556.             protection. Batch files and utilities to help
  557.             you use VirusScan software are often available,
  558.             along with helpful advice.
  559.             
  560.             Independent publishers, colleges, training
  561.             centers, and vendors also offer information and
  562.             training about virus protection and computer
  563.             security.
  564.             
  565.             We especially recommend the following books:
  566.             
  567.             o Ferbrache, David. A Pathology of Computer
  568.               Viruses. London: Springer-Verlag, 1992.
  569.               (ISBN 0-387-19610-2)
  570.  
  571.             o Hoffman, Lance J. Rogue Programs: Viruses,
  572.               Worms, and Trojan Horses. Van Nostrand
  573.               Reinhold, 1990. (ISBN 0-442-00454-0)
  574.  
  575.             o Jacobson, Robert V. The PC Virus Control
  576.               Handbook, 2nd Ed. San Francisco: Miller
  577.               Freeman Publications, 1990. (ISBN 0-87930-194-0)
  578.  
  579.             o Jacobson, Robert V. Using McAfee Associates
  580.               Software for Safe Computing. New York:
  581.               International Security Technology, 1992.
  582.               (ISBN 0-9627374-1-0)
  583.  
  584.             In addition, the following sources can provide
  585.             useful information about viruses:
  586.             
  587.             o National Computer Security Association (NCSA)
  588.               10 South Courthouse Avenue
  589.               Carlisle, PA 17013
  590.  
  591.             o CompuServe VIRUSFORUM
  592.  
  593.             o Internet comp.virus newsgroup
  594.  
  595.  
  596.  
  597.  
  598.  
  599.  
  600.  
  601.  
  602.  
  603.  
  604.  
  605.            Using VirusScan (Version 2.10)                           10
  606.             
  607.             CHAPTER 2: DON'T SKIP THIS CHAPTER
  608.             or, What You Really Need to Know About VirusScan
  609.             
  610.             We're serious about this. Installing and running
  611.             the VirusScan(TM) programs is not like using
  612.             other software. Even if you are a personal
  613.             computer power user, use the VirusScan
  614.             installation procedure and follow the tasks in
  615.             this chapter.
  616.             
  617.             The reason is to avoid spreading a computer
  618.             virus infection. Viruses spread when you start
  619.             your computer (sometimes called booting) from an
  620.             infected disk, or when you run an infected
  621.             program. If your computer is infected,
  622.             installing and running VirusScan on your hard
  623.             disk may spread the infection, even to the
  624.             VirusScan programs themselves. The tasks in this
  625.             chapter will ensure that you have a clean
  626.             environment to detect, eradicate, and prevent
  627.             viruses.
  628.             
  629.             This is like a surgical team establishing a
  630.             "sterile field" before performing surgery. Once
  631.             it is established, they make sure that
  632.             everything brought into the field has already
  633.             been sterilized. In this procedure, you will
  634.             create a clean anti-viral start-up diskette with
  635.             which you can always re-establish the sterile
  636.             field.
  637.             
  638.             Your VirusScan diskette is write-protected to
  639.             ensure that no virus can alter the programs and
  640.             information stored there. Under no circumstances
  641.             should you remove the write protection.
  642.             
  643.             Here's a summary of the tasks you'll follow in
  644.             this chapter:
  645.             
  646.             o Installing VirusScan
  647.             o Scanning your system.
  648.             o If you detect a virus.
  649.             o Activating VShield(TM).
  650.             o Making a clean start-up (boot) diskette.
  651.             o Running the VirusScan programs.
  652.             o When to scan for viruses.
  653.             o Updating VirusScan regularly.
  654.  
  655.             
  656.             
  657.             
  658.             
  659.  
  660.            Using VirusScan (Version 2.10)                           11
  661.             
  662.             NOTE: Because OS/2 programs run in a protected
  663.             mode, OS/2 systems are not vulnerable to viruses
  664.             as DOS and Windows systems are. Many OS/2 users
  665.             run DOS and Win-OS/2 sessions, however, and they
  666.             are still vulnerable. By using the VirusScan
  667.             programs as described in this manual, you can
  668.             protect the DOS and Win-OS/2 portions of your
  669.             OS/2 system from infection.
  670.             
  671.             INSTALLING VIRUSSCAN
  672.  
  673.             This task explains how to check your system and install the
  674.             VirusScan software under DOS, Windows, or OS/2. Don't use
  675.             any other method to install VirusScan, or you risk spreading
  676.             a virus.
  677.             
  678.             INSTALLATION STEPS
  679.  
  680.             Start from the system prompt (C:\> or [C:\]). If you are
  681.             running Windows or an application program, exit from it to
  682.             display the prompt. If you are running OS/2, close all DOS
  683.             and Win-OS/2 sessions open the Command Prompts folder in the
  684.             OS/2 System folder, and click on either the OS/2 Full Screen
  685.             or OS/2 Window icons.
  686.  
  687.             After typing each entry on the command line, press <ENTER>.
  688.  
  689.             1. Create a directory to contain the VirusScan files, as
  690.                in the following example:
  691.  
  692.                     C:\> mkdir c:\mcafee
  693.  
  694.                and press <ENTER>. 
  695.  
  696.                If you have an earlier version of VirusScan already
  697.                installed, create a separate directory (such as 
  698.                c:\newvscan) for the new version. (You should test 
  699.                the new version before removing the earlier version.)
  700.  
  701.             2. Copy the VirusScan archived (.ZIP) file to this 
  702.                directory, as in the following example:
  703.  
  704.                     C:\> copy c:\download\*.zip c:\mcafee
  705.  
  706.                and press <ENTER>.
  707.  
  708.             3. Change to the VirusScan directory you just created,
  709.                as in the following example:
  710.  
  711.                     C:\> cd c:\mcafee
  712.  
  713.                and press <ENTER>.
  714.  
  715.            Using VirusScan (Version 2.10)                           12
  716.             
  717.             4. Unzip the file using PKUNZIP.EXE, as in the following
  718.                example:
  719.  
  720.                     C:\mcafee> PKUNZIP *.ZIP
  721.  
  722.                and press <ENTER>.
  723.             
  724.             5. Run VirusScan to check your local hard disk(s) by
  725.                typing:
  726.  
  727.                     c:\mcafee> scan /adl
  728.  
  729.                and pressing <ENTER>. It may take several minutes
  730.                for the Scan program to check for viruses in memory,
  731.                then on the system and user portions of your drives.
  732.                Scan keeps you informed of its progress. Read the
  733.                information carefully, and write down the name of any
  734.                viruses Scan reports.
  735.  
  736.             6. If Scan reports no virus found, congratulations--
  737.                most likely your system is currently virus-free. 
  738.                Continue with "Making a Clean Start-Up Diskette" 
  739.                in this chapter.
  740.  
  741.                If Scan finds one or more viruses, you'll see a message like:
  742.                
  743.                     Found the Jerusalem Virus
  744.  
  745.                and installation will stop. Don't panic, even if the
  746.                virus has infected many files. At the same time, don't
  747.                run any other programs, especially if the virus is
  748.                found in memory. Go directly to "If you detect a virus"
  749.                later in this chapter for further instructions.
  750.  
  751.             7. Create a directory on your hard disk to store the
  752.                VirusScan files in by typing:
  753.  
  754.                     C:\> mkdir mcafee
  755.  
  756.                and pressing <ENTER>.
  757.  
  758.             8. Copy the VirusScan files from the 'VirusScan Program
  759.                Diskette' in drive A: to your hard disk by typing:
  760.  
  761.                     C:\> copy a:\*.* c:\mcafee
  762.  
  763.                and pressing <ENTER>.  VirusScan has now been installed
  764.                onto your hard disk.  Now your system's startup files
  765.                must be modified to find VirusScan on your system.
  766.  
  767.                
  768.  
  769.  
  770.            Using VirusScan (Version 2.10)                           13
  771.             
  772.             9. DOS and Windows users: Using a text editor program, 
  773.                load your AUTOEXEC.BAT file.  Locate the path statement,
  774.                which typically begins with a 'PATH' or 'SET PATH ='
  775.                statement.  Place your cursor at the end of this line
  776.                and type:
  777.  
  778.                     ;C:\MCAFEE
  779.  
  780.                and press <ENTER>.  Now save your AUTOEXEC.BAT file and
  781.                exit the editor.
  782.  
  783.                NOTE: If a semi-colon ";" is already present at the end
  784.                      of the line, do not add one to the path statement.
  785.  
  786.                OS/2 users: Make the same change listed above to the
  787.                            'SET PATH=' and 'SET LIBPATH=' statements in
  788.                            your CONFIG.SYS file. Now save your CONFIG.SYS
  789.                            file and exit the editor.
  790.  
  791.             Congratulations! You've successfully installed VirusScan.
  792.             Restart your computer now and continue with this chapter to
  793.             see how you can use VirusScan to keep your computer virus-
  794.             free. We recommend looking over the following sections in
  795.             this chapter:
  796.  
  797.             o "Scanning Your System"
  798.             o "If You Detect A Virus"
  799.             o "Activating VShield"
  800.             o "Making A Clean Start-Up Diskette"
  801.  
  802.             Continue with the remaining tasks in this chapter, beginning
  803.             with "Running the VirusScan Programs" to find out how and
  804.             when to run and update the VirusScan programs.
  805.             
  806.             
  807.             
  808.             
  809.             
  810.             
  811.             
  812.             
  813.             
  814.             
  815.             
  816.             
  817.             
  818.             
  819.             
  820.             
  821.             
  822.             
  823.  
  824.  
  825.            Using VirusScan (Version 2.10)                           14
  826.            
  827.             SCANNING YOUR SYSTEM
  828.             
  829.             VirusScan's Scan program examines your PC and
  830.             disks to detect viruses there. The first time
  831.             you run Scan, do so from the original, write-
  832.             protected diskette so that the programs
  833.             themselves cannot be infected.
  834.             
  835.             Start from the system prompt (C> or [C:\]). 
  836.             If you are running Windows or an application
  837.             program, exit from it to display the prompt. If
  838.             you are running OS/2, close all DOS and Win-OS/2
  839.             sessions; then open the Command Prompts folder
  840.             in the OS/2 system folder, and click the OS/2
  841.             Full Screen or OS/2 Window icon.
  842.             
  843.             After typing each entry on the command line,
  844.             press [Enter]. If you include the /REPORT
  845.             option, Scan saves a report of infected files
  846.             and any system errors to a log file that you
  847.             specify.
  848.  
  849.             1. Insert the VirusScan program diskette in drive A.
  850.  
  851.             2. Scan your C drive for known viruses by typing:
  852.  
  853.                DOS or Windows
  854.                     C> a:scan c: /report c:\virus.log
  855.                
  856.                OS/2 
  857.                     [C:\] a:os2scan c: /report c:\virus.log
  858.             
  859.                Or, if you have more than one hard drive, scan
  860.                them in the same way. For example, if you have C
  861.                and D drives:
  862.             
  863.                DOS or Windows
  864.                     C> a:scan c: d: /report c:\virus.log
  865.             
  866.                OS/2
  867.                     [C:\] a:os2scan c: d: /report c:\virus.log
  868.             
  869.                You can also scan all local drives using the
  870.                /ADL option. For example:
  871.             
  872.                DOS or Windows
  873.                     C> a:scan /adl /report c:\virus.log
  874.             
  875.                OS/2
  876.                     [C:\] a:os2scan /adl /report c:\virus.log
  877.             
  878.  
  879.  
  880.            Using VirusScan (Version 2.10)                           15
  881.                
  882.                It may take several minutes for the Scan program
  883.                to check for viruses in memory, then on the
  884.                system and user portions of your drives. Scan
  885.                keeps you informed of its progress. Read the
  886.                information on the screen carefully. Below is a
  887.                sample of what Scan reports when checking a
  888.                drive for viruses.
  889.  
  890.                ┌──────────────────────────────────────────────────┐
  891.                │  Virus data file V2.1.204 created Thu Jun 02     │
  892.                │  12:17:53 1994                                   │
  893.                │                                                  │
  894.                │  No viruses found in memory.                     │
  895.                │                                                  │
  896.                │  Scanning C:                                     │
  897.                │  Summary report on C:                            │
  898.                │  File(s)                                         │
  899.                │        Analyzed:.......         1500             │
  900.                │        Scanned:........          750             │
  901.                │        Possibly Infected:.......   0             │
  902.                │        Master Boot Record(s):..    1             │
  903.                │        Possibly Infected:.......   0             │
  904.                │        Boot Sector(s):.........    1             │
  905.                │        Possibly Infected:.......   0             │
  906.                │                                                  │
  907.                │  Time: 60.00 sec.                                │
  908.                └──────────────────────────────────────────────────┘
  909.             
  910.             3. If Scan reports No viruses found,
  911.                congratulations--most likely your system is
  912.                currently virus-free. Skip to "Activating
  913.                VShield" later in this chapter.
  914.  
  915.                If Scan finds one or more viruses, you'll see a
  916.                message like:
  917.  
  918.                ┌──────────────────────────────────────────────────┐
  919.                │  Scanning C:                                     │
  920.                │  Scanning file C:\DOS\ATTRIB.EXE                 │
  921.                │  Found the Jerusalem Virus                       │
  922.                └──────────────────────────────────────────────────┘
  923.           
  924.                DON'T PANIC, even if the virus has infected many
  925.                files. At the same time, don't run any other
  926.                programs, especially if the virus is found in
  927.                memory. Turn to "If you detect a virus" later 
  928.                in this chapter, where VirusScan will help you 
  929.                eradicate it.
  930.             
  931.             NOTE: Scan has many options to control and fine-
  932.             tune the scope, validation, and operation of its
  933.             scan. For details, see Chapter 3 and "Detecting
  934.             new and unknown viruses" in Chapter 5.
  935.            Using VirusScan (Version 2.10)                           16            
  936.             
  937.             IF YOU DETECT A VIRUS
  938.             
  939.             In this task, you will run Scan with the /CLEAN
  940.             option to eradicate most known viruses from your
  941.             disks.
  942.             
  943.             NOTE: If you are at all unsure about how to
  944.             proceed once you've found a virus, contact
  945.             McAfee for assistance (see "Technical support"
  946.             in Chapter 1).
  947.             
  948.             We strongly recommend that you get experienced
  949.             help in dealing with viruses if you are
  950.             unfamiliar with anti-virus software and methods.
  951.             This is especially true for "critical" viruses
  952.             and master boot record (MBR or so-called
  953.             "partition table")/boot sector infections,
  954.             because improper removal of these viruses can
  955.             result in the loss of all data and use of the
  956.             infected disks.
  957.             
  958.             RESTART FROM A CLEAN ENVIRONMENT
  959.             
  960.             You must run Scan from a clean, virus-free
  961.             environment. With DOS or Windows, restart from a
  962.             clean diskette. With OS/2, simply close all DOS
  963.             and Win-OS/2 sessions.
  964.             
  965.             DOS OR WINDOWS
  966.             
  967.             With DOS or Windows, the only way to ensure a
  968.             clean environment is to turn your computer off
  969.             to eliminate any viruses in memory, then restart
  970.             from a virus-free diskette, preferably the
  971.             original, write-protected DOS installation
  972.             diskette that came with your computer. If you
  973.             don't have one, borrow or buy one; don't use a
  974.             diskette that might be infected. (See "Making a
  975.             clean start-up diskette" later in this chapter
  976.             for instructions. Create this diskette after you
  977.             clean your system.)
  978.             
  979.             1. Turn off your computer. (Don't just reset or
  980.                reboot, which may leave some viruses intact
  981.                in the computer's memory.)
  982.  
  983.  
  984.  
  985.  
  986.  
  987.  
  988.  
  989.  
  990.            Using VirusScan (Version 2.10)                           17            
  991.             
  992.             2. Make sure your clean boot (start-up) diskette
  993.                is write-protected.
  994.  
  995.                o For a 3.5" diskette, slide its corner tab so
  996.                  that the square hole is open.
  997.  
  998.                o For a 5.25" diskette, cover its corner notch
  999.                  with a write-protect tab. Be sure to use the
  1000.                  write-protect stickers provided with your
  1001.                  diskettes, not tape.
  1002.             
  1003.             3. Insert your start-up diskette in drive A.
  1004.  
  1005.             4. Turn on your computer and wait until you see
  1006.                the system prompt (probably A>). Don't run
  1007.                any programs on your hard disk, or you may
  1008.                reactivate the virus.
  1009.  
  1010.             OS/2
  1011.             
  1012.             With OS/2, you can eliminate any viruses from
  1013.             memory by closing all DOS, Win-OS/2, and virtual
  1014.             DOS machine (VDM) sessions. Because OS/2
  1015.             programs run in protected mode, viruses cannot
  1016.             spread between them.
  1017.             
  1018.             BACK UP YOUR HARD DISK
  1019.             
  1020.             Some viruses may leave certain disks or files
  1021.             unusable when cleaned up. To increase your
  1022.             chance of recovery, boot from a clean copy of
  1023.             the operating system, then copy all the files on
  1024.             all of your hard disks onto fresh diskettes or a
  1025.             backup tape. You can use a commercial backup
  1026.             program, or the one included with DOS or OS/2.
  1027.             Scan the program disk first to make sure that
  1028.             the backup program itself is not infected. Do
  1029.             not run the backup program if it is infected.
  1030.             Instead, reload it from your original
  1031.             installation diskettes.
  1032.             
  1033.             Although some of the backed-up files may be
  1034.             infected, it is better to have current copies
  1035.             than not. However, don't overwrite previous
  1036.             backup disks or tapes, which may or may not be
  1037.             infected.
  1038.             
  1039.             
  1040.  
  1041.  
  1042.  
  1043.  
  1044.  
  1045.            Using VirusScan (Version 2.10)                           18
  1046.             
  1047.             RUN SCAN WITH THE /CLEAN OPTION
  1048.             
  1049.             Start from the system prompt (probably A> or
  1050.             [A:\]). If you are running OS/2, open the
  1051.             Command Prompts folder in the OS/2 system
  1052.             folder, and click the OS/2 Full Screen or OS/2
  1053.             Window icon.
  1054.             
  1055.             After typing each entry on the command line,
  1056.             press [Enter].
  1057.  
  1058.             1. Insert the VirusScan program diskette in drive A.
  1059.             
  1060.             2. Eliminate the first known virus on your hard
  1061.                drive(s) by typing:
  1062.  
  1063.                DOS or Windows
  1064.                A> a:scan /adl /clean
  1065.             
  1066.                OS/2
  1067.                [A:\] a:os2scan /adl /clean
  1068.             
  1069.             Scan keeps you informed of its progress and
  1070.             generally reports virus removed successfully. If
  1071.             Scan reports that the virus could not safely be
  1072.             removed, see the next section, "If viruses were
  1073.             not removed, contact technical support."
  1074.             
  1075.             NOTE: Scan has options to control and fine-tune
  1076.             the scope, validation, and operation of its
  1077.             disinfection. For details, see "Scan option
  1078.             descriptions" in Chapter 3.
  1079.             
  1080.             IF VIRUSES WERE NOT REMOVED, CONTACT TECHNICAL SUPPORT
  1081.             
  1082.             If Scan can't remove a virus, it will tell you:
  1083.             
  1084.                  Virus cannot be removed from this file.
  1085.             
  1086.             Make sure to take note of the filename, because
  1087.             you will need to restore it from backups. Run
  1088.             Scan again, this time using the /CLEAN and /DEL
  1089.             options to delete the remaining infected files,
  1090.             as described in Chapter 3. If you have any
  1091.             questions, contact McAfee (see "Technical
  1092.             support" in Chapter 1).
  1093.             
  1094.             
  1095.  
  1096.  
  1097.  
  1098.  
  1099.  
  1100.            Using VirusScan (Version 2.10)                           19
  1101.             
  1102.             IF VIRUSES WERE SAFELY REMOVED, RESCAN AND CHECK DISKETTES
  1103.             
  1104.             If Scan has successfully removed all the
  1105.             viruses, restart your computer. Restart
  1106.             installation as described in "Installing
  1107.             VirusScan" earlier in this chapter. Thereafter,
  1108.             you can proceed to "Making a clean start-up
  1109.             diskette" and "Running the VirusScan programs"
  1110.             later in this chapter.
  1111.             
  1112.             One common source of virus infection is floppy
  1113.             diskettes. Once you've finished installing
  1114.             VirusScan on your hard disk, use Scan again to
  1115.             examine and disinfect the diskettes you use, as
  1116.             described in "When to rescan" later in this
  1117.             chapter.
  1118.             
  1119.             FALSE ALARMS
  1120.             
  1121.             Due to the nature of anti-virus software, there
  1122.             is a possibility that Scan may report a virus in
  1123.             a file that is not infected. This can be more
  1124.             likely if you are using more than one brand of
  1125.             virus protection software, especially if the
  1126.             virus is reported in memory and not anywhere on
  1127.             the disk when you boot.
  1128.             
  1129.             If Scan reports a virus infection that you
  1130.             suspect may be in error, contact McAfee (see
  1131.             "Technical support" in Chapter 1). You can
  1132.             upload the file to our bulletin board system at
  1133.             (408) 988-4004, along with your name, address,
  1134.             daytime telephone number, and electronic mail
  1135.             address (if any).
  1136.             
  1137.             ACTIVATING VSHIELD
  1138.             
  1139.             VirusScan's VShield program can help prevent
  1140.             viruses from infecting your system. It runs as a
  1141.             "terminate-and-stay-resident" (TSR) program,
  1142.             remaining in memory and scanning and
  1143.             intercepting programs as they are executed.
  1144.             
  1145.             To activate VShield at any time:
  1146.             
  1147.             o DOS or Windows
  1148.               Restart your computer by pressing [Ctrl]+[Alt]+[Del], 
  1149.               or by turning it off and then on again, or any 
  1150.               other reset method.
  1151.  
  1152.  
  1153.  
  1154.  
  1155.            Using VirusScan (Version 2.10)                           20
  1156.             
  1157.             o OS/2
  1158.               Restart all DOS and Win-OS/2 windows. If you have 
  1159.               difficulties running VShield, it may be due to 
  1160.               conflicts with other TSR programs in your system, 
  1161.               or with other programs that monitor disk access. 
  1162.               See "VShield option summary" in Chapter 4 and 
  1163.               "Troubleshooting VShield" in Chapter 5 for more 
  1164.               information. Contact McAfee technical support if you
  1165.               need help (see "Technical support" in Chapter 1).
  1166.             
  1167.             VShield minimizes the use of conventional memory
  1168.             by attempting to load into extended, expanded,
  1169.             upper memory, or a combination of them, before
  1170.             using conventional memory. For extreme memory
  1171.             limitations, you can use VShield's /SWAP option
  1172.             to reduce memory requirements to 7Kb, although
  1173.             this decreases VShield's speed. For details, see
  1174.             Chapter 4.
  1175.             
  1176.             NOTE: VShield has options to control and fine-
  1177.             tune the scope, validation, and operation of its
  1178.             virus prevention. For details, see Chapter 4. 1
  1179.             When used in conjunction with some Scan options,
  1180.             VShield can help protect your system from new
  1181.             and unknown viruses. For details, see "Detecting
  1182.             new and unknown viruses" in Chapter 5. 1 In
  1183.             OS/2, VShield runs in DOS and Win-OS/2 sessions
  1184.             only, because viruses can operate only in those
  1185.             sessions. 1 In Windows, you can use the VShield
  1186.             icon to turn messages from VShield on and off.
  1187.             (VShield itself, however, remains active.) For
  1188.             details, see Chapter 4.
  1189.             
  1190.  
  1191.  
  1192.  
  1193.  
  1194.  
  1195.  
  1196.  
  1197.  
  1198.  
  1199.  
  1200.  
  1201.  
  1202.  
  1203.  
  1204.  
  1205.  
  1206.  
  1207.  
  1208.  
  1209.  
  1210.            Using VirusScan (Version 2.10)                           21
  1211.             
  1212.             MAKING A CLEAN START-UP DISKETTE
  1213.             
  1214.             In DOS or Windows, create a clean anti-viral
  1215.             start-up (boot) diskette that you can use to
  1216.             regain your "sterile field" if your system
  1217.             becomes infected. This is not necessary in OS/2,
  1218.             although it will be helpful to make backup
  1219.             copies of your OS/2 installation diskettes.
  1220.             
  1221.             DOS OR WINDOWS
  1222.             
  1223.             In DOS, start from the system prompt (C>). In
  1224.             Windows, you may open a DOS window, or duplicate
  1225.             these steps with the Windows File Manager.
  1226.             
  1227.             1. Insert a blank or dispensable diskette in
  1228.                drive A. Make sure the diskette contains no
  1229.                important information, as this procedure will
  1230.                overwrite it.
  1231.  
  1232.             2. Format it as a start-up diskette with the
  1233.                system files by typing:
  1234.  
  1235.                     C> format a: /s/v/u
  1236.             
  1237.                NOTE: If you are using a version of DOS before
  1238.                DOS 5.0, do not type the /U option. The  /U
  1239.                option in recent DOS versions ensures that
  1240.                the system portions of the diskette are
  1241.                overwritten.
  1242.  
  1243.                When prompted for a volume label, enter
  1244.                virusfree01 or another name of up to 11
  1245.                characters.
  1246.  
  1247.             3. Copy the Scan program to the diskette. Here's
  1248.                one way to do this, assuming that your VirusScan 
  1249.                files are stored in C:\MCAFEE\VIRUSCAN:
  1250.  
  1251.                     C> copy c:\mcafee\viruscan\scan.exe a:
  1252.                     C> copy c:\mcafee\viruscan\scan.dat a:
  1253.                     C> copy c:\mcafee\viruscan\clean.dat a:
  1254.                     C> copy c:\mcafee\viruscan\names.dat a:
  1255.  
  1256.             
  1257.             
  1258.             
  1259.             
  1260.             
  1261.             
  1262.             
  1263.             
  1264.  
  1265.            Using VirusScan (Version 2.10)                           22
  1266.             
  1267.             4. Copy useful DOS programs to the diskette.
  1268.                Here's one way to do this, assuming that your
  1269.                DOS files are stored in C:\DOS:
  1270.  
  1271.                     C> copy c:\dos\chkdsk.* a:
  1272.                     C> copy c:\dos\debug.* a:
  1273.                     C> copy c:\dos\diskcopy.* a:
  1274.                     C> copy c:\dos\fdisk.* a:
  1275.                     C> copy c:\dos\format.* a:
  1276.                     C> copy c:\dos\label.* a:
  1277.                     C> copy c:\dos\mem.* a:
  1278.                     C> copy c:\dos\sys.* a:
  1279.                     C> copy c:\dos\unerase.* a:
  1280.                     C> copy c:\dos\xcopy.* a:
  1281.  
  1282.                In the same way, copy other DOS programs that
  1283.                you think might be useful.
  1284.             
  1285.                NOTE: If you use a disk compression utility, be
  1286.                sure to copy the drivers required to access
  1287.                the compressed disks onto the clean start-up
  1288.                diskette.
  1289.  
  1290.             5. Remove the diskette from the drive and write-
  1291.                protect it so that it cannot become infected.
  1292.  
  1293.                o For a 3.5" diskette, slide its corner tab so
  1294.                  that the square hole is open.
  1295.  
  1296.                o For a 5.25" diskette, cover its corner notch
  1297.                  with a write-protect tab. Be sure to use the
  1298.                  write-protect stickers provided with your
  1299.                  diskettes, not tape.
  1300.  
  1301.             6. Label the diskette "Virus-Free start-up" and
  1302.                put it away in a secure place in case you
  1303.                need to reestablish a virus-free environment
  1304.                in the future. You may want to note the date
  1305.                and versions of DOS and VirusScan on the label.
  1306.             
  1307.             OS/2
  1308.             
  1309.             With OS/2, you don't need a virus-free start-up
  1310.             disk. However, it will be helpful to keep a
  1311.             clean copy of important files. Copy the
  1312.             VirusScan OS/2 program and data files and your
  1313.             CONFIG.SYS, STARTUP.CMD and AUTOEXEC.BAT files
  1314.             onto a clean start-up diskette. Write-protect
  1315.             the diskette, label it, and put it away in a
  1316.             secure place.
  1317.             
  1318.  
  1319.  
  1320.            Using VirusScan (Version 2.10)                           23
  1321.  
  1322.             RUNNING THE VIRUSSCAN PROGRAMS
  1323.            
  1324.             DOS
  1325.             
  1326.             To run the VirusScan programs from the DOS
  1327.             command prompt, type the program name (SCAN or
  1328.             VSHIELD) on the command line. Follow the program
  1329.             name with the drive (if applicable to the
  1330.             program) and whatever options you want.
  1331.             
  1332.             NOTE: If you have not changed the path statement
  1333.             in your AUTOEXEC.BAT file, you will need to
  1334.             include its location (usually
  1335.             C:\MCAFEE\VIRUSCAN) in the command, or change to
  1336.             that directory.
  1337.             
  1338.             For example, to examine a diskette in drive A:
  1339.             
  1340.                  C> c:\mcafee\viruscan\scan a:
  1341.             
  1342.             EXCEPTION: If Scan detects a virus in memory or
  1343.             on your hard disk, don't run Scan with the
  1344.             /CLEAN option from C:\MCAFEE\VIRUSCAN. Instead,
  1345.             restart your computer and run Scan from your
  1346.             clean start-up diskette as described in "If you
  1347.             detect a virus" earlier in this chapter.
  1348.             
  1349.             VirusScan can list the viruses it detects. To
  1350.             view this list, run Scan with the /VIRLIST
  1351.             option, as described in Chapter 3.
  1352.             
  1353.             WINDOWS
  1354.             
  1355.             The Windows installation procedure installs
  1356.             icons for Scan for Windows and VShield in the
  1357.             McAfee group. To use them, open the folder and
  1358.             double-click the program icon. See Chapter 3 for
  1359.             instructions on using Scan for Windows.
  1360.             
  1361.             NOTE: If a virus is active in memory, do not use
  1362.             interactive Scan to remove it, because Windows
  1363.             or other system files might be infected and you
  1364.             risk spreading the virus.
  1365.             
  1366.             If you've detected such a virus, restart your
  1367.             computer and run Scan from your clean start-up
  1368.             diskette, as described in "If you detect a
  1369.             virus" earlier in this chapter.
  1370.             
  1371.  
  1372.  
  1373.  
  1374.             
  1375.            Using VirusScan (Version 2.10)                           24
  1376.  
  1377.             VSHIELD AND WINDOWS
  1378.             
  1379.             You can add a line to your AUTOEXEC.BAT file that 
  1380.             automatically activates VShield whenever you start 
  1381.             or restart your computer. In Windows, it also gives 
  1382.             you a VShield icon that you can click to turn VShield
  1383.             messages on or off.
  1384.             
  1385.             NOTE: You can change VShield options from the
  1386.             DOS command line by removing VShield from memory
  1387.             and rerunning it, by editing the VSHIELD command
  1388.             in your AUTOEXEC.BAT file, or by editing the default 
  1389.             configuration file. See Chapter 4 for details.
  1390.             
  1391.             OS/2
  1392.             
  1393.             To run Scan from OS/2, open the Command Prompts
  1394.             folder in the OS/2 system folder and click the
  1395.             OS/2 Full Screen or OS/2 Window icon. Next, type
  1396.             the program name (os2scan) on the command line.
  1397.             Follow the program name with the drive,
  1398.             directory, or file(s) you want to scan and the
  1399.             options you want to use.
  1400.             
  1401.             NOTE: If you have not changed the PATH and
  1402.             LIBPATH statements in your CONFIG.SYS file, you
  1403.             will need to include its location (usually
  1404.             C:\MCAFEE\VIRUSCAN) on the command line, or
  1405.             change to that directory.
  1406.             
  1407.             For example, to examine a diskette in drive A:
  1408.             
  1409.                  [C:\] c:\mcafee\viruscan\os2scan a:
  1410.             
  1411.             NOTE: VShield does not run in OS/2 sessions,
  1412.             only under DOS and Win-OS/2 sessions inside of
  1413.             OS/2. You can place the VShield command in your 
  1414.             AUTOEXEC.BAT file, where it will run automatically 
  1415.             when you start a DOS or Win-OS/2 session. You can 
  1416.             also run it from the DOS command line, as described 
  1417.             earlier in this section.
  1418.             
  1419.             
  1420.             
  1421.             
  1422.             
  1423.             
  1424.             
  1425.             
  1426.             
  1427.             
  1428.             
  1429.             
  1430.            Using VirusScan (Version 2.10)                           25
  1431.             
  1432.             WHEN TO RESCAN
  1433.             
  1434.             Although VShield will monitor your software for
  1435.             viruses, it's wise to scan your disks when you
  1436.             introduce new programs, or disks that may be
  1437.             infected. New programs and files are generally
  1438.             introduced in two ways: by inserting a diskette
  1439.             and booting from it, and by installing new
  1440.             programs. It is also possible to download a
  1441.             virus inadvertently via a modem, but this is
  1442.             very rare.
  1443.             
  1444.             You can use VShield with the /ANYACCESS option
  1445.             to scan diskettes automatically. For more
  1446.             information, see "/ANYACCESS" in "VShield option
  1447.             descriptions" in Chapter 4.
  1448.             
  1449.             For instructions on running VirusScan, see
  1450.             "Running the VirusScan programs" earlier in this
  1451.             chapter.
  1452.             
  1453.             WHEN YOU INSERT AN UNCHECKED DISKETTE
  1454.             
  1455.             Every time you insert a new diskette in your
  1456.             drive, run Scan on it before executing,
  1457.             installing, or copying its files. If you have
  1458.             several diskettes to scan, you can scan them
  1459.             consecutively using the /MANY option described
  1460.             in Chapter 3. In fact, we recommend doing this
  1461.             now with all the diskettes you normally use, as
  1462.             well as diskettes received from friends,
  1463.             coworkers, salespeople, and even your own
  1464.             diskettes if they have been in another PC.
  1465.             
  1466.             WHEN YOU INSTALL OR DOWNLOAD NEW FILES
  1467.             
  1468.             Every time you install new software on your hard
  1469.             drive, or download executable files from a
  1470.             network server, bulletin board, or on-line
  1471.             service, run Scan on the directory in which the
  1472.             files were placed before you execute the files.
  1473.             
  1474.             UPDATING VIRUSSCAN REGULARLY
  1475.             
  1476.             Unfortunately, new viruses (and variants of old
  1477.             ones) appear and circulate often in the personal
  1478.             computer community. Fortunately, McAfee updates
  1479.             the VirusScan programs regularly--usually
  1480.             monthly, but sooner if many new viruses have
  1481.             appeared. Each new version may detect and
  1482.             eradicate as many as 60-100 new viruses or more,
  1483.             and may add new features. To find out what's
  1484.             new, review the README.1ST text file.
  1485.            Using VirusScan (Version 2.10)                           26
  1486.             
  1487.             DOWNLOAD NEW VERSIONS
  1488.             
  1489.             As a VirusScan licensee, you may download new
  1490.             versions without charge for one year from your
  1491.             date of purchase. Use your communications
  1492.             software to download new versions from the
  1493.             McAfee bulletin board, CompuServe, or the
  1494.             Internet. See Chapter 1 and Appendix A for more
  1495.             information.
  1496.             
  1497.             New versions of McAfee software are stored in
  1498.             compressed form to reduce transmission time.
  1499.             
  1500.             NOTE: Always download and decompress the files
  1501.             in a separate directory from your current files.
  1502.             That way, if you discover a problem with the new
  1503.             files, you'll still have the old ones.
  1504.             
  1505.             VALIDATE VIRUSSCAN
  1506.             
  1507.             When you download a program file from any source
  1508.             other than the McAfee bulletin board or other
  1509.             McAfee service, it's important to verify that it
  1510.             is authentic, unaltered, and uninfected. McAfee
  1511.             anti-virus software includes a program called
  1512.             Validate that helps you do this. When you
  1513.             receive a new version of VirusScan, run Validate
  1514.             on all of the program files.
  1515.             
  1516.             To do this for Scan, start from the system prompt 
  1517.             (C> or [C:\]):
  1518.  
  1519.             1. Navigate to the directory to which you've
  1520.                downloaded the files. For example, if you've
  1521.                stored the files in C:\MCAFEE\DOWNLD\VIRUSCAN:
  1522.  
  1523.                   C> c:
  1524.                   C> cd \mcafee\downld\viruscan
  1525.  
  1526.             2. Type the command:
  1527.  
  1528.                DOS or Windows
  1529.                   C> validate scan.exe
  1530.             
  1531.                OS/2
  1532.                   [C:\] os2val os2scan.exe
  1533.  
  1534.             3. Compare the results with the information in
  1535.                the PACKING.LST file or other text file for
  1536.                the program you validated. If the validation
  1537.                results match what's in the file, it is
  1538.                highly unlikely that the program has been
  1539.                modified.
  1540.            Using VirusScan (Version 2.10)                           27
  1541.             
  1542.             UPDATE YOUR CLEAN START-UP DISKETTE
  1543.             
  1544.             Once you have validated the new version, copy it
  1545.             into your C:\MCAFEE\VIRUSCAN directory. In
  1546.             addition, copy the Scan program onto your clean
  1547.             start-up diskette. Below is one way to do this;
  1548.             you may also use the Windows File Manager or the
  1549.             OS/2 environment.
  1550.             
  1551.             Note any changes you've made to default options,
  1552.             because you may want to select and save them
  1553.             again. Start from the system prompt (C> or
  1554.             [C:\]).
  1555.             
  1556.             1. Navigate to the directory to which you've retrieved
  1557.                the files, such as C:\MCAFEE\DOWNLD\VIRUSCAN:
  1558.             
  1559.                      C> c:
  1560.                      C> cd \mcafee\downld\viruscan
  1561.  
  1562.             2. Copy the contents of the directory to 
  1563.                C:\MCAFEE\VIRUSCAN:
  1564.  
  1565.                     C> copy *.* c:\mcafee\viruscan
  1566.  
  1567.             3. Temporarily remove write-protection from your
  1568.                clean start-up diskette and insert it in
  1569.                drive A.
  1570.  
  1571.                o For a 3.5" diskette, slide its corner tab so
  1572.                  that the square hole is closed.
  1573.  
  1574.                o For a 5.25" diskette, remove the tab from its
  1575.                  corner notch.
  1576.  
  1577.             4. Copy the Scan program to the diskette.
  1578.  
  1579.                DOS or Windows
  1580.                   C> copy SCAN.EXE a:
  1581.            
  1582.                OS/2
  1583.                   [C:\] copy OS2SCAN.EXE a:
  1584.             
  1585.             5. Remove the diskette from the drive and write-
  1586.                protect it again.
  1587.  
  1588.  
  1589.  
  1590.  
  1591.  
  1592.  
  1593.  
  1594.  
  1595.            Using VirusScan (Version 2.10)                           28
  1596.             
  1597.             CHAPTER 3: VIRUSSCAN REFERENCE
  1598.             
  1599.             VirusScan's Scan program detects, identifies,
  1600.             and disinfects known DOS computer viruses. Scan
  1601.             checks memory and both the system and data areas
  1602.             of disks for virus infections. If Scan finds a
  1603.             known virus, in most cases it will eliminate the
  1604.             virus and fully restore infected programs or
  1605.             system areas to normal operation.
  1606.             
  1607.             To obtain a list of all the viruses that Scan
  1608.             detects, run Scan with the /VIRLIST option.
  1609.             
  1610.             In addition, Scan can also assign validation and
  1611.             recovery codes to files, and use those codes to
  1612.             detect and treat infection by new and unknown
  1613.             viruses. If Scan has stored validation or
  1614.             recovery data for files, it may detect file
  1615.             changes and warn that infection by an unknown
  1616.             virus may have occurred. Scan can also use the
  1617.             recovery codes to remove new or unknown viruses
  1618.             and restore infected files, master boot records
  1619.             (MBRs), and boot sectors.
  1620.             
  1621.             Scan runs on DOS, Windows, and OS/2. The program
  1622.             files are SCAN.EXE (DOS), WSCAN.EXE (Windows),
  1623.             MSCAN.EXE (Menu DOS), and OS2SCAN.EXE (OS/2),
  1624.             respectively. This chapter describes them all.
  1625.             
  1626.             NOTE: Because OS/2 operates in a protected mode
  1627.             environment, Scan for OS/2 does not check
  1628.             memory. To protect against viruses in OS/2 DOS
  1629.             and Win-OS/2 sessions, use the VShield (for DOS)
  1630.             virus prevention program.
  1631.             
  1632.             DO YOU NEED TO READ THIS CHAPTER?
  1633.             
  1634.             Many users will not need the Scan command line
  1635.             options described in this chapter. We have
  1636.             designed Scan so that basic operation, as
  1637.             described in "Scanning your system" and "When to
  1638.             rescan" in Chapter 2, will detect most viruses
  1639.             in your system. The command line options
  1640.             described here offer additional power and
  1641.             control over virus detection. They enable you to
  1642.             run Scan from batch or script files, and are
  1643.             most useful in vulnerable environments and to
  1644.             network administrators and information services
  1645.             staff.
  1646.             
  1647.  
  1648.  
  1649.  
  1650.            Using VirusScan (Version 2.10)                           29
  1651.  
  1652.             SYSTEM REQUIREMENTS AND SUPPORT
  1653.            
  1654.             Scan requires DOS 3.1 or later, Windows 3.1 or
  1655.             later, or IBM OS/2 Version 2.1 or later. Running
  1656.             Scan for DOS with command line options requires
  1657.             360Kb of free RAM. Running MScan with the
  1658.             graphical interface requires 530Kb of free RAM.
  1659.             
  1660.             Scan works with 3Com 3/Share and 3/Open,
  1661.             Artisoft LanTastic, AT&T StarLAN, Banyan VINES,
  1662.             DEC Pathworks, IBM LAN Server, Microsoft LAN
  1663.             Manager, Novell NetWare, and any other IBMNET-
  1664.             or NETBIOS-compatible network operating systems.
  1665.             Contact McAfee or your local authorized agent if
  1666.             you do not see your network listed (see
  1667.             "Technical support" in Chapter 1).
  1668.             
  1669.             Scan is designed to check for pre-existing
  1670.             infections of known and unknown viruses on
  1671.             floppy, hard, CD-ROM, and compressed (SuperStor,
  1672.             Stacker, DoubleSpace, and so on) disks on both
  1673.             stand-alone and networked personal computers, as
  1674.             well as network file servers. If you have a
  1675.             Novell NetWare/386 V3.1X or 4.01 file server,
  1676.             you may want to use the NETShield(TM) virus
  1677.             prevention NetWare Loadable Module (NLM) in
  1678.             conjunction with Scan.
  1679.             
  1680.             NOTE: To use Scan to clean up (disinfect) virus-
  1681.             infected files, the CLEAN.DAT file must be
  1682.             present in the same subdirectory as Scan. If you
  1683.             don't have the CLEAN.DAT file, first verify
  1684.             whether you should contact your system
  1685.             administrator or information systems staff
  1686.             directly for virus clean-up. Otherwise, you can
  1687.             contact McAfee (see "Technical support" in
  1688.             Chapter 1).
  1689.             
  1690.             
  1691.             
  1692.             
  1693.             
  1694.             
  1695.             
  1696.             
  1697.             
  1698.             
  1699.             
  1700.             
  1701.             
  1702.             
  1703.             
  1704.  
  1705.            Using VirusScan (Version 2.10)                           30            
  1706.             
  1707.             TECHNICAL OVERVIEW
  1708.             
  1709.             KNOWN VIRUS DETECTION
  1710.             
  1711.             Scan detects known viruses by searching the
  1712.             system for known characteristics (sequences of
  1713.             code) unique to each computer virus and
  1714.             reporting their presence if found. For viruses
  1715.             that encrypt or cipher their code so that every
  1716.             infection is different, Scan uses detection
  1717.             algorithms that work by statistical analysis,
  1718.             heuristics, and code disassembly.
  1719.             
  1720.             NEW AND UNKNOWN VIRUS DETECTION
  1721.             
  1722.             Scan can also check for new or unknown viruses
  1723.             by comparing files against previously recorded
  1724.             validation data. If a file has been modified, it
  1725.             will no longer match the validation data, and
  1726.             Scan will report that the file may have become
  1727.             infected. With certain options, Scan /CLEAN can
  1728.             use the validation and recovery data to restore
  1729.             infected files, master boot records (MBRs), or
  1730.             boot sectors.
  1731.             
  1732.             NOTE TO NETWORK USERS
  1733.             
  1734.             To use Scan on a network drive (or directory),
  1735.             you must be connected to that drive and have
  1736.             read access to it. Some command line options
  1737.             described in this chapter attempt to create,
  1738.             change, and delete files. To use these options,
  1739.             you must have sufficient access rights. If you
  1740.             have questions about access rights, contact your
  1741.             network administrator.
  1742.             
  1743.             
  1744.             
  1745.             
  1746.             
  1747.             
  1748.             
  1749.             
  1750.             
  1751.             
  1752.             
  1753.             
  1754.             
  1755.             
  1756.             
  1757.             
  1758.             
  1759.             
  1760.            Using VirusScan (Version 2.10)                           31           
  1761.             
  1762.             VALIDATING SCAN
  1763.             
  1764.             The Scan program in your VirusScan package is
  1765.             supplied on a write-protected diskette that
  1766.             should be secure from infection. We recommend
  1767.             that you update your copy of the VirusScan
  1768.             programs regularly. You can obtain an upgrade
  1769.             from several sources, as described in "Updating
  1770.             VirusScan regularly" in Chapter 2.
  1771.             
  1772.             Before using a new version of Scan for the first
  1773.             time, verify that it has not been tampered with
  1774.             or infected by using the Validate program, as
  1775.             described in "Validate VirusScan" in Chapter 2.
  1776.             If your new copy of Scan differs from the
  1777.             validation data in the on-line documentation
  1778.             file, it may have been damaged. Don't use it,
  1779.             and obtain a clean copy of Scan from a known
  1780.             source.
  1781.             
  1782.             Scan performs an integrity test when run. This
  1783.             self-check allows Scan to determine if it has
  1784.             been modified. If Scan fails its integrity test,
  1785.             a warning message appears, and Scan refuses to
  1786.             run and returns to the command line prompt. You
  1787.             must obtain an undamaged copy before continuing.
  1788.             
  1789.             RUNNING SCAN FROM THE COMMAND LINE
  1790.             
  1791.             Scan checks files and other areas of the system
  1792.             that can contain computer viruses. When a virus
  1793.             is found, Scan identifies the virus and the
  1794.             system area or file where it was found.
  1795.             
  1796.             By default, Scan examines only executable files
  1797.             (.EXE, .COM, .SYS, .BIN, .OVL, and .DLL files).
  1798.             These are the files most likely to be infected
  1799.             with a virus. Once you've installed VirusScan
  1800.             and have established a "sterile field" (as
  1801.             described in Chapter 2), you might not need to
  1802.             scan every file on your system again. Use the
  1803.             /ALL option to scan all files on your system.
  1804.             See "Scan option descriptions" later in this
  1805.             chapter for more information about the /ALL option.
  1806.             
  1807.             NOTE: The list of extensions for standard
  1808.             executables has changed from previous versions
  1809.             of VirusScan.
  1810.             
  1811.             
  1812.             
  1813.             
  1814.             
  1815.            Using VirusScan (Version 2.10)                           32  
  1816.  
  1817.             From DOS or OS/2, you can run Scan from the
  1818.             system prompt. (From OS/2, open the Command
  1819.             Prompts folder in the OS/2 system folder, then
  1820.             click the OS/2 Full Screen or OS/2 Window icon
  1821.             to see the system prompt.) The syntax is:
  1822.             
  1823.             DOS
  1824.                  C> scan {drives} [options]
  1825.             
  1826.             OS/2
  1827.                  [C:\] os2scan {drives} [options]
  1828.             
  1829.             {drives} indicates one or more drives to be
  1830.             scanned. You must specify one or more drives to
  1831.             scan. If you list a drive like c:, all of its
  1832.             subdirectories will be scanned. If you list \,
  1833.             only the root directory and boot area of the
  1834.             current disk will be scanned. If you list \ or a
  1835.             directory, its subdirectories will not be
  1836.             scanned unless you use the /SUB option.
  1837.             
  1838.             [options] indicates one or more of the Scan
  1839.             options listed in the next section, "Scan
  1840.             command line option summary."
  1841.             
  1842.             
  1843.             
  1844.             
  1845.             
  1846.             
  1847.             
  1848.             
  1849.             
  1850.             
  1851.             
  1852.             
  1853.             
  1854.             
  1855.             
  1856.             
  1857.             
  1858.             
  1859.             
  1860.             
  1861.             
  1862.             
  1863.             
  1864.             
  1865.             
  1866.             
  1867.             
  1868.             
  1869.             
  1870.            Using VirusScan (Version 2.10)                           33            
  1871.             
  1872.             SCAN COMMAND LINE OPTION SUMMARY
  1873.             
  1874.             /? or /HELP
  1875.               Display help screen (not available in Windows, 
  1876.               use Help menu instead).
  1877.             
  1878.             /ADL
  1879.               Scan all local drives (except floppy drives).
  1880.             
  1881.             /ADN
  1882.               Scan all network drives.
  1883.             
  1884.             /AF {filename}
  1885.               Store validation/recovery codes in filename.
  1886.             
  1887.             /ALERT {servername}
  1888.               Alert the servername server about infected files.
  1889.             
  1890.             /ALL
  1891.               Scan all files, not just standard executables.
  1892.             
  1893.             /APPEND   
  1894.               Append to, rather than overwrite, the file (/REPORT).
  1895.             
  1896.             /AV
  1897.               Add validation/recovery data to program files.
  1898.             
  1899.             /BOOT
  1900.               Scan boot sector and master boot record only.
  1901.             
  1902.             /CF {filename}
  1903.               Check validation/recovery codes in filename.
  1904.             
  1905.             /CLEAN    
  1906.               Clean up infections in boot sector, master 
  1907.               boot record, and files when possible.
  1908.             
  1909.             /CV
  1910.               Check validation/recovery data in files.
  1911.             
  1912.             /DEL
  1913.               Overwrite and delete infected files.
  1914.             
  1915.             /EXCLUDE {filename}
  1916.               Exclude from scan any files listed in filename
  1917.               (with /AV).
  1918.             
  1919.             /FAST     
  1920.               Speed up VirusScan's scanning; may detect fewer viruses.
  1921.            
  1922.             /LISTEN {servername}     
  1923.               Load Scan and wait for a command from the 
  1924.               servername server.
  1925.            Using VirusScan (Version 2.10)                           34
  1926.             
  1927.             /LOAD {filename}    
  1928.               Use Scan settings stored in filename.
  1929.             
  1930.             /LOG
  1931.               Save date and time VirusScan was last run in SCAN.LOG.
  1932.             
  1933.             /MANY     
  1934.               Scan multiple diskettes.
  1935.             
  1936.             /MOVE {directory}   
  1937.               Move infected files to directory.
  1938.             
  1939.             /NOCOMP   
  1940.               Skip checking compressed executables created 
  1941.               with the LZEXE or PKLITE file compression programs.
  1942.             
  1943.             /NOMEM    
  1944.               Skip memory checking (not applicable to OS/2).
  1945.             
  1946.             /PAUSE    
  1947.               Enable screen pause.
  1948.             
  1949.             /PLAD     
  1950.               Preserve last access dates on Novell drives.
  1951.             
  1952.             /REPORT {filename}  
  1953.               Create report of infected files found during scan 
  1954.               in filename.
  1955.             
  1956.             /RF {filename}
  1957.               Remove validation/recovery codes in filename.
  1958.             
  1959.             /RPTCOR   
  1960.               Add list of corrupted files to the report file.
  1961.             
  1962.             /RPTERR   
  1963.               Add list of system errors to the report file.
  1964.             
  1965.             /RPTMOD   
  1966.               Add list of modified files to the report file.
  1967.             
  1968.             /RV  
  1969.               Remove validation/recovery data from files.
  1970.             
  1971.             /SHOWLOG  
  1972.               Display information in SCAN.LOG.
  1973.             
  1974.             /SUB 
  1975.               Scan subdirectories inside a directory.
  1976.  
  1977.             /VIRLIST  
  1978.               Display list of viruses detected by VirusScan.
  1979.             
  1980.            Using VirusScan (Version 2.10)                           35
  1981.             
  1982.             SCAN OPTION DESCRIPTIONS
  1983.             
  1984.             Here is a detailed description of Scan's options.
  1985.             
  1986.             /? or /HELP
  1987.             Display list of Scan options
  1988.             
  1989.             Does not scan. Instead, displays a list of Scan
  1990.             command line options with a brief description of
  1991.             each. No scanning is performed when these
  1992.             options are specified. Use either of these
  1993.             options alone on the command line.
  1994.             
  1995.             
  1996.             /ADL
  1997.             Scan all local drives (except floppy drives)
  1998.             
  1999.             Scans all local drives for viruses, in addition
  2000.             to those specified on the command line. In DOS,
  2001.             use /ADL to check all local drives, including
  2002.             compressed drives and CD-ROMs. To scan both
  2003.             local and network drives, use /ADL and /ADN
  2004.             together in the same command line.
  2005.             
  2006.             
  2007.             /ADN
  2008.             Scan all network drives
  2009.             
  2010.             Scans all network drives for viruses, in
  2011.             addition to those specified on the command line.
  2012.             To scan both local and network drives, use /ADL
  2013.             and /ADN together in the same command line.
  2014.             
  2015.             
  2016.             /AF {filename}
  2017.             Store validation/recovery codes in file
  2018.             
  2019.             Helps you detect and recover from new or unknown
  2020.             viruses. /AF logs validation and recovery data
  2021.             for executable files, boot sector, and master
  2022.             boot record (MBR) of a disk in the file you
  2023.             specify. The log file is about 95 bytes per file
  2024.             validated. You must specify a filename, which
  2025.             can include the target drive and directory (such
  2026.             as D:\VSVALID\VALCODES.VSC). If the target path
  2027.             is a network drive, you must have rights to
  2028.             create and delete files on that drive. If
  2029.             filename exists, Scan updates it. /AF adds about
  2030.             300% more time to scanning.
  2031.             
  2032.             
  2033.             
  2034.             
  2035.            Using VirusScan (Version 2.10)                           36            
  2036.  
  2037.             To exclude self-modifying or self-checking files
  2038.             that might cause false alarms, use the /EXCLUDE
  2039.             option. To recover from a virus using the /AF
  2040.             information, use the /CF and /CLEAN options
  2041.             together in the same command line. Using any of
  2042.             the /AF, /CF, or /RF options together in the
  2043.             same command line returns an error.
  2044.             
  2045.             NOTE: /AF performs the same function as /AV, but
  2046.             stores its data in a separate file rather than
  2047.             changing the executable files themselves. For
  2048.             more information, see "Detecting new and unknown
  2049.             viruses" in Chapter 5.
  2050.             
  2051.             
  2052.             /ALERT {servername}
  2053.             Alert the server about infected files (OS/2 only)
  2054.             
  2055.             Notifies the servername server if infected files
  2056.             are detected during the scan. Using /ALERT and
  2057.             /LISTEN in the same command line returns an
  2058.             error. See your Command & Control Server
  2059.             documentation for more information.
  2060.             
  2061.             
  2062.             /ALL
  2063.             Check all files, not just standard executable files.
  2064.             
  2065.             Increases system security by performing a more
  2066.             thorough scan. Otherwise, Scan checks only
  2067.             standard executable files (with .COM, .EXE,
  2068.             .SYS, .BIN, .OVL, and .DLL extensions), which
  2069.             are the files most likely to be infected by a
  2070.             virus. If /ALL is specified, Scan checks all
  2071.             files on the specified drive, which increases
  2072.             Scan's ability to detect viruses in overlay
  2073.             files but substantially increases the scanning
  2074.             time required. Use this option if you have found
  2075.             a virus or suspect one. (Note that the list of
  2076.             extensions for standard executables, above, has
  2077.             changed from previous releases of VirusScan.)
  2078.             
  2079.             
  2080.             /APPEND
  2081.             Append to the report file.
  2082.             
  2083.             Used in conjunction with /REPORT, appends the
  2084.             report message text to the specified report
  2085.             file, if it exists. Otherwise, the /REPORT
  2086.             option overwrites the specified report file, if
  2087.             it exists.
  2088.             
  2089.             
  2090.            Using VirusScan (Version 2.10)                           37            
  2091.  
  2092.             /AV
  2093.             Add validation/recovery data to files
  2094.             
  2095.             Helps you detect and recover from new or unknown
  2096.             viruses. /AV adds recovery and validation data
  2097.             to each standard executable file (.EXE, .COM,
  2098.             .SYS, .BIN, .OVL, and .DLL), increasing the size
  2099.             of each file by 98 bytes. To update files on a
  2100.             shared network drive, you must have update
  2101.             access rights. The /AV option adds about 100%
  2102.             more time to scanning.
  2103.             
  2104.             To exclude self-modifying or self-checking files
  2105.             that might cause false alarms, use the /EXCLUDE
  2106.             option. To recover from a virus using the /AF
  2107.             information, use the /CV and /CLEAN options
  2108.             together in the same command line. Using any of
  2109.             the /AV, /CV, or /RV options together in the
  2110.             same command line returns an error.
  2111.             
  2112.             NOTE: The /AV option does not store any
  2113.             information about the master boot record (MBR)
  2114.             or boot sector of the drive being scanned.
  2115.             
  2116.             
  2117.             /BOOT
  2118.             Scan boot sector and master boot record only
  2119.             
  2120.             Scans the boot sector and master boot record on
  2121.             the specified drive(s), but not files or
  2122.             directories on those drives.
  2123.             
  2124.             
  2125.             /CF {filename}
  2126.             Check validation/recovery codes in file
  2127.             
  2128.             Helps you detect new or unknown viruses. Checks
  2129.             validation data stored by the /AF option in
  2130.             filename. If a file or system area has changed,
  2131.             Scan reports that a viral infection may have
  2132.             occurred. The /CF option adds about 250% more
  2133.             time to scanning. For more information, see
  2134.             "Detecting new and unknown viruses" in Chapter
  2135.             5. You can use /CF and /CLEAN in the same
  2136.             command line to check validation/recovery codes
  2137.             and remove any viruses found. Using any of the
  2138.             /AF, /CF, or /RF options together in a command
  2139.             line returns an error.
  2140.             
  2141.             
  2142.             
  2143.             
  2144.  
  2145.            Using VirusScan (Version 2.10)                           38
  2146.             
  2147.             NOTE: Some older Hewlett-Packard and Zenith PCs
  2148.             modify the boot sector each time the system is
  2149.             booted. If you use /CF or /CV, Scan continuously
  2150.             reports that the boot sector has been modified
  2151.             even though no virus may be present. Check your
  2152.             system's reference manual to determine whether
  2153.             your PC has self-modifying boot code, or contact
  2154.             McAfee for help (see "Technical support" in
  2155.             Chapter 1)  1 OS/2 dual boot systems change the
  2156.             boot sector between DOS and OS/2 depending on
  2157.             which operating system is active. This causes
  2158.             Scan to report that the boot sector has been
  2159.             modified.
  2160.             
  2161.             
  2162.             /CLEAN
  2163.             Remove viruses from boot sector, master boot
  2164.             record, and infected files
  2165.             
  2166.             Attempts to restore the boot sector, if
  2167.             infected, and any infected files. Usually,
  2168.             between 10% and 20% of all viruses are not
  2169.             removable; they damage the file they infect
  2170.             beyond repair. If the infected file resides on a
  2171.             network drive, you must have rights to modify
  2172.             files on that drive to clean it. If it cannot
  2173.             restore a file, you'll see a message that
  2174.             identifies the name of the unrecoverable file.
  2175.             To use /CLEAN, the CLEAN.DAT file must reside in
  2176.             the Scan directory. For more information, see
  2177.             "Cleaning viruses" later in this chapter.
  2178.             
  2179.             Use /CLEAN instead of /DEL when you want to
  2180.             restore infected files, not just delete or
  2181.             overwrite them. The /CLEAN option can remove
  2182.             master boot record (MBR) and boot sector
  2183.             viruses, but the /DEL option cannot. If you use
  2184.             /CLEAN and /DEL in the same command line, Scan
  2185.             first attempts to disinfect an infected file,
  2186.             then deletes it only if it cannot be repaired.
  2187.             Similarly, if you use /CLEAN and /MOVE in the
  2188.             same command line, Scan first attempts to clean
  2189.             an infected file, then moves it to the specified
  2190.             subdirectory if the file is unrecoverable.
  2191.             
  2192.             You can use /CLEAN and /CF or /CV in the same
  2193.             command line to check validation/recovery codes
  2194.             and remove any viruses found. We strongly
  2195.             recommend that you get experienced help in
  2196.             dealing with viruses if you are unfamiliar with
  2197.             anti-virus software and methods. This is
  2198.             especially true for "critical" viruses and
  2199.             master boot record (MBR)/boot sector infections,
  2200.             because improper removal of these viruses can
  2201.             result in the loss of all data on the infected
  2202.             disks.
  2203.             
  2204.             NOTE: When scanning a network drive using
  2205.             /CLEAN, you must have sufficient rights to
  2206.             update files on that drive.
  2207.             
  2208.             
  2209.             
  2210.             
  2211.             
  2212.             
  2213.             
  2214.             
  2215.             
  2216.             
  2217.             
  2218.             
  2219.  
  2220.            Using VirusScan (Version 2.10)                           39            
  2221.             
  2222.             /CV
  2223.             Check validation/recovery data in files
  2224.             
  2225.             Helps you detect new or unknown viruses. Checks
  2226.             validation data added by the /AV option. If a
  2227.             file is modified, Scan reports that a viral
  2228.             infection may have occurred. The /CV option adds
  2229.             about 50% more time to scanning. You can use
  2230.             /CLEAN and /CF or /CV in the same command line
  2231.             to check validation/recovery codes and restore
  2232.             infected files. Using any of the /AV, /CV, or
  2233.             /RV options together in the same command line
  2234.             returns an error.
  2235.             
  2236.             For more information, see "Detecting new and
  2237.             unknown viruses" in Chapter 5. See also the note
  2238.             under /CF in this section.
  2239.             
  2240.             
  2241.             /DEL
  2242.             Overwrite and delete infected files
  2243.             
  2244.             Deletes and overwrites each infected file. Files
  2245.             erased by the /DEL option cannot be recovered
  2246.             (generate a report so that you can restore them
  2247.             from backups). Instead of /DEL alone, we
  2248.             recommend using it in combination with the
  2249.             /CLEAN option to attempt to disinfect an
  2250.             infected file first, then delete it only if the
  2251.             file is unrecoverable. The /CLEAN option can
  2252.             remove master boot record and boot sector
  2253.             viruses, but the /DEL option cannot.
  2254.             
  2255.            Using VirusScan (Version 2.10)                           40            
  2256.  
  2257.             NOTE: When scanning a network drive using /DEL,
  2258.             you must have sufficient access rights to delete
  2259.             files on that drive.
  2260.             
  2261.             
  2262.             /EXCLUDE {filename}
  2263.             Scan using exception list file
  2264.             
  2265.             Allows you to exclude files from /AF or /AV
  2266.             validation and /CF or /CV checking. Self-
  2267.             modifying or self-checking files can cause a
  2268.             false alarm during a scan. To create filename,
  2269.             see "Technical note 1: Creating an exception
  2270.             list file for the /EXCLUDE option" in this
  2271.             chapter.
  2272.             
  2273.             
  2274.             /FAST
  2275.             Speed up VirusScan's scanning
  2276.             
  2277.             Reduces Scan time by about 15%. Using the /FAST
  2278.             option, Scan examines a smaller portion of each
  2279.             file for viruses, although it examines more
  2280.             files overall. Using /FAST might miss some
  2281.             infections found in a more comprehensive (but
  2282.             slower) scan. Do not use this option if you have
  2283.             found a virus or suspect one.
  2284.             
  2285.             
  2286.             /LISTEN {servername}
  2287.             Load Scan and wait for a command from the server
  2288.             
  2289.             Using /LISTEN and /ALERT in the same command
  2290.             line returns an error. See your Command &
  2291.             Control Server documentation for more
  2292.             information.
  2293.             
  2294.             
  2295.             /LOAD {filename}
  2296.             Use Scan settings stored in {filename}.
  2297.             
  2298.             By default, Scan loads its internal default
  2299.             settings plus any options specified on the
  2300.             command line. You can store all custom settings
  2301.             in a separate ASCII text file, then use /LOAD to
  2302.             load those settings from that file.
  2303.             
  2304.             Use a text editor to create the file. You can
  2305.             put all options on the same command line or put
  2306.             each option (with its parameter) on its own
  2307.             line, separated by a hard carriage return and
  2308.             line feed, as shown in the following examples.
  2309.             
  2310.            Using VirusScan (Version 2.10)                           41            
  2311.             
  2312.             Sample load file with all options on the same
  2313.             command line:
  2314.             
  2315.                  m: /report a:infectn.rpt /rptcor /rpterr
  2316.             
  2317.             Sample load file with each option on a separate
  2318.             command line:
  2319.             
  2320.                  m:
  2321.                  /report a:infectn.rpt
  2322.                  /rptcor
  2323.                  /rpterr
  2324.             
  2325.             
  2326.             /LOG
  2327.             Save date and time of last scan
  2328.             
  2329.             Stores the time and date Scan is being run by
  2330.             updating or creating a file called SCAN.LOG in
  2331.             the current directory.
  2332.             
  2333.             
  2334.             /MANY
  2335.             Scan multiple floppies
  2336.             
  2337.             Scans multiple diskettes consecutively in a
  2338.             single drive. Scan will prompt you for each
  2339.             diskette. Once you have established a virus-free
  2340.             system, use this option to check multiple
  2341.             diskettes quickly.
  2342.             
  2343.             
  2344.             /MOVE {directory}
  2345.             Move infected files to directory
  2346.             
  2347.             Moves all infected files found during a scan to
  2348.             the specified directory. If you use /MOVE in
  2349.             conjunction with /CLEAN, Scan attempts to
  2350.             restore an infected file first, then moves it to
  2351.             the specified directory only if the file cannot
  2352.             be restored. Using /MOVE and /DEL in the same
  2353.             command line returns an error message.
  2354.             
  2355.             
  2356.             
  2357.             
  2358.             
  2359.             
  2360.             
  2361.             
  2362.             
  2363.             
  2364.             
  2365.            Using VirusScan (Version 2.10)                           42
  2366.             
  2367.             /NOCOMP
  2368.             Skip checking compressed executable files
  2369.             
  2370.             Reduces scanning time when a full scan is not
  2371.             needed. Otherwise, by default, Scan checks
  2372.             inside executable, or self-decompressing, files
  2373.             that have been created using the LZEXE or PKLITE
  2374.             file compression programs. Scan decompresses
  2375.             each file in memory and checks for virus
  2376.             signatures, which takes time but results in a
  2377.             more thorough scan. If you use /NOCOMP, Scan
  2378.             does not check inside compressed files for
  2379.             viruses, although it can check for modifications
  2380.             to those files if they have been validated using
  2381.             validation/recovery codes.
  2382.             
  2383.             
  2384.             /NOMEM
  2385.             Skip memory checking
  2386.             
  2387.             Reduces scan time by omitting all memory checks
  2388.             for viruses. Use /NOMEM only when you are
  2389.             absolutely certain that your system is virus-
  2390.             free.
  2391.             
  2392.             By default, Scan checks system memory for all
  2393.             for critical known computer viruses that can
  2394.             inhabit memory. In addition to main memory from
  2395.             0Kb to 640Kb, Scan checks system memory from
  2396.             640Kb to 1088Kb that can be used by computer
  2397.             viruses on 286 and later systems. Memory above
  2398.             1088Kb is not addressed directly by the
  2399.             processor and is not presently susceptible to
  2400.             viruses.
  2401.             
  2402.             NOTE: /NOMEM is not applicable to OS/2.
  2403.             
  2404.             
  2405.             /PAUSE
  2406.             Enable screen pause
  2407.             
  2408.             If you specify /PAUSE, the More? (H = Help)
  2409.             prompt appears when Scan fills up a screen with messages, 
  2410.             such as when using the /SHOWLOG or /VIRLIST options.
  2411.             Otherwise, by default, Scan fills and scrolls a
  2412.             screen continuously without stopping, which
  2413.             allows Scan to run on PCs with many drives or
  2414.             that have severe infections without requiring
  2415.             you to attend. We recommend that you omit /PAUSE
  2416.             when keeping a record of Scan's messages using
  2417.             the report options (/REPORT, /RPTCOR, /RPTMOD,
  2418.             and /RPTERR).
  2419.             
  2420.            Using VirusScan (Version 2.10)                           43            
  2421.             
  2422.             /PLAD
  2423.             Preserve last access dates (on NetWare drives
  2424.             only).
  2425.             
  2426.             Prevents changing the last access date attribute
  2427.             for files stored on a network drive in a Novell
  2428.             network. Normally, NetWare updates the last
  2429.             access date when Scan opens and examines a file.
  2430.             However, some tape backup systems use this last
  2431.             access date to decide whether to back up the
  2432.             file. Use /PLAD to ensure that the last access
  2433.             date does not change as the result of scanning.
  2434.             
  2435.             
  2436.             /REPORT {filename}
  2437.             Create report of infected files and system errors
  2438.             
  2439.             Saves the output of Scan to filename in ASCII
  2440.             text file format. If filename exists, /REPORT
  2441.             erases and replaces it. You can include the
  2442.             destination drive and directory (such as
  2443.             D:\VSREPRT\ALL.TXT), but if the destination is a
  2444.             network drive, you must have rights to create
  2445.             and delete files on that drive. You can also use
  2446.             /RPTCOR, /RPTMOD, and /RPTERR to add corrupted
  2447.             files, modified files, and system errors to the
  2448.             report.
  2449.             
  2450.             
  2451.             /RF {filename}
  2452.             Remove validation/recovery codes in file
  2453.             
  2454.             Removes recovery and validation data from
  2455.             filename created by the /AF option. If filename
  2456.             resides on a shared network drive, you must be
  2457.             able to delete files on that drive. Using any of
  2458.             the /AF, /CF, or /RF options together in the
  2459.             same command line returns an error.
  2460.             
  2461.             
  2462.             /RPTCOR
  2463.             Add corrupted files to Scan report
  2464.             
  2465.             Used in conjunction with /REPORT, adds the names
  2466.             of corrupted files to the report file. A
  2467.             corrupted file is a file that a virus has
  2468.             damaged beyond repair, which typically occurs in
  2469.             10% to 20% of all viral infections. You can use
  2470.             /RPTCOR with /RPTMOD and /RPTERR on the same
  2471.             command line.
  2472.             
  2473.             
  2474.             
  2475.            Using VirusScan (Version 2.10)                           44            
  2476.             
  2477.             /RPTERR
  2478.             Add errors to Scan report
  2479.             
  2480.             Used in conjunction with /REPORT, adds system
  2481.             errors to the report file.
  2482.             
  2483.             System errors include problems reading or
  2484.             writing to a diskette or hard disk, file system
  2485.             or network problems, problems creating reports,
  2486.             and other system-related problems. You can use
  2487.             /RPTERR with /RPTCOR and /RPTMOD on the same
  2488.             command line.
  2489.             
  2490.             
  2491.             /RPTMOD
  2492.             Add modified files to the Scan report
  2493.             
  2494.             Used in conjunction with /REPORT, adds the names
  2495.             of modified files to the report file. Scan
  2496.             identifies modified files when the
  2497.             validation/recovery codes do not match (using
  2498.             the /CF or /CV options). You can use /RPTMOD
  2499.             with /RPTCOR and /RPTERR on the same command
  2500.             line.
  2501.             
  2502.             
  2503.             /RV
  2504.             Remove validation/recovery from files
  2505.             
  2506.             Removes validation and recovery data from files
  2507.             validated with the /AV option, along with the
  2508.             SCAN.LOG file on the specified drive. To update
  2509.             files on a shared network drive, you must have
  2510.             access rights to update them. Using any of the
  2511.             /AV, /CV, or /RV options together in the same
  2512.             command line returns an error.
  2513.             
  2514.             
  2515.             /SHOWLOG
  2516.             Update and display the contents of SCAN.LOG
  2517.             
  2518.             Stores the time and date Scan is being run by
  2519.             updating or creating a file called SCAN.LOG in
  2520.             the current directory, and shows you the date
  2521.             and time of previous scans that have been
  2522.             recorded in the SCAN.LOG file using the /LOG
  2523.             switch. The SCAN.LOG file contains text and some
  2524.             special formatting.  To pause when the screen
  2525.             fills with messages, specify the /PAUSE option.
  2526.             
  2527.             
  2528.             
  2529.             
  2530.            Using VirusScan (Version 2.10)                           45
  2531.  
  2532.             /SUB
  2533.             Scan subdirectories
  2534.             
  2535.             By default, when you specify a directory to scan
  2536.             rather than a drive, Scan will examine only the
  2537.             files it contains, not its subdirectories. Use
  2538.             /SUB to scan all subdirectories inside any
  2539.             directories you've specified. Do not use /SUB if
  2540.             you are scanning an entire drive.
  2541.             
  2542.             
  2543.             /VIRLIST
  2544.             Display the contents of SCAN.DAT
  2545.             
  2546.             Shows you the name and a brief description of
  2547.             the viruses that VirusScan detects. To pause
  2548.             when the screen fills with messages, specify the
  2549.             /PAUSE option. Use /VIRLIST alone or with /PAUSE
  2550.             on the command line.
  2551.             
  2552.             You can save the list of virus names and
  2553.             descriptions to a file by redirecting the output
  2554.             of the command. For example, in DOS:
  2555.             
  2556.                  scan /virlist > filename.txt
  2557.             
  2558.             CLEANING VIRUSES
  2559.             
  2560.             Although /CLEAN removes many viruses and
  2561.             restores normal operation, viruses can be
  2562.             harmful and insidious, and no anti-virus program
  2563.             can undo all their damage. Usually, between 10%
  2564.             and 20% of all viruses corrupt the files they
  2565.             infect, making them unrecoverable. If the file
  2566.             is infected with an uncommon virus that /CLEAN
  2567.             can't remove, Scan notifies you and identifies
  2568.             the filename. Note this filename so that you
  2569.             know what to restore from a backup diskette or
  2570.             tape. If you use both the /CLEAN and the /DEL
  2571.             options, Scan will first attempt to repair an
  2572.             infected file and, if the file is damaged beyond
  2573.             repair, Scan will delete it. Deleted files are
  2574.             not recoverable except from backups.
  2575.             
  2576.             Some viruses damage or overwrite program (.EXE)
  2577.             files or overlay files. Removing the virus can
  2578.             truncate the file or otherwise render it
  2579.             inoperable. Others, like the common virus
  2580.             Stoned, infect the master boot record (MBR). On
  2581.             systems partitioned with programs other than DOS
  2582.             (such as Disk Manager and SpeedStor), removing
  2583.             the virus can cause loss of the master boot record 
  2584.             (MBR) and all data on the disk, if done improperly.
  2585.            Using VirusScan (Version 2.10)                           46
  2586.  
  2587.             BASIC PRINCIPLES TO MINIMIZE DAMAGE
  2588.             
  2589.             These considerations lead to the three important
  2590.             principles:
  2591.             
  2592.             NOTE: Before running Scan with the /CLEAN
  2593.             option, back up all of your programs and data.
  2594.             
  2595.             Of course, this works best if you back up your
  2596.             files regularly, so that you can restore your
  2597.             files from a backup made before your system was
  2598.             infected. But even a backup from an infected
  2599.             system can be useful for restoring data, because
  2600.             most viruses do not corrupt data. If a program
  2601.             no longer runs after being cleaned, replace it
  2602.             from the original disk or from a virus-free
  2603.             backup.
  2604.             
  2605.             1. When disinfecting an infected system, it is
  2606.                important to start from a "sterile field," as
  2607.                described in Chapter 2.
  2608.  
  2609.             2. Before running Scan with the /CLEAN option for
  2610.                DOS, restart your computer from a clean,
  2611.                write-protected diskette; before running it
  2612.                for OS/2, close all DOS and Win-OS/2
  2613.                sessions.
  2614.  
  2615.                Preferably, use the clean anti-virus start-up
  2616.                diskette you created in "Making a clean start-
  2617.                up diskette" in Chapter 2. And, because
  2618.                running any program can spread the infection:
  2619.  
  2620.             3. Do not run any programs, including Windows,
  2621.                before running Scan /CLEAN.
  2622.             
  2623.             Run Scan /CLEAN from DOS instead of Windows.
  2624.             Exit completely from Windows. Do not run Scan
  2625.             /CLEAN from within a DOS window.
  2626.             
  2627.             IMPORTANT: If you are at all unsure about how to
  2628.             proceed once you've found a virus, contact
  2629.             McAfee technical support, or your local
  2630.             authorized agent, for assistance (see "Technical
  2631.             support" in Chapter 1).
  2632.             
  2633.             We strongly recommend that you get experienced
  2634.             help in dealing with viruses if you are unfamiliar 
  2635.             with anti-virus software and methods. This is especially 
  2636.             true for "critical" viruses and master boot record (MBR)
  2637.             /boot sector infections, because improper removal of 
  2638.             these viruses can result in the loss of all data and
  2639.             use of the infected disks.
  2640.            Using VirusScan (Version 2.10)                           47
  2641.             
  2642.             RUNNING SCAN TO CLEAN UP INFECTIONS
  2643.             
  2644.             PREPARATION
  2645.             
  2646.             Before running Scan to clean up infections:
  2647.  
  2648.             1. Clear the virus from system memory and prevent
  2649.                reinfection:
  2650.  
  2651.                o With DOS or Windows, turn off your PC, then
  2652.                  restart from a clean start-up diskette,
  2653.                  preferably the anti-virus diskette you
  2654.                  prepared in "Making a clean start-up
  2655.                  diskette" in Chapter 2.
  2656.  
  2657.                o With OS/2, close all DOS and Win-OS/2 sessions.
  2658.  
  2659.                o With an OS/2 dual-boot system infected by a
  2660.                  boot sector virus (like Form, or others
  2661.                  identified by Scan), boot (start up) OS/2
  2662.                  first, delete the BOOT.DOS file from the \OS2
  2663.                  directory, and then boot DOS to create a new,
  2664.                  virus-free DOS boot sector file.
  2665.  
  2666.             2. Run the Scan program to locate and identify
  2667.                the infections.
  2668.  
  2669.             3. Back up the files on the infected disks (be
  2670.                sure not to overwrite any previous backups).
  2671.  
  2672.             4. Repeat Step 1.
  2673.  
  2674.             5. Run the Scan program with the /CLEAN option to
  2675.                remove infections.
  2676.  
  2677.             NOTE: Don't run any programs, including Windows,
  2678.             before running Scan /CLEAN.
  2679.             
  2680.             If you have Windows, run Scan /CLEAN from DOS.
  2681.             
  2682.             NOTE: When disinfecting a hard disk, always run
  2683.             Scan /CLEAN from a write-protected diskette to
  2684.             prevent infection of the Scan program. When
  2685.             disinfecting diskettes, make sure there is no
  2686.             active virus in memory before running Scan from
  2687.             your hard disk.
  2688.             
  2689.             SUCCESSFUL AND UNSUCCESSFUL RESULTS
  2690.             
  2691.             Scan /CLEAN reports the results of its attempt
  2692.             to remove the virus from each infected file. If
  2693.             a file has several infections, it will report on
  2694.             each.
  2695.            Using VirusScan (Version 2.10)                           48            
  2696.             
  2697.             IF VIRUSES WERE NOT REMOVED, CONTACT TECHNICAL SUPPORT
  2698.             
  2699.             If Scan can't remove a virus, you'll see a
  2700.             message like:
  2701.             
  2702.                  Virus cannot be safely removed from this file.
  2703.             
  2704.             Make sure to take note of the file name, because
  2705.             you will need to restore it from backups. If you
  2706.             have any questions about how to proceed, contact
  2707.             McAfee technical support or your local
  2708.             authorized agent (see "Technical support" in
  2709.             Chapter 1).
  2710.             
  2711.             IF VIRUSES WERE SAFELY REMOVED, RESCAN AND CHECK
  2712.             DISKETTES
  2713.             
  2714.             If Scan /CLEAN has successfully removed all the
  2715.             viruses, turn your computer off again and
  2716.             restart from the system disk. Scan your hard
  2717.             disks again to make sure they are virus-free. If
  2718.             you suspect that your system was infected from a
  2719.             diskette, run Scan from your hard disk to
  2720.             examine and disinfect the diskettes you use.
  2721.             
  2722.  
  2723.  
  2724.  
  2725.  
  2726.  
  2727.  
  2728.  
  2729.  
  2730.  
  2731.  
  2732.  
  2733.  
  2734.  
  2735.  
  2736.  
  2737.  
  2738.  
  2739.  
  2740.  
  2741.  
  2742.  
  2743.  
  2744.  
  2745.  
  2746.  
  2747.  
  2748.  
  2749.  
  2750.            Using VirusScan (Version 2.10)                           49            
  2751.             
  2752.             EXAMPLES
  2753.             
  2754.             These examples show different option settings.
  2755.             In OS/2, remember to use OS2SCAN instead of SCAN.
  2756.             
  2757.                  scan c:
  2758.             
  2759.             Scan all executable files on drive C.
  2760.             
  2761.                  scan f:
  2762.             
  2763.             Scan all standard executable files on drive F, a
  2764.             network drive.
  2765.             
  2766.                  scan c: /adl /adn
  2767.             
  2768.             Scan all local and network drives (except floppy drives).
  2769.             
  2770.                  scan f: g: h: /del /all
  2771.             
  2772.             Scan all files on drives F, G, and H, and delete
  2773.             any infected files found.
  2774.             
  2775.                  scan c: d: e: /av /all
  2776.             
  2777.             Scan for viruses in all files and add validation
  2778.             codes to executable files on drives C, D, and E.
  2779.             
  2780.                  scan m: /report a:infectn.rpt /rptcor /rpterr /append
  2781.             
  2782.             Scan for viruses on network drive M: and create
  2783.             a log file of infections, corruptions, and
  2784.             errors in the file INFECTN.RPT on drive A. This
  2785.             will overwrite A:INFECTN.RPT, if it exists.
  2786.             
  2787.                  scan e:\user\jake e:\user\daisy e:\user\nick /sub
  2788.             
  2789.             Scan all subdirectories inside the directories
  2790.             USER\JAKE, USER\DAISY, and USER\NICK on drive E.
  2791.             
  2792.                  scan c: d: e: /fast /cv
  2793.             
  2794.             Quickly scan drives C, D, and E, and report any
  2795.             executable files that have associated validation
  2796.             codes and have been modified.
  2797.             
  2798.                  scan c:\command.com
  2799.             
  2800.             Scan a single file.
  2801.             
  2802.                  scan c: d: /clean
  2803.             
  2804.             Scan drives C and D and remove infections.
  2805.            Using VirusScan (Version 2.10)                           50            
  2806.  
  2807.             ERROR LEVELS
  2808.             
  2809.             After Scan has finished running, it sets the
  2810.             ERRORLEVEL. You can use the ERRORLEVEL in batch
  2811.             files to take different actions based on the
  2812.             results of the scan. See your DOS operating
  2813.             system documentation for more information. Scan
  2814.             returns the following ERRORLEVELs:
  2815.             
  2816.             ERRORLEVEL  Description
  2817.             
  2818.              0   No errors occurred and no viruses were found.
  2819.             
  2820.              1   Error occurred while accessing a file (reading
  2821.                  or writing).
  2822.             
  2823.              2   A VirusScan database (*.DAT) file is
  2824.                  corrupted.
  2825.             
  2826.              3   An error occurred while accessing a disk
  2827.                  (reading or writing).
  2828.             
  2829.              4   An error occurred while accessing the file created 
  2830.                  with the /AF option; the file has been damaged.
  2831.             
  2832.              5   Insufficient memory to load program or complete 
  2833.                  operation.
  2834.             
  2835.              6   An internal program error occurred.
  2836.               
  2837.              7   An error in accessing an international message
  2838.                  file (MCAFEE.MSG).
  2839.             
  2840.              8   A file required to run VirusScan, such as SCAN.DAT, 
  2841.                  is missing.
  2842.             
  2843.              9   Incompatible or unrecognized option(s) or option 
  2844.                  argument(s) were specified in the command line.
  2845.             
  2846.             10   A virus was found in memory.
  2847.              
  2848.             11   An internal program error occurred.
  2849.             
  2850.             12   An error occurred while attempting to remove
  2851.                  a virus, such as no CLEAN.DAT file found, or
  2852.                  VirusScan was unable to remove the virus.
  2853.             
  2854.             13   One or more viruses was found in the master
  2855.                  boot record, boot sector, or file(s).
  2856.             
  2857.             14   The SCAN.DAT file is out of date; upgrade
  2858.                  VirusScan data files.
  2859.             
  2860.            Using VirusScan (Version 2.10)                           51            
  2861.             15   VirusScan self-check failed. It may be
  2862.                  infected or damaged.
  2863.             
  2864.             16   An error occurred while accessing a specified
  2865.                  drive or file.
  2866.             
  2867.             17   No drive, directory or file was specified;
  2868.                  nothing to scan.
  2869.             
  2870.             18   A validated file has been modified (/CF or
  2871.                  /CV options).
  2872.             
  2873.             19-99 Reserved.
  2874.             
  2875.             100+ Operating system error; Scan adds 100 to
  2876.                  the original error number.
  2877.             
  2878.             
  2879.             
  2880.             
  2881.             
  2882.             
  2883.             
  2884.             
  2885.             
  2886.             
  2887.             
  2888.             
  2889.             
  2890.             
  2891.             
  2892.             
  2893.             
  2894.             
  2895.             
  2896.             
  2897.             
  2898.             
  2899.             
  2900.             
  2901.             
  2902.             
  2903.             
  2904.             
  2905.             
  2906.             
  2907.             
  2908.             
  2909.             
  2910.             
  2911.             
  2912.             
  2913.             
  2914.  
  2915.            Using VirusScan (Version 2.10)                           52            
  2916.             
  2917.             APPLICATION NOTE 1  UPDATING VALIDATION CODES
  2918.             
  2919.             If you install any new software or programs on
  2920.             your system, including a new version of DOS, and
  2921.             are running Scan or VShield with the /CF
  2922.             (preferred) or /CV validation options, you need
  2923.             to install validation codes for the new files
  2924.             with Scan's /AF (preferred) or /AV options.
  2925.             
  2926.             The quickest way to update the validation codes
  2927.             is to remove all validation codes from the hard
  2928.             disk and then add them back. In other words,
  2929.             first run Scan with the /RF or /RV option, then
  2930.             run it again with the /AF or /AV option.
  2931.             
  2932.             APPLICATION NOTE 2  REFORMATTING INFECTED
  2933.             DISKETTES WITH DOS 5.0 AND LATER
  2934.             
  2935.             When reformatting infected diskettes using DOS
  2936.             5.0 and later versions, be sure to add the /U
  2937.             switch to the FORMAT command. This tells DOS to
  2938.             do an unconditional format of the diskette,
  2939.             without saving the original infected boot
  2940.             sector. This is necessary to erase certain
  2941.             infections, and will prevent reinfection by
  2942.             unformatting the diskette.
  2943.             
  2944.             
  2945.             
  2946.             
  2947.             
  2948.             
  2949.  
  2950.  
  2951.  
  2952.  
  2953.  
  2954.  
  2955.  
  2956.  
  2957.  
  2958.  
  2959.  
  2960.  
  2961.  
  2962.  
  2963.  
  2964.  
  2965.  
  2966.  
  2967.  
  2968.  
  2969.  
  2970.            Using VirusScan (Version 2.10)                           53            
  2971.             
  2972.             TECHNICAL NOTE 1  CREATING AN EXCEPTION LIST
  2973.             FILE FOR THE /EXCLUDE OPTION
  2974.             
  2975.             If you set up validation codes using Scan's /AF
  2976.             or /AV options, subsequent scans using the /CF
  2977.             or /CV options will detect changes in executable
  2978.             files.
  2979.             
  2980.             This can generate false alarms if the executable
  2981.             files are self-modifying or self-checking (most
  2982.             programs that do this will tell you to turn off
  2983.             your anti-virus software before running them;
  2984.             some of these files are listed below).
  2985.             Therefore, use the /EXCLUDE option in
  2986.             conjunction with /AF or /AV to identify such
  2987.             files and exclude them from the validation.
  2988.             
  2989.             The exception list is an ASCII or DOS text file.
  2990.             If you use a word processor to create it, be
  2991.             sure to save the file as ASCII or DOS Text. Each
  2992.             line in the file contains the path and file name
  2993.             of one file that should not be validated. Here
  2994.             is an example:
  2995.             
  2996.                  c:\clipper\bin\clipper.exe
  2997.                  c:\123\123.com
  2998.                  c:\fox\foxprolx.exe
  2999.                  c:\dos\setver.exe
  3000.                  c:\pkware\pklite.exe
  3001.                  c:\pkware\pkzip.exe
  3002.                  c:\pkware\pkunzip.exe
  3003.                  c:\semware\q.exe
  3004.                  c:\swapvol.com
  3005.                  c:\wordstar\ws.exe
  3006.             
  3007.  
  3008.  
  3009.  
  3010.  
  3011.  
  3012.  
  3013.  
  3014.  
  3015.  
  3016.  
  3017.  
  3018.  
  3019.  
  3020.  
  3021.  
  3022.  
  3023.  
  3024.  
  3025.            Using VirusScan (Version 2.10)                           54
  3026.             
  3027.             CHAPTER 4: VSHIELD REFERENCE
  3028.  
  3029.             VirusScan's VShield(TM) is a memory-resident
  3030.             program that helps to prevent virus infection.
  3031.             It complements the Scan virus detection program
  3032.             as part of your computer security plan. While
  3033.             Scan lets you check areas on disks for viruses,
  3034.             the VShield program checks these areas
  3035.             automatically as they load into your computer's
  3036.             memory. This ensures that you don't "catch" any
  3037.             new viruses while you're working on your computer.
  3038.             
  3039.             VShield does this by remaining in memory and:
  3040.             
  3041.             o Checking master boot records (MBRs), boot
  3042.               sectors, system files, and itself for viruses
  3043.               when you turn on or reset
  3044.               ([Ctrl]+[Alt]+[Del]) your machine.
  3045.             
  3046.             o Checking program files for viruses as your
  3047.               computer executes them.
  3048.             
  3049.             o Checking files for viruses as you copy them
  3050.               (optional).
  3051.             
  3052.             o Checking for viruses whenever your computer
  3053.               accesses a disk (optional).
  3054.  
  3055.             Follow the instructions in Chapter 2 to install
  3056.             VShield. You can modify your AUTOEXEC.BAT file so 
  3057.             that VShield loads into memory every time you turn 
  3058.             on your computer.
  3059.             
  3060.             If VShield finds a virus, you will hear three
  3061.             beeps and see a message like:
  3062.             
  3063.                  Found the Jerusalem Virus in memory
  3064.             
  3065.             If that happens, don't panic. Turn to Chapter 3
  3066.             to find out how to use the Scan program to get
  3067.             rid of the virus. If you need additional help,
  3068.             contact McAfee (see "Technical support" in
  3069.             Chapter 1).
  3070.             
  3071.             NOTE: There is one way to infect your computer
  3072.             that VShield cannot prevent--only you can. Never
  3073.             accidentally start your computer from an unknown
  3074.             diskette. That's how 80% of all viruses are
  3075.             passed! VShield checks diskettes if you warm
  3076.             boot, but cannot check them when you cold boot.
  3077.             Always make sure your diskette drives are empty
  3078.             before you turn your computer on.
  3079.             
  3080.            Using VirusScan (Version 2.10)                           55
  3081.             
  3082.             VShield runs under DOS, Windows, and OS/2
  3083.             Virtual DOS Machine and WIN-OS/2 sessions. The
  3084.             program file is VSHIELD.EXE. The file called
  3085.             VSHLDWIN.EXE allows VShield to display messages
  3086.             from within Windows, and is added to your
  3087.             WIN.INI file automatically when you install
  3088.             VShield. If you need to conserve memory on your
  3089.             system, you can use VShieldCRC, a version of
  3090.             VShield that offers fewer protection options but
  3091.             requires less memory. The program file is 
  3092.             VSHLDCRC.EXE.
  3093.             
  3094.             A companion program called CheckVShield checks
  3095.             whether either VShield or VShieldCRC is loaded
  3096.             in memory. The program file is CHKVSHLD.EXE.
  3097.             CheckVShield is especially useful for network
  3098.             administrators who want to ensure that everyone
  3099.             who logs on to the network is running VShield.
  3100.             All of these related programs are included in
  3101.             your VirusScan disk and described in this chapter.
  3102.             
  3103.             DO YOU NEED TO READ THIS CHAPTER?
  3104.             
  3105.             Many users will not need the VShield options
  3106.             described in this chapter. We have designed
  3107.             VShield so that basic operation--achieved by
  3108.             simply installing it in memory as described in
  3109.             Chapter 2--provides a high degree of protection
  3110.             for most users. The options here offer
  3111.             additional power and control for virus
  3112.             detection, and are most useful in vulnerable or
  3113.             memory-scarce environments and to network
  3114.             administrators and information systems staff.
  3115.             See "Four levels of protection" and the table
  3116.             "Deciding which options are for you" later in
  3117.             this chapter for help in deciding how to use VShield.
  3118.             
  3119.             SYSTEM REQUIREMENTS AND PERFORMANCE
  3120.             
  3121.             VShield is a terminate-and-stay-resident (TSR)
  3122.             program, which remains in memory while you run
  3123.             other programs. VShield tries to optimize memory
  3124.             usage and minimize conflicts with other TSRs. By
  3125.             default, VShield tries to conserve as much
  3126.             conventional memory as possible.
  3127.             
  3128.             If you have only 640Kb or less memory in your
  3129.             system, VShield requires about 67Kb of memory.
  3130.             By using the /SWAP option, you can reduce this
  3131.             to only 7Kb of conventional memory, although
  3132.             this will decrease VShield's speed.
  3133.             
  3134.             
  3135.            Using VirusScan (Version 2.10)                           56            
  3136.  
  3137.             If you have more than 640Kb, VShield tries to
  3138.             load as much of itself as possible above
  3139.             conventional memory: first into expanded memory
  3140.             (EMS), into extended memory (XMS), then into
  3141.             upper memory blocks (640Kb to 1024Kb, or UMB).
  3142.             If you have sufficient high memory available, 
  3143.             VShield or VShieldCRC use no conventional memory.
  3144.             
  3145.             After VShield loads, you'll see a message that
  3146.             describes where VShield loaded into memory and
  3147.             how much memory it uses. You can control how
  3148.             VShield loads by using the /NOUMB, /NOEMS, and
  3149.             /NOXMS options, as described later in this chapter.
  3150.             
  3151.             NOTE: VShield might require slightly more memory
  3152.             as the SCAN.DAT file grows to include more viruses.
  3153.             
  3154.             VShield adds a small amount of time to program
  3155.             loads and reboots. Performance will vary,
  3156.             depending on your system. The /SWAP option adds
  3157.             more time, because VShield must reload from disk
  3158.             to check files. VShieldCRC adds an average of
  3159.             one second to each program load.
  3160.             
  3161.             Once programs have been loaded, VShield does not
  3162.             degrade the performance of your system. Programs
  3163.             that load other files may run more slowly when
  3164.             you use the /FILEACCESS or /ANYACCESS options,
  3165.             because these options cause VShield to scan
  3166.             files whenever they are accessed, not just when
  3167.             they are executed.
  3168.             
  3169.  
  3170.  
  3171.  
  3172.  
  3173.  
  3174.  
  3175.  
  3176.  
  3177.  
  3178.  
  3179.  
  3180.  
  3181.  
  3182.  
  3183.  
  3184.  
  3185.  
  3186.  
  3187.  
  3188.  
  3189.  
  3190.            Using VirusScan (Version 2.10)                           57            
  3191.             FOUR LEVELS OF PROTECTION
  3192.             
  3193.             You can think of VShield as providing four
  3194.             levels of protection. You can use VShield's
  3195.             options to customize it for the level of
  3196.             protection you need. Level II meets the
  3197.             protection needs of most systems.
  3198.             
  3199.             Level I protection is appropriate for users who
  3200.             have very little memory available on their
  3201.             systems. It provides only minimal protection.
  3202.             
  3203.             For Level I protection, first use Scan with the
  3204.             /AF or /AV option to add validation codes. Then,
  3205.             install VShieldCRC instead of VShield.
  3206.             VShieldCRC can inform you that a file has not
  3207.             been certified, a file has been modified, a file
  3208.             size has changed, or a file has not been added
  3209.             to the validation file. VShieldCRC will not
  3210.             prevent infection, nor will it tell you when you
  3211.             have a known virus. Use Scan instead to detect
  3212.             viruses, as described in Chapter 3. See "Using
  3213.             VShieldCRC" later in this chapter for
  3214.             instructions.
  3215.             
  3216.             Level II protection is appropriate for most
  3217.             users. It will protect you from most viruses
  3218.             whether you have run Scan or not.
  3219.             
  3220.             For Level II protection, install VShield
  3221.             according to "Running VShield" later in this
  3222.             chapter. When loading, VShield checks memory
  3223.             automatically for viruses. Once resident in
  3224.             memory, VShield checks master boot records
  3225.             (MBRs), boot sectors, and program files (when
  3226.             executed) for virus signatures.
  3227.             
  3228.             Level III protection is appropriate for
  3229.             computers that are used by many people, as in an
  3230.             open-use computer lab, or onto which you
  3231.             frequently load files from public sources. Level
  3232.             III protection checks for both validation codes
  3233.             and virus signatures, incorporating both Level I
  3234.             and Level II protection.
  3235.             
  3236.             For Level III protection, first use Scan with
  3237.             the /AF {filename} option, then use VShield with
  3238.             the /CF {filename} option. The /AF option logs
  3239.             recovery and validation data for program files,
  3240.             the boot sector, and the master boot record
  3241.             (MBR) to a file you specify. The /CF option
  3242.             tells VShield to check against that log. See
  3243.             "VirusScan reference" in Chapter 3 for
  3244.             instructions.
  3245.            Using VirusScan (Version 2.10)                           58            
  3246.             
  3247.             Level IV protection is for environments where
  3248.             security is extremely important and new software
  3249.             is seldom introduced. It combines Level III
  3250.             protection with access control, specifying that
  3251.             only programs known to be safe can be run.
  3252.             
  3253.             For Level IV protection, run VShield with the
  3254.             /CERTIFY option. See the "VShield option
  3255.             descriptions" later in this chapter for details
  3256.             about /CERTIFY.
  3257.             
  3258.             NOTE: VShield has many optional features that
  3259.             you might use at any protection level. See the
  3260.             table "VShield option summary" later in this
  3261.             chapter to see these options.
  3262.             
  3263.             
  3264.             
  3265.             
  3266.             
  3267.             
  3268.             
  3269.             
  3270.             
  3271.             
  3272.             
  3273.             
  3274.             
  3275.             
  3276.             
  3277.             
  3278.             
  3279.             
  3280.             
  3281.             
  3282.             
  3283.             
  3284.             
  3285.             
  3286.             
  3287.             
  3288.             
  3289.             
  3290.             
  3291.             
  3292.             
  3293.             
  3294.             
  3295.             
  3296.             
  3297.             
  3298.             
  3299.             
  3300.            Using VirusScan (Version 2.10)                           59            
  3301.             
  3302.             RUNNING VSHIELD
  3303.             
  3304.             VShield checks programs, the master boot record
  3305.             (MBR), boot sector, system files, and itself for
  3306.             virus signatures, the pattern of code unique to
  3307.             each virus. If VShield finds an infection, it
  3308.             prevents programs from running. It also prevents
  3309.             warm boots ([Ctrl]+[Alt]+[Del]) from infected disks.
  3310.             
  3311.             You can use options to control and fine-tune the
  3312.             scope, validation parameters, and operation of
  3313.             the VShield's checks. To use VShield with
  3314.             options, use the following syntax:
  3315.             
  3316.                  vshield [options]
  3317.             
  3318.             [options] indicates one or more options
  3319.             described in the table in the next section.
  3320.             
  3321.             NOTE: Don't enter the square braces, which
  3322.             indicate that what's within them is optional.
  3323.             
  3324.             Because systems and environments differ, VShield
  3325.             gives you a choice of options. Consider the
  3326.             mixture of safety, performance, and maintenance
  3327.             that meets your needs, then choose the
  3328.             combination of options that works best.
  3329.             
  3330.             When you run VShield for the first time, VShield
  3331.             uses the virus information contained in SCAN.DAT
  3332.             and NAMES.DAT to creates a new file,
  3333.             VSHIELD.DAT, in the program directory. The
  3334.             VSHIELD.DAT file contains virus information in a
  3335.             format that is optimized for VShield operation.
  3336.             Thereafter, when you install an updated version
  3337.             of SCAN.DAT, VShield updates VSHIELD.DAT
  3338.             automatically with any new virus information it
  3339.             finds in SCAN.DAT.
  3340.             
  3341.             
  3342.             
  3343.             
  3344.             
  3345.             
  3346.             
  3347.             
  3348.             
  3349.             
  3350.             
  3351.             
  3352.             
  3353.             
  3354.             
  3355.            Using VirusScan (Version 2.10)                           60            
  3356.  
  3357.             DOS
  3358.             
  3359.             You can add VShield to your AUTOEXEC.BAT file so 
  3360.             it is activated every time you turn on your computer.
  3361.             
  3362.             You can put VShield at the end of AUTOEXEC.BAT. 
  3363.             In most cases this is OK. However, using a text editor,
  3364.             
  3365.             1. Check the placement of the VShield command
  3366.                line in the AUTOEXEC.BAT file.
  3367.  
  3368.                o VShield must be run before any menu programs,
  3369.                  such as MS-DOS's DOSSHELL or Norton
  3370.                  Commander, or it will not be loaded.
  3371.  
  3372.                o If AUTOEXEC.BAT loads any network drivers,
  3373.                  keyboard drivers, disk caching programs,
  3374.                  drive compression programs, or custom disk
  3375.                  drivers, VShield must be run both before and
  3376.                  after them. These kinds of programs disable
  3377.                  VShield. The second time VShield is loaded,
  3378.                  use only the /RECONNECT option, as described
  3379.                  later in this chapter.
  3380.  
  3381.             2. If necessary, move the line that loads VShield.
  3382.  
  3383.             3. Add the VShield options of your choice to the
  3384.                command line.
  3385.  
  3386.             NOTE: On your VirusScan disk, you'll find
  3387.             AUTOEXEC.VSH, a sample AUTOEXEC.BAT that shows
  3388.             the correct placement of the VShield command
  3389.             line. If you are still not sure whether VShield
  3390.             is in the right place, contact McAfee (see
  3391.             "Technical support" in Chapter 1).
  3392.             
  3393.             WINDOWS
  3394.             
  3395.             When you install VShield, you can add the VShield
  3396.             command line to your AUTOEXEC.BAT file. It also
  3397.             modifies your WIN.INI file to include
  3398.             VSHLDWIN.EXE, which allows VShield to display
  3399.             messages under Windows.
  3400.             
  3401.             However, you may need to change your Windows
  3402.             configuration for VShield to run properly.
  3403.             
  3404.             To do so, follow these steps. If you need help
  3405.             with this procedure, see your Windows
  3406.             documentation, or you can contact McAfee (see
  3407.             "Technical support" in Chapter 1).
  3408.             
  3409.  
  3410.            Using VirusScan (Version 2.10)                           61            
  3411.             
  3412.             1. Follow the instructions for DOS users in the
  3413.                previous section.
  3414.  
  3415.             2. Start Windows.
  3416.  
  3417.             3. In the Control Panel, configure Windows to run
  3418.                in 386 enhanced mode.
  3419.  
  3420.             4. Load Windows. You will see the VShield icon on
  3421.                your desktop.
  3422.  
  3423.             If VShield finds or suspects a virus, you'll see
  3424.             a warning message. Choose OK to close the
  3425.             message dialog.
  3426.             
  3427.             Double-clicking the VShield icon only displays a
  3428.             message confirming whether VShield is loaded.
  3429.             
  3430.             OS/2
  3431.             
  3432.             Because OS/2 is a protected environment, you
  3433.             need VShield only during Virtual DOS Machine
  3434.             (VDM) and WIN-OS2 sessions. When you install it,
  3435.             you can add VShield to AUTOEXEC.BAT so it is 
  3436.             activated every time you start a VDM or WIN-OS/2 session.
  3437.             
  3438.             If your start-up batch file is not AUTOEXEC.BAT,
  3439.             edit your start-up batch file to include
  3440.             VShield. For example:
  3441.             
  3442.                  [C:\] vshield /fileaccess
  3443.             
  3444.             NOTE: See "/FILEACCESS," an option we recommend
  3445.             using with OS/2, later in this chapter.
  3446.             
  3447.  
  3448.  
  3449.  
  3450.  
  3451.  
  3452.  
  3453.  
  3454.  
  3455.  
  3456.  
  3457.  
  3458.  
  3459.  
  3460.  
  3461.  
  3462.  
  3463.  
  3464.  
  3465.            Using VirusScan (Version 2.10)                           62
  3466.  
  3467.             SPECIAL INSTRUCTIONS FOR NETWORK ADMINISTRATORS
  3468.             
  3469.             You have many options for setting up VShield on
  3470.             a network. The table "Deciding which options are
  3471.             for you" later in this chapter lists options
  3472.             that apply in network environments. If you need
  3473.             assistance in choosing the best configuration
  3474.             for your network, contact McAfee (see "Technical
  3475.             support" in Chapter 1).
  3476.             
  3477.             If you run VShield from a network drive, flag
  3478.             VSHIELD.EXE as EXECUTE ONLY, READ ONLY, and
  3479.             SHAREABLE.
  3480.             
  3481.             If you run VShield from clients' local drives:
  3482.             
  3483.             o Edit all clients' AUTOEXEC.BAT files to load
  3484.               VShield, with the options that are
  3485.               appropriate for your environment, before any
  3486.               other drivers are loaded.
  3487.  
  3488.             o Add VShield with the /RECONNECT option to the
  3489.               AUTOEXEC.BAT or the network login script,
  3490.               after the network drivers are loaded. See
  3491.               /RECONNECT, later in this chapter, for more
  3492.               information.
  3493.  
  3494.             o Run CheckVShield from the login script.
  3495.               CheckVShield returns a
  3496.  
  3497.             DOS ERRORLEVEL that you can use in batch files
  3498.             to check and update VShield. For an example of
  3499.             using CheckVShield, see "Technical note 2:
  3500.             Sample NetWare login script and .BAT file" later
  3501.             in this chapter.
  3502.             
  3503.             
  3504.             
  3505.  
  3506.  
  3507.  
  3508.  
  3509.  
  3510.  
  3511.  
  3512.  
  3513.  
  3514.  
  3515.  
  3516.  
  3517.  
  3518.  
  3519.  
  3520.            Using VirusScan (Version 2.10)                           63            
  3521.  
  3522.             VSHIELD OPTION SUMMARY
  3523.             
  3524.             DOS-OS/2 option     Description
  3525.             
  3526.             /? or /HELP    
  3527.               Display a list of valid VShield command line options.
  3528.             
  3529.             /ANYACCESS     
  3530.               Scan the boot sector whenever a diskette is accessed 
  3531.               (read and write); scan executables; scan any newly 
  3532.               created files.
  3533.             
  3534.             /BOOTACCESS    
  3535.               Scan the boot sector for viruses whenever a diskette 
  3536.               is accessed (including read and write).
  3537.             
  3538.             /CERTIFY  
  3539.               Prevent files without validation codes from running.
  3540.             
  3541.             /CF {filename} 
  3542.               Check for viruses using recovery and validation data 
  3543.               stored by Scan /AF in the specified filename.
  3544.             
  3545.             /CONTACT {message}  
  3546.               Display specified message when a virus is found.
  3547.             
  3548.             /CONTACTFILE {filename}  
  3549.               Display message stored in filename when a virus is found.
  3550.             
  3551.             /CV  
  3552.               Check validation codes added to files by Scan.
  3553.             
  3554.             /EXCLUDE {filename} 
  3555.               Don't check files listed in filename for validation codes 
  3556.               (/CF and /CV options).
  3557.             
  3558.             /FILEACCESS    
  3559.               Scan executable files when they are accessed on a 
  3560.               diskette, but don't check the boot sector.
  3561.             
  3562.             /IGNORE {drive(s)}
  3563.               Don't check programs loaded from the specified drive(s).
  3564.             
  3565.             /LOCK     
  3566.               Halt the system when a file that is infected loads 
  3567.               and attempts to execute.
  3568.             
  3569.             /NOEMS    
  3570.               Prevent VShield from loading into expanded memory (EMS).
  3571.             
  3572.             /NOMEM    
  3573.               Don't check memory for viruses.
  3574.             
  3575.            Using VirusScan (Version 2.10)                           64            
  3576.  
  3577.             /NOREMOVE 
  3578.               Prevent VShield from being removed from memory with 
  3579.               the /REMOVE switch.
  3580.             
  3581.             /NOUMB    
  3582.               Prevent VShield from loading into upper memory blocks 
  3583.               (UMB).
  3584.             
  3585.             /NOWARMBOOT    
  3586.               Don't check the diskette boot sector for viruses 
  3587.               during warm boot ([Ctrl]+[Alt]+[Del]).
  3588.             
  3589.             /NOXMS    
  3590.               Prevent VShield from using extended memory (XMS) 
  3591.               when it loads.
  3592.             
  3593.             /ONLY {drive(s)}    
  3594.               Check programs loaded only from the specified drive(s).
  3595.             
  3596.             /POLY     
  3597.               Check for polymorphic viruses.
  3598.  
  3599.             /RECONNECT     
  3600.               Restore VShield after certain drivers or TSRs have 
  3601.               disabled it.
  3602.             
  3603.             /REMOVE   
  3604.               Unload VShield from memory.
  3605.             
  3606.             /SAVE     
  3607.               Save the command line options to the VSHIELD.INI file.
  3608.             
  3609.             /SWAP [pathname]    
  3610.               Load VShield kernel (7Kb) only; swap the rest to pathname.
  3611.             
  3612.  
  3613.  
  3614.  
  3615.  
  3616.  
  3617.  
  3618.  
  3619.  
  3620.  
  3621.  
  3622.  
  3623.  
  3624.  
  3625.  
  3626.  
  3627.  
  3628.  
  3629.  
  3630.            Using VirusScan (Version 2.10)                           65            
  3631.             
  3632.             VSHIELD OPTION DESCRIPTIONS
  3633.             
  3634.             /? or /HELP
  3635.             
  3636.             Use this option to display a brief description
  3637.             of valid VShield command line options.
  3638.             
  3639.  
  3640.             /ANYACCESS
  3641.             
  3642.             Checks the diskette boot sector and all files
  3643.             for viruses whenever a diskette is accessed by a
  3644.             read or write operation, such as a DIR or COPY
  3645.             command, and when a program on the diskette is
  3646.             opened, read, updated, or executed.
  3647.             
  3648.             /ANYACCESS prevents execution if a program file
  3649.             is infected. It also checks any new files
  3650.             created, such as with a copy command, regardless
  3651.             of the file's extension.
  3652.             
  3653.             This is the highest level of protection against
  3654.             viruses that infect boot sectors. Using
  3655.             /ANYACCESS with either /BOOTACCESS or
  3656.             /FILEACCESS in the same command line returns an
  3657.             error message.
  3658.             
  3659.             NOTE: The /ANYACCESS switch is not recommended
  3660.             for use with DOS and WIN-OS/2 sessions under
  3661.             OS/2 due to certain low-level operating system
  3662.             incompatibilities between OS/2 and DOS. Use the
  3663.             /FILEACCESS switch instead.
  3664.             
  3665.             
  3666.             /BOOTACCESS
  3667.             
  3668.             Checks the boot sector of a diskette for viruses
  3669.             whenever a diskette is accessed by a read or
  3670.             write operation, such as the DIR or copy
  3671.             commands. By default, VShield checks programs
  3672.             when they execute, but does not check the boot
  3673.             sector of the diskette for viruses. Using
  3674.             /BOOTACCESS with /ANYACCESS in the same command
  3675.             line returns an error message.
  3676.             
  3677.             NOTE: This option does not work from within
  3678.             Windows File Manager. For virus-checking within
  3679.             Windows, use the /FILEACCESS or /ANYACCESS
  3680.             switch instead.
  3681.             
  3682.  
  3683.  
  3684.  
  3685.            Using VirusScan (Version 2.10)                           66            
  3686.  
  3687.             /CERTIFY
  3688.             
  3689.             Prevents programs from running if they do not
  3690.             have Scan validation codes. Use it in high-
  3691.             security environments to prevent clients from
  3692.             running programs that have not been scanned. To
  3693.             use /CERTIFY, first run Scan with the /AF or /AV
  3694.             option, as described in Chapter 3. Then, use
  3695.             VShield with the /CERTIFY option and either the
  3696.             /CF or /CV option (either is required), such as:
  3697.             
  3698.                  vshield /certify /cf c:\mcafee\recvalch.sav
  3699.             
  3700.             Some programs, such as Lotus 1-2-3, contain self-
  3701.             modifying code and do not work correctly with
  3702.             validation codes attached. You may create an
  3703.             exception list of files to exclude from
  3704.             validation. For instructions, refer to
  3705.             "Technical note 1: Creating an exception list
  3706.             for the /EXCLUDE option" later in this chapter.
  3707.             
  3708.             
  3709.             /CF {filename}
  3710.             
  3711.             Checks validation data stored by Scan's /AF
  3712.             {filename} option, where filename is the name of
  3713.             the validation data file created by Scan. If a
  3714.             file or system area has changed, VShield reports
  3715.             that a viral infection may have occurred. You
  3716.             can specify the /EXCLUDE option to exclude a
  3717.             list of files from validation checking.  In this
  3718.             example:
  3719.              
  3720.                  vshield /cf c:\mcafee\valcodes.dat /noems
  3721.             
  3722.             VShield looks in the VALCODES.DAT file for
  3723.             validation data. For instructions on using Scan
  3724.             /AF to add validation codes, see "Scan option
  3725.             descriptions" in Chapter 3, and "Detecting new
  3726.             and unknown viruses" in Chapter 5.
  3727.             
  3728.             
  3729.             
  3730.             
  3731.             
  3732.             
  3733.             
  3734.             
  3735.             
  3736.             
  3737.             
  3738.             
  3739.  
  3740.            Using VirusScan (Version 2.10)                           67            
  3741.             
  3742.             /CONTACT {message}
  3743.             
  3744.             Displays a custom message when a virus is found.
  3745.             This message is displayed in addition to all
  3746.             other VShield messages. Use /CONTACT to let
  3747.             network users know what to do if VShield finds a
  3748.             virus. The message can be up to 50 characters
  3749.             long, and can contain any character except a
  3750.             backslash " \ ". Place messages starting with a
  3751.             hyphen " - " or slash " / " in quotation marks.
  3752.             
  3753.             If your message is longer than 50 characters or
  3754.             you want to store the message text in a file,
  3755.             use /CONTACTFILE instead. Using /CONTACT and
  3756.             /CONTACTFILE in the same command line returns an
  3757.             error message.
  3758.            
  3759.             
  3760.             /CONTACTFILE {filename}
  3761.             
  3762.             An alternative to the /CONTACT option,
  3763.             /CONTACTFILE identifies a file that contains the
  3764.             message string to display when a virus is found.
  3765.             This option is especially useful in network
  3766.             environments, because you can easily maintain
  3767.             the message text in a central file rather than
  3768.             changing the command line in the AUTOEXEC.BAT
  3769.             file on each workstation.
  3770.             
  3771.             If your message is 50 characters or fewer, you
  3772.             can use /CONTACT instead. Using /CONTACT and
  3773.             /CONTACTFILE in the same command line returns an
  3774.             error message.
  3775.             
  3776.             
  3777.             /CV
  3778.             
  3779.             Checks validation codes added by Scan with the
  3780.             /AV option. If a file has changed, VShield
  3781.             reports that the file has been modified and a
  3782.             viral infection may have occurred. You can
  3783.             specify the /EXCLUDE option to exclude a list of
  3784.             files from validation checking. For instructions
  3785.             on using Scan to add validation codes, see "Scan
  3786.             option descriptions" in Chapter 3, and
  3787.             "Detecting new and unknown viruses" in Chapter 5.
  3788.              
  3789.             
  3790.             
  3791.             
  3792.             
  3793.             
  3794.             
  3795.            Using VirusScan (Version 2.10)                           68
  3796.  
  3797.             /EXCLUDE {filename}
  3798.             
  3799.             Excludes files listed in filename from
  3800.             validation when using /CF or /CV. For more
  3801.             information on this, see "Technical note 1:
  3802.             Creating an exception list for the /EXCLUDE
  3803.             option" later in this chapter.
  3804.             
  3805.             
  3806.             /FILEACCESS
  3807.             
  3808.             Checks standard executable files whenever the
  3809.             file is accessed or executed, and prevents
  3810.             execution of infected programs. Checks all files
  3811.             when accessed by a read or write operation.
  3812.             Using /ANYACCESS in the same command line with
  3813.             /FILEACCESS returns an error message.
  3814.             
  3815.             NOTE: We recommend always using /FILEACCESS with
  3816.             OS/2. 1 For VShieldCRC, /FILEACCESS checks files
  3817.             only if they have been validated with the /AF or
  3818.             /AV options.
  3819.             
  3820.             
  3821.             /IGNORE {drives}
  3822.             
  3823.             Omits checking program loads from the specified
  3824.             drives, as shown in the following example:
  3825.             
  3826.                  vshield /ignore t: y: w:
  3827.             
  3828.             Use /IGNORE or /ONLY to speed up VShield by
  3829.             excluding secure, virus-free network drives from
  3830.             virus checking. You can specify up to 26 drives.
  3831.             See also /ONLY, described later in this section.
  3832.             Using /IGNORE and /ONLY in the same command line
  3833.             returns an error message.
  3834.             
  3835.             
  3836.             /LOCK
  3837.             
  3838.             Halts the system to stop further infection if
  3839.             VShield finds a virus. /LOCK is appropriate in
  3840.             highly vulnerable network environments, such as
  3841.             open-use computer labs. If you use /LOCK, use
  3842.             /CONTACT or /CONTACTFILE to tell users what to
  3843.             do or whom to contact if a virus is found and
  3844.             the system locks up.
  3845.             
  3846.             
  3847.             
  3848.             
  3849.  
  3850.            Using VirusScan (Version 2.10)                           69            
  3851.             
  3852.             /NOEMS
  3853.             
  3854.             Prevents VShield from using expanded memory (LIM
  3855.             EMS 3.2) when it loads. This ensures that EMS is
  3856.             available exclusively to other programs.
  3857.             
  3858.             
  3859.             /NOMEM
  3860.             
  3861.             Skips the memory check for viruses when VShield
  3862.             loads. Using /NOMEM improves performance
  3863.             slightly, but use it only if you are absolutely
  3864.             sure that your system is virus-free.
  3865.             
  3866.             
  3867.             /NOREMOVE
  3868.             
  3869.             Prevents VShield from being removed from memory
  3870.             with the /REMOVE option in a subsequent VShield
  3871.             command. When you load VShield with the
  3872.             /NOREMOVE option, subsequent loads with the
  3873.             /REMOVE option will have not effect. Your
  3874.             network will be more secure if users cannot
  3875.             remove VShield, but this option may prevent
  3876.             users from solving memory limitations or
  3877.             conflicts.
  3878.             
  3879.             
  3880.             /NOUMB
  3881.             
  3882.             Prevents VShield from loading into the upper
  3883.             memory block (UMB, 640Kb to 1024Kb). This
  3884.             ensures that the UMB is available exclusively to
  3885.             other programs.
  3886.             
  3887.             
  3888.             /NOWARMBOOT
  3889.             
  3890.             Omits checking the diskette boot sector during a
  3891.             warm boot ([Ctrl]+[Alt]+[Del]).
  3892.             
  3893.             
  3894.             /NOXMS
  3895.             
  3896.             Prevents VShield from using extended memory when
  3897.             it loads. This ensures that XMS is available
  3898.             exclusively to other programs.
  3899.             
  3900.             
  3901.             
  3902.             
  3903.             
  3904.  
  3905.            Using VirusScan (Version 2.10)                           70            
  3906.             
  3907.             /ONLY {drive(s)}
  3908.             
  3909.             Checks program loads only from the specified
  3910.             drive(s), ignoring all other drives, as shown in
  3911.             the following example:
  3912.             
  3913.                  vshield /only c: f: k:
  3914.             
  3915.             Use /IGNORE or /ONLY to speed up VShield by
  3916.             excluding secure, virus-free network drives from
  3917.             virus checking. You can specify up to 26 drives.
  3918.             See also /IGNORE, earlier in this chapter. Using
  3919.             /ONLY and /IGNORE in the same command line
  3920.             returns an error message.
  3921.             
  3922.             
  3923.             /POLY
  3924.             
  3925.             Checks for polymorphic viruses, which are
  3926.             viruses that attempt to evade detection by
  3927.             changing their internal structure or encryption
  3928.             techniques. Otherwise, VShield does not check
  3929.             for polymorphic viruses. Using /POLY on the same
  3930.             command line as /FILEACCESS or /SWAP returns an
  3931.             error.
  3932.             
  3933.             
  3934.             /RECONNECT
  3935.             
  3936.             Restores VShield's links into DOS after another
  3937.             program has disabled it, such as a network
  3938.             driver, keyboard driver, custom disk driver,
  3939.             drive compression program, or disk caching
  3940.             program. These types of programs replace the
  3941.             normal DOS system interrupts so that VShield no
  3942.             longer recognizes program loads. After the lines
  3943.             in your AUTOEXEC.BAT file (or network login
  3944.             script) that load these programs, add this
  3945.             command line to restore VShield:
  3946.             
  3947.                  vshield /reconnect
  3948.             
  3949.             
  3950.             /REMOVE
  3951.             
  3952.             Unloads VShield from memory. You may want to do
  3953.             this temporarily if you are running out of
  3954.             memory for programs. For best results, try using
  3955.             VShield with the /SWAP option first. Use /REMOVE
  3956.             only as a last resort.
  3957.             
  3958.             
  3959.  
  3960.            Using VirusScan (Version 2.10)                           71            
  3961.             
  3962.             NOTE: /REMOVE will not work if other memory-
  3963.             resident programs were loaded after VShield, or
  3964.             if VShield was loaded previously with the
  3965.             /NOREMOVE option.
  3966.             
  3967.             
  3968.             /SAVE
  3969.             
  3970.             Stores the VShield options you specify as the
  3971.             defaults in VSHIELD.INI. In the following
  3972.             example, /SAVE saves the /CONTACTFILE N:\MSGFILE
  3973.             as the default setting:
  3974.             
  3975.                  vshield /contactfile n:\msgfile /save
  3976.             
  3977.             To remove custom options and return to VShield's
  3978.             original defaults, use the /SAVE option alone:
  3979.             
  3980.             vshield /save
  3981.             
  3982.             
  3983.             /SWAP [pathname]
  3984.             
  3985.             Installs a small (7Kb) kernel of VShield in
  3986.             memory that loads the rest of VShield from disk
  3987.             on demand. Specify a pathname only if you want
  3988.             VShield to swap to a path other than the
  3989.             directory where VShield resides.
  3990.             
  3991.             Use /SWAP only if you have very little memory
  3992.             available, but require a high assurance of
  3993.             safety. /SWAP will slow down your system and may
  3994.             cause conflicts with programs that fail to
  3995.             allocate memory properly. If you don't have
  3996.             enough memory to load VShield without swapping,
  3997.             consider using VShieldCRC instead. We do not
  3998.             recommend storing the swap file on a network
  3999.             path because, if the workstation disconnects
  4000.             from the network, the workstation will lock.
  4001.             
  4002.  
  4003.  
  4004.  
  4005.  
  4006.  
  4007.  
  4008.  
  4009.  
  4010.  
  4011.  
  4012.  
  4013.  
  4014.  
  4015.            Using VirusScan (Version 2.10)                           72            
  4016.             
  4017.             DECIDING WHICH OPTIONS ARE FOR YOU
  4018.  
  4019.             Because systems and environments differ, VShield gives you a
  4020.             choice of options. Consider the mixture of safety,
  4021.             performance, and maintenance that meets your needs, then
  4022.             choose the combination of options that works best.
  4023.  
  4024.             REQUIREMENT       │ OPTION       │ COMMENTS
  4025.             ══════════════════╪══════════════╪══════════════════════════════
  4026.             More complete     │ /ANYACCESS   │ Highest protection against
  4027.             protection, any   │              │ infected diskettes; checks
  4028.             environment       │              │ for viruses whenever a dis-
  4029.                               │              │ kette or files are accessed.
  4030.                               ├──────────────┼──────────────────────────────
  4031.                               │ /FILEACCESS  │ Next highest protection
  4032.                               │              │ against infected diskettes;
  4033.                               │              │ checks for viruses whenever
  4034.                               │              │ a standard file is accessed. 
  4035.                               ├──────────────┼──────────────────────────────
  4036.                               │ /BOOTACCESS  │ Of the three, lowest
  4037.                               │              │ protection against infected
  4038.                               │              │ diskettes; checks for
  4039.                               │              │ viruses in boot sector when
  4040.                               │              │ a diskette is accessed.
  4041.                               ├──────────────┼──────────────────────────────
  4042.                               │ /POLY        │ Used to check for
  4043.                               │              │ polymorphic viruses.
  4044.             ──────────────────┼──────────────┼──────────────────────────────
  4045.             More complete     │ /CERTIFY     │ Use with /CF {filename} or
  4046.             protection,       │              │ /CV and an exception list.
  4047.             stable software   ├──────────────┼──────────────────────────────
  4048.             environment       │ /CF          │ Use /CF or /CV. Of the two,
  4049.                               │              │ /CF is recommended.
  4050.                               ├──────────────┼──────────────────────────────
  4051.                               │ /CV          │ Use /CF or /CV.
  4052.             ──────────────────┼──────────────┼──────────────────────────────
  4053.             Network or multi- │ /CONTACT     │ Use this (or /CONTACTFILE)
  4054.             user environments │              │ to tell users what to do
  4055.                               │              │ when a virus is found.
  4056.                               ├──────────────┼──────────────────────────────
  4057.                               │ /CONTACTFILE │ Use this (or /CONTACT) to
  4058.                               │              │ tell users what to do when 
  4059.                               │              │ a virus is found.
  4060.                               ├──────────────┼──────────────────────────────
  4061.                               │ /IGNORE      │ Use this (or /ONLY) to
  4062.                               │              │ skip virus-free drives.
  4063.                               ├──────────────┼──────────────────────────────
  4064.                               │ /LOCK        │ Use with /CONTACT or
  4065.                               │              │ /CONTACTFILE {filename}.
  4066.             ──────────────────┴──────────────┴──────────────────────────────
  4067.  
  4068.  
  4069.  
  4070.            Using VirusScan (Version 2.10)                            73
  4071.  
  4072.             ──────────────────┬──────────────┬──────────────────────────────
  4073.             For network       │ /NOREMOVE    │ Prevents VShield from
  4074.             environments      │              │ being removed from memory.   
  4075.             (continued)       ├──────────────┼──────────────────────────────
  4076.                               │ /ONLY        │ Use this (or IGNORE) to check
  4077.                               │              │ only vulnerable drives.
  4078.                               ├──────────────┼──────────────────────────────
  4079.                               │ /RECONNECT   │ Required if network drivers
  4080.                               │              │ are loaded after VShield.
  4081.             ──────────────────┼──────────────┼──────────────────────────────
  4082.             Faster            │ /NOMEM       │ Only use on a virus-free
  4083.             performance       │              │ computer.
  4084.             any environment   ├──────────────┼──────────────────────────────
  4085.                               │ /NOWARMBOOT  │ Omits checking the boot
  4086.                               │              │ sector after a warm boot.
  4087.             ──────────────────┼──────────────┼──────────────────────────────
  4088.             Manage memory,    │ /NOEMS       │ Use when other programs need
  4089.             any environment   │              │ exclusive use of EMS memory.
  4090.                               ├──────────────┼──────────────────────────────
  4091.                               │ /NOUMB       │ Use when other programs need
  4092.                               │              │ exclusive use of UMB memory.
  4093.                               ├──────────────┼──────────────────────────────
  4094.                               │ /NOXMS       │ Use when other programs need
  4095.                               │              │ exclusive use of XMS memory.
  4096.                               ├──────────────┼──────────────────────────────
  4097.                               │ /NOREMOVE    │ Use to ensure that VShield
  4098.                               │              │ remains in memory.
  4099.                               ├──────────────┼──────────────────────────────
  4100.                               │ /REMOVE      │ May temporarily solve memory
  4101.                               │              │ conflicts.
  4102.                               ├──────────────┼──────────────────────────────
  4103.                               │ /SWAP        │ Use in environments with very
  4104.                               │              │ limited memory.
  4105.             ══════════════════╧══════════════╧══════════════════════════════
  4106.             
  4107.  
  4108.  
  4109.  
  4110.  
  4111.  
  4112.  
  4113.  
  4114.  
  4115.  
  4116.  
  4117.  
  4118.  
  4119.  
  4120.  
  4121.  
  4122.  
  4123.  
  4124.  
  4125.            Using VirusScan (Version 2.10)                           74            
  4126.             
  4127.             EXAMPLES
  4128.             
  4129.             The following examples show different option
  4130.             settings:
  4131.             
  4132.                  vshield
  4133.             
  4134.             Activates VShield (Level II protection).
  4135.             
  4136.                  vshield /cv
  4137.             
  4138.             Activates VShield (Level III protection), if you
  4139.             have previously run SCAN /AV.
  4140.             
  4141.                  vshield /certify /cf c:\valcodes.dat
  4142.             
  4143.             Activates VShield (Level IV protection) and
  4144.             checks a recovery and validation data file
  4145.             created when running Scan with the /AF option.
  4146.             
  4147.                  vshield /swap
  4148.             
  4149.             Activates VShield kernel in memory and swaps
  4150.             from the directory in which VShield resides.
  4151.             
  4152.                  vshield /cv /exclude c:\excption.lst /contact
  4153.                  "Call the PC Help Desk!"
  4154.             
  4155.             Activates VShield (Level III protection),
  4156.             ignores checking files in the EXCPTION.LST
  4157.             files, and displays a message if a virus is
  4158.             found.
  4159.             
  4160.                  vshield /reconnect
  4161.             
  4162.             Re-enables VShield after it has been disconnected 
  4163.             by network device drivers.
  4164.             
  4165.  
  4166.  
  4167.  
  4168.  
  4169.  
  4170.  
  4171.  
  4172.  
  4173.  
  4174.  
  4175.  
  4176.  
  4177.  
  4178.  
  4179.  
  4180.            Using VirusScan (Version 2.10)                           75            
  4181.             
  4182.             ERROR LEVELS
  4183.             
  4184.             When VShield loads, it sets the DOS ERRORLEVEL.
  4185.             You can use the returned ERRORLEVEL in
  4186.             AUTOEXEC.BAT or other batch files to take
  4187.             different actions based on whether VShield has
  4188.             loaded in memory. See your DOS manual for more
  4189.             information.
  4190.             
  4191.             VShield returns these ERRORLEVELs:
  4192.             
  4193.             ERRORLEVEL/Description
  4194.             
  4195.             0   VShield successfully loaded in memory with all
  4196.                 options operational.
  4197.             
  4198.             9   VShield not loaded correctly. Abnormal termination 
  4199.                 (program error).
  4200.             
  4201.             VShield alerts you to problems by beeping once
  4202.             for system errors, twice for validation errors
  4203.             (/CF or /CF checking), or three times if a virus
  4204.             is found.
  4205.             
  4206.  
  4207.  
  4208.  
  4209.  
  4210.  
  4211.  
  4212.  
  4213.  
  4214.  
  4215.  
  4216.  
  4217.  
  4218.  
  4219.  
  4220.  
  4221.  
  4222.  
  4223.  
  4224.  
  4225.  
  4226.  
  4227.  
  4228.  
  4229.  
  4230.  
  4231.  
  4232.  
  4233.  
  4234.  
  4235.            Using VirusScan (Version 2.10)                           76
  4236.  
  4237.             USING VSHIELDCRC
  4238.             
  4239.             For Level I protection on systems with limited
  4240.             memory, use VShieldCRC instead of VShield.
  4241.             VShieldCRC is a separate program that consumes
  4242.             little system overhead, but is not recommended
  4243.             for normal use because it provides only minimal
  4244.             protection. VShieldCRC can inform you that you
  4245.             have been infected with a virus, but it does not
  4246.             check for virus signatures nor does it prevent
  4247.             infection.
  4248.             
  4249.             To use VShieldCRC, first use Scan with the /AF
  4250.             or /AV option. VShieldCRC checks the validation
  4251.             codes added by Scan. It also checks the master
  4252.             boot record (MBR) and boot sector validation
  4253.             codes, if present. See Chapter 3 for
  4254.             instructions on using Scan.
  4255.             
  4256.             To load VShieldCRC with options, use the
  4257.             following syntax:
  4258.             
  4259.                  vshldcrc [options]
  4260.             
  4261.             [options] include the options listed in the
  4262.             table "VShieldCRC option summary" later in this
  4263.             chapter. For more information on all options
  4264.             except /LOGFILE, see "VShield option
  4265.             descriptions" earlier in this chapter.
  4266.             
  4267.             EXAMPLES
  4268.             
  4269.                  vshldcrc
  4270.             
  4271.             Activates VShieldCRC (Level I protection).
  4272.             
  4273.                  vshldcrc /cf valcodes.dat
  4274.             
  4275.             Activates VShieldCRC and checks validation data
  4276.             stored in VALCODES.DAT, a file that was created
  4277.             using Scan with the /AF option.
  4278.             
  4279.  
  4280.  
  4281.  
  4282.  
  4283.  
  4284.  
  4285.  
  4286.  
  4287.  
  4288.  
  4289.  
  4290.            Using VirusScan (Version 2.10)                           77
  4291.  
  4292.             VSHIELDCRC OPTION SUMMARY
  4293.             
  4294.             /? or /HELP    
  4295.               Display a list of valid VShieldCRC command line options.
  4296.             
  4297.             /CERTIFY  
  4298.               Prevent files without validation codes from running.
  4299.             
  4300.             /CF {filename} 
  4301.               Check for viruses using recovery and validation data 
  4302.               stored by Scan /AF in the specified filename.
  4303.             
  4304.             /CONTACT {message}  
  4305.               Display specified message when a virus is found.
  4306.             
  4307.             /CONTACTFILE {filename}  
  4308.               Display message stored in specified filename when virus found.
  4309.             
  4310.             /CV  
  4311.               Check validation codes added to files by Scan.
  4312.             
  4313.             /EXCLUDE {filename} 
  4314.               Don't check files listed in filename for validation 
  4315.               codes (used with /CF and /CV options).
  4316.             
  4317.             /FILEACCESS    
  4318.               Scan only validated executable files when accessed, but don't 
  4319.               check boot sector. Prevent infected programs from running.
  4320.             
  4321.             /IGNORE {drive(s)}  
  4322.               Don't check programs loaded from specified drive(s).
  4323.             
  4324.             /LOCK     
  4325.               Halt the system when a file that is not certified 
  4326.               attempts to load and execute.
  4327.             
  4328.             /LOGFILE {filename} 
  4329.               Write error information to filename.
  4330.             
  4331.             /NOREMOVE 
  4332.               Prevent VShieldCRC from being removed from memory 
  4333.               with a subsequent VShieldCRC command using /REMOVE.
  4334.             
  4335.             /NOUMB    
  4336.               Prevent VShieldCRC from using upper memory blocks (UMB) 
  4337.               when it loads.
  4338.             
  4339.             /ONLY {drive(s)}    
  4340.               Check programs loaded only from the specified drive(s).
  4341.             
  4342.             /REMOVE   
  4343.               Unload VShieldCRC from memory.
  4344.             
  4345.            Using VirusScan (Version 2.10)                           78            
  4346.             
  4347.             USING CHECKVSHIELD
  4348.             
  4349.             CheckVShield allows network administrators to
  4350.             make sure that workstations are running VShield
  4351.             or VShieldCRC before users can log onto a
  4352.             network. See "Technical note 2: Sample NetWare
  4353.             login script and .BAT file" later in this
  4354.             chapter for a sample Novell NetWare login script
  4355.             using CheckVShield.
  4356.             
  4357.             To load CheckVShield with options, use the
  4358.             following syntax:
  4359.             
  4360.                  chkvshld [option(s)]
  4361.             
  4362.             [option(s)] include:
  4363.             
  4364.             /? and /HELP 
  4365.               Display a list of valid CheckVShield command line 
  4366.               options.
  4367.             
  4368.             /DEBUG  
  4369.               Displays the version of VShield or VShieldCRC resident 
  4370.               in memory and the DOS ERRORLEVEL on the screen.
  4371.             
  4372.             /QUIET 
  4373.               Suppresses CheckVShield messages (quiet mode) so 
  4374.               users don't see the messages.
  4375.             
  4376.             /V "xxxxx" 
  4377.               Tells CheckVShield to look for a specific version 
  4378.               (2.00 or higher) of VShield or VShieldCRC in memory. 
  4379.               For example, /v "2.00" for VShield 2.00.
  4380.             
  4381.             EXAMPLE
  4382.             
  4383.                  chkvshld /quiet
  4384.             
  4385.             Checks for VShield or VShieldCRC in memory and
  4386.             suppresses messages.
  4387.             
  4388.  
  4389.  
  4390.  
  4391.  
  4392.  
  4393.  
  4394.  
  4395.  
  4396.  
  4397.  
  4398.  
  4399.  
  4400.            Using VirusScan (Version 2.10)                           79
  4401.             
  4402.             ERROR LEVELS
  4403.             
  4404.             When CheckVShield runs, it sets the DOS
  4405.             ERRORLEVEL. Use the ERRORLEVEL in batch files to
  4406.             take different actions based on the results of
  4407.             CheckVShield's check. The ERRORLEVELs returned
  4408.             by CheckVShield are:
  4409.             
  4410.             ERRORLEVEL/Description
  4411.             
  4412.             0   VShield or VShieldCRC is resident or, if /V is
  4413.                 used, the version specified is resident in memory.
  4414.             
  4415.             1   VShield or VShieldCRC is resident but does not
  4416.                 match the version specified in the /V option.
  4417.             
  4418.             2   VShield or VShieldCRC is not resident in
  4419.                 memory.
  4420.             
  4421.             3   Abnormal termination (program error).
  4422.             
  4423.  
  4424.  
  4425.  
  4426.  
  4427.  
  4428.  
  4429.  
  4430.  
  4431.  
  4432.  
  4433.             
  4434.             
  4435.             
  4436.             
  4437.             
  4438.             
  4439.             
  4440.             
  4441.             
  4442.             
  4443.             
  4444.             
  4445.             
  4446.             
  4447.             
  4448.             
  4449.             
  4450.             
  4451.             
  4452.             
  4453.             
  4454.             
  4455.            Using VirusScan (Version 2.10)                           80
  4456.             
  4457.             TECHNICAL NOTE 1:  
  4458.             CREATING AN EXCEPTION LIST FOR THE /EXCLUDE OPTION
  4459.             
  4460.             VShield /CERTIFY permits a file to load only if:
  4461.             
  4462.             o It has been validated by Scan, or
  4463.  
  4464.             o It appears in the exception list file
  4465.               specified with the /EXCLUDE option, used in
  4466.               conjunction with /CF or /CV.
  4467.  
  4468.             If you do not validate any files and do not use
  4469.             an exception list, /CERTIFY will disable all
  4470.             programs other than DOS internal commands.
  4471.             
  4472.             The exception list file is an ASCII or DOS text
  4473.             file containing up to 1,024 characters. If you
  4474.             use a word processor to create it, be sure to
  4475.             save the file as ASCII or DOS Text. Each line in
  4476.             the file contains the path and filename of one
  4477.             file that should not be validated. Here is an
  4478.             example:
  4479.             
  4480.                  c:\clipper\bin\clipper.exe
  4481.                  c:\123\123.com
  4482.                  c:\fox\foxprolx.exe
  4483.                  c:\dos\setver.exe
  4484.                  c:\pkware\pklite.exe
  4485.                  c:\pkware\pkzip.exe
  4486.                  c:\pkware\pkunzip.exe
  4487.                  c:\semware\q.exe
  4488.                  c:\swapvol.com
  4489.                  c:\norton\ncache.exe
  4490.                  c:\wordstar\ws.exe
  4491.             
  4492.  
  4493.  
  4494.  
  4495.  
  4496.  
  4497.  
  4498.  
  4499.  
  4500.  
  4501.  
  4502.  
  4503.  
  4504.  
  4505.  
  4506.  
  4507.  
  4508.  
  4509.  
  4510.            Using VirusScan (Version 2.10)                           81
  4511.  
  4512.             TECHNICAL NOTE 2  
  4513.             SAMPLE NETWARE LOGIN SCRIPT AND .BAT FILE
  4514.             
  4515.             Here is a sample system login script for use by
  4516.             Novell NetWare system administrators. The login
  4517.             script gets the ERRORLEVEL from CheckVShield and
  4518.             displays messages on the user's screen. If
  4519.             VShield is not loaded correctly, there is an
  4520.             internal error with CheckVShield, either VShield
  4521.             or VShieldCRC is not installed, or an older
  4522.             version of VShield is present, the script exits
  4523.             the user to a NOLOGIN.BAT file that logs him or
  4524.             her out.
  4525.             
  4526.             #REM REPLACE "XXX" WITH CURRENT VERSION NUMBER
  4527.             CHKVSHLD /V "VXXX"
  4528.               IF ERROR_LEVEL = "3" THEN
  4529.                FIRE PHASERS 5 TIMES
  4530.                WRITE "A CHKVSHLD internal error has occurred."
  4531.                WRITE "Please contact the Help Desk."
  4532.                #COMMAND /C NOLOGIN.BAT
  4533.               EXIT
  4534.              ELSE
  4535.               IF ERROR_LEVEL = "2" THEN
  4536.                FIRE PHASERS 5 TIMES
  4537.                WRITE "VShield has not been installed on your PC."
  4538.                WRITE "Access Denied. Please contact the Help Desk."
  4539.                #COMMAND /C NOLOGIN.BAT
  4540.               EXIT
  4541.              ELSE
  4542.               IF ERROR_LEVEL = "1" THEN
  4543.                FIRE PHASERS 5 TIMES
  4544.                WRITE "An old version of VShield has been installed."
  4545.                WRITE "Access to the network has been denied. Please"
  4546.                WRITE "contact the Help Desk to have a new version"
  4547.                WRITE "installed."
  4548.                #COMMAND /C NOLOGIN.BAT
  4549.                EXIT
  4550.               END
  4551.              END
  4552.             END
  4553.             
  4554.             You can create more complex login scripts to
  4555.             send a message to the supervisor if an error has
  4556.             occurred, update the user's VSHIELD.EXE as he or
  4557.             she logs in to the network, and so forth.
  4558.             
  4559.             Here is a sample of the NOLOGIN.BAT file called
  4560.             by the login script.
  4561.             
  4562.             ECHO OFF
  4563.             REM Log the user off of the network
  4564.             LOGOUT
  4565.            Using VirusScan (Version 2.10)                           82            
  4566.             
  4567.             CHAPTER 5: TIPS & TROUBLESHOOTING
  4568.             
  4569.             The other chapters in this manual are meant to
  4570.             tell you clearly and concisely how to use the
  4571.             VirusScan software. Still, you may have
  4572.             questions or encounter confusing situations.
  4573.             This chapter contains two kinds of advice:
  4574.             
  4575.             o Tips for getting the most out of VirusScan.
  4576.  
  4577.             o Common problems and how to solve or avoid
  4578.               them.
  4579.  
  4580.             If this information doesn't help resolve your
  4581.             question or problem, contact McAfee (see
  4582.             "Technical support" in Chapter 1).
  4583.             
  4584.             TIPS
  4585.             
  4586.             DETECTING NEW AND UNKNOWN VIRUSES
  4587.             
  4588.             There are two ways of dealing with new and
  4589.             unknown viruses that may infect your system:
  4590.             
  4591.             o Update VirusScan regularly.
  4592.  
  4593.             o Store and check validation and recovery
  4594.               information about your files.
  4595.  
  4596.             UPDATE VIRUSSCAN REGULARLY
  4597.             
  4598.             Most likely, McAfee will see new viruses long
  4599.             before you do. We update the VirusScan programs
  4600.             often--usually monthly, but more often if many
  4601.             new viruses have appeared. Each new version may
  4602.             detect and eradicate as many as 60 to 100 new
  4603.             viruses or more, and may fix bugs that have been
  4604.             reported.
  4605.             
  4606.             Updating VirusScan regularly is probably all you
  4607.             need to do to protect against new viruses. See
  4608.             the instructions for obtaining new versions in
  4609.             "Updating VirusScan regularly" in Chapter 2.
  4610.  
  4611.  
  4612.  
  4613.  
  4614.  
  4615.  
  4616.  
  4617.  
  4618.  
  4619.  
  4620.            Using VirusScan (Version 2.10)                           83            
  4621.             
  4622.             USE THE VALIDATION AND RECOVERY OPTIONS
  4623.             
  4624.             If your environment is highly vulnerable to
  4625.             viruses, or you require unusual security against
  4626.             them, you can use VirusScan's validation and
  4627.             recovery options. Scan checks for new or unknown
  4628.             viruses by comparing files against previously
  4629.             recorded validation data. If a file has been
  4630.             modified, it no longer matches the validation
  4631.             data, and Scan reports that the file may have
  4632.             become infected. Scan has two levels of
  4633.             validation, which are stored in two separate
  4634.             ways:
  4635.             
  4636.             o It can store the enhanced code in a separate
  4637.               recovery file, which can be stored off-line
  4638.               (for example, on a diskette) for recovery
  4639.               purposes (/AF, /CF, and /RF switches). This
  4640.               is the preferred method because it stores the
  4641.               data for files, the boot sector, and the
  4642.               master boot record (MBR) of a disk in the
  4643.               recovery file.
  4644.  
  4645.             o It can append a simple 98-byte validation code
  4646.               to .COM and .EXE files (/AV, /CV, and /RV
  4647.               switches). This method applies to the files
  4648.               you specified only. It does not store data
  4649.               for the boot sector and master boot record (MBR).
  4650.  
  4651.             Once the validation codes are stored, both Scan
  4652.             and VShield can use the /CV and /CF options to
  4653.             detect changes to the files. More importantly,
  4654.             if you have stored the recovery information with
  4655.             /AF, Scan can use it to restore infected files,
  4656.             master boot records (MBR), and boot sectors.
  4657.             
  4658.             All of these options require continuing effort
  4659.             to store and maintain the codes. For example, if
  4660.             you install new programs or upgrade old ones,
  4661.             you should use the /RV or /RF options to remove
  4662.             all codes, then /AV or /AF to restore them.
  4663.             
  4664.             If you want to use one of these methods, which
  4665.             should you use? We recommend the "F"
  4666.             options--/AF, /CF, and /RF--over the "V" options.
  4667.             /AF stores the validation and recovery
  4668.             information in a separate file, instead of
  4669.             modifying the program files themselves. This has
  4670.             three advantages:
  4671.             
  4672.             
  4673.             
  4674.             
  4675.            Using VirusScan (Version 2.10)                           84
  4676.             
  4677.             o You can store the recovery file off-line (on
  4678.               your clean anti-viral startup diskette, for
  4679.               example, or on a network drive or tape drive)
  4680.               and access it on demand to check for, and
  4681.               recover from, infection by unknown viruses.
  4682.               Use the procedure below to create a recovery
  4683.               diskette.
  4684.  
  4685.             o This method keeps self-checking files (usually
  4686.               copy-protected programs) from reporting that
  4687.               they have been tampered with.
  4688.  
  4689.             o If you use this method, you don't need an
  4690.               exception list. However, it's important that
  4691.               you run Scan with the /RF option on
  4692.               individual self-modifying files, such as
  4693.               Lotus 1-2-3, to remove the validation codes
  4694.               for those programs from the validation file.
  4695.  
  4696.             The "V" options are primarily useful for
  4697.             companies that distribute software to their
  4698.             customers or employees, and want to incorporate
  4699.             an additional level of virus protection.
  4700.             
  4701.             Creating a recovery diskette To store the
  4702.             recovery file on the clean startup diskette you
  4703.             created in "Making a clean start-up diskette" in
  4704.             Chapter 2, temporarily remove write-protection
  4705.             from the diskette and insert it in drive A. Run
  4706.             Scan on your hard disks with the /AF option. For
  4707.             example:
  4708.             
  4709.                  scan /adl /af a:\scancrc.crc
  4710.             
  4711.             scans the local hard disk drives for known
  4712.             viruses and creates SCANCRC.CRC, a file
  4713.             containing recovery data and validation codes,
  4714.             on the diskette. After Scan finishes, write-
  4715.             protect the diskette.
  4716.             
  4717.             To check for virus infection, turn your computer
  4718.             off, insert the recovery diskette in drive A,
  4719.             and turn the power back on. The PC will now
  4720.             start from the diskette. At the DOS prompt,
  4721.             type:
  4722.             
  4723.                  scan /adl /cf a:\scancrc.crc
  4724.             
  4725.             to compare the local hard disk drives against
  4726.             the recovery data stored on the diskette in the
  4727.             SCANCRC.CRC file.
  4728.             
  4729.             
  4730.            Using VirusScan (Version 2.10)                           85            
  4731.             
  4732.             If you detect an unknown virus, to disinfect
  4733.             your system, turn your PC off, insert the
  4734.             recovery diskette, and turn the power back on.
  4735.             The PC will start from the floppy disk. At the
  4736.             DOS prompt, type:
  4737.             
  4738.                  scan /adl /cf a:\scancrc.crc /clean
  4739.             
  4740.             to restore local hard disk drives with the
  4741.             recovery data stored in SCANCRC.CRC on the
  4742.             diskette.
  4743.             
  4744.             If you install new software, or upgrade your DOS
  4745.             version, remember to update your recovery file.
  4746.             See "Application note 1: Updating validation
  4747.             codes" in Chapter 3.
  4748.             
  4749.  
  4750.  
  4751.  
  4752.  
  4753.  
  4754.  
  4755.  
  4756.  
  4757.  
  4758.  
  4759.  
  4760.  
  4761.  
  4762.  
  4763.  
  4764.  
  4765.  
  4766.  
  4767.  
  4768.  
  4769.  
  4770.  
  4771.  
  4772.  
  4773.  
  4774.  
  4775.  
  4776.  
  4777.  
  4778.  
  4779.  
  4780.  
  4781.  
  4782.  
  4783.  
  4784.  
  4785.            Using VirusScan (Version 2.10)                           86
  4786.             
  4787.             INTERACTING WITH YOUR NETWORK
  4788.             
  4789.             Many personal computers are interconnected
  4790.             through a local area network (LAN). VirusScan is
  4791.             highly compatible with most networks. Here are
  4792.             some ways of using the VirusScan software with
  4793.             your network:
  4794.             
  4795.             o Run Scan on network drives Run from a
  4796.               workstation (PC) on the network, Scan checks
  4797.               network drives for viruses just as it does local
  4798.               drives. For convenience, the /ADN option scans
  4799.               all network drives to which the workstation is
  4800.               connected.
  4801.             
  4802.             o Use VShield and CheckVShield By activating
  4803.               VShield as part of every workstation's
  4804.               AUTOEXEC.BAT file, you can prevent the
  4805.               workstations from introducing viruses into the
  4806.               network. Network administrators can ensure that
  4807.               VShield is active on each workstation by running
  4808.               CheckVShield as part of the network login script, 
  4809.               before actual login.
  4810.             
  4811.             o Use NetShield provides continuous virus
  4812.               protection on a NetWare server. NetWare network
  4813.               administrators can use it to check for both
  4814.               known and unknown viruses and to monitor all
  4815.               network activities. On other kinds of networks,
  4816.               you can use Scan to check network servers.
  4817.             
  4818.             o Develop a network security program, as described
  4819.               in the next tip.
  4820.             
  4821.  
  4822.  
  4823.  
  4824.  
  4825.  
  4826.  
  4827.  
  4828.  
  4829.  
  4830.  
  4831.  
  4832.  
  4833.  
  4834.  
  4835.  
  4836.  
  4837.  
  4838.  
  4839.  
  4840.            Using VirusScan (Version 2.10)                           87            
  4841.             
  4842.             DEVELOP A SECURITY PROGRAM
  4843.            
  4844.             VirusScan has been shown to be an effective
  4845.             virus-preventive measure when used in a
  4846.             conscientiously applied program of network
  4847.             security and regular professional care.
  4848.             
  4849.             VirusScan is one important element of a
  4850.             comprehensive computing security program that
  4851.             includes a variety of safety measures, such as
  4852.             regular backups, meaningful password protection,
  4853.             user training, and awareness. Even with
  4854.             VirusScan, some viruses--not to mention theft or
  4855.             fire--can render a disk unrecoverable without a
  4856.             recent backup. Although outlining such a
  4857.             security program is beyond the scope of this
  4858.             manual, see "Other sources of information" in
  4859.             Chapter 1 for suggestions.
  4860.             
  4861.             If you are a network administrator, we urge you
  4862.             to implement a security program to safeguard
  4863.             your organization's data and productivity. If
  4864.             you are a network user, please support and
  4865.             comply with such a program.
  4866.             
  4867.             TROUBLESHOOTING
  4868.             
  4869.             GENERAL ABNORMALITIES
  4870.             
  4871.             Using VirusScan with other anti-virus software
  4872.             
  4873.             When you run more than one anti-virus program,
  4874.             you risk strange results and false alarms. For
  4875.             example, some anti-virus programs store their
  4876.             "virus signature strings" unprotected in memory.
  4877.             Running VirusScan may "detect" them falsely as a
  4878.             virus.
  4879.             
  4880.             TSR CONFLICTS
  4881.             
  4882.             Some "terminate-and-stay-resident" (TSR)
  4883.             software may conflict with VirusScan programs,
  4884.             especially VShield (which is itself a TSR). To
  4885.             check whether this is the problem, "comment out"
  4886.             the other TSR files in your AUTOEXEC.BAT file
  4887.             and restart your system. If the errors
  4888.             disappear, the TSR conflict caused them.
  4889.             
  4890.  
  4891.  
  4892.  
  4893.  
  4894.  
  4895.            Using VirusScan (Version 2.10)                           88
  4896.  
  4897.             SLOW DISK ACCESS, PROGRAM LOCKS
  4898.             
  4899.             Running VShield will slow your system slightly
  4900.             as described in Chapter 4, especially if you use
  4901.             either the /ANYACCESS or /SWAP options. If you
  4902.             experience very slow disk access, or if programs
  4903.             lock or freeze while using Windows 3.1, you may
  4904.             be using a disk cache program that interferes
  4905.             with program operation, or you may need to
  4906.             increase the number of BUFFERS in your
  4907.             CONFIG.SYS file.
  4908.             
  4909.  
  4910.  
  4911.  
  4912.  
  4913.  
  4914.  
  4915.  
  4916.  
  4917.  
  4918.  
  4919.  
  4920.  
  4921.  
  4922.  
  4923.  
  4924.  
  4925.  
  4926.  
  4927.  
  4928.  
  4929.  
  4930.  
  4931.  
  4932.  
  4933.  
  4934.  
  4935.  
  4936.  
  4937.  
  4938.  
  4939.  
  4940.  
  4941.  
  4942.  
  4943.  
  4944.  
  4945.  
  4946.  
  4947.  
  4948.  
  4949.  
  4950.            Using VirusScan (Version 2.10)                           89            
  4951.             
  4952.             TROUBLESHOOTING SCAN
  4953.             
  4954.             FALSE ALARMS
  4955.             
  4956.             Scan may incorrectly report viruses in the boot
  4957.             sector or master boot record (MBR) of certain
  4958.             copy-protected diskettes. Contact technical
  4959.             support if you're unsure (see "Technical
  4960.             support" in Chapter 1).
  4961.             
  4962.             TROUBLESHOOTING VSHIELD
  4963.             
  4964.             PROGRAM LOCKS WITH /SWAP
  4965.             
  4966.             When VShield is running with the /SWAP option,
  4967.             certain programs may lock up the computer. These
  4968.             programs may use memory without allocating it
  4969.             first, including older versions Lotus 1-2-3,
  4970.             pfs:Write and Professional Write, OfficeWrite,
  4971.             and DisplayWrite4. To correct, restart your
  4972.             computer and run VShield without the /SWAP
  4973.             option.
  4974.             
  4975.             UNABLE TO REMOVE VSHIELD
  4976.             
  4977.             If the /REMOVE option doesn't successfully
  4978.             remove VShield from memory, you have probably
  4979.             loaded other terminate-and-stay-resident (TSR)
  4980.             programs after VShield. VShield can't be removed
  4981.             until the other TSRs are removed. If you need to
  4982.             unload VShield often, load it last.
  4983.             
  4984.  
  4985.  
  4986.  
  4987.  
  4988.  
  4989.  
  4990.  
  4991.  
  4992.  
  4993.  
  4994.  
  4995.  
  4996.  
  4997.  
  4998.  
  4999.  
  5000.  
  5001.  
  5002.  
  5003.  
  5004.  
  5005.            Using VirusScan (Version 2.10)                           90            
  5006.             
  5007.             APPENDIX A:  
  5008.             RETRIEVING MCAFEE PROGRAMS WITH COMMUNICATIONS SOFTWARE
  5009.             
  5010.             You can use your communications software to dial
  5011.             up the McAfee bulletin board system (BBS) and
  5012.             retrieve (download) McAfee software by following
  5013.             these steps.
  5014.             
  5015.             DIAL UP
  5016.             
  5017.             o The McAfee BBS phone number is (408) 988-4004.
  5018.  
  5019.             o The BBS operates at up to 14,400 bps (baud).
  5020.               Set your communications parameters to 8 data
  5021.               bits, 1 stop bit, no parity, and your
  5022.               terminal emulation to ANSI or TTY.
  5023.  
  5024.             o The BBS is Bell- and ITU- (formerly CCITT)
  5025.               compatible.
  5026.  
  5027.             LOG ON
  5028.             
  5029.             After receiving the CONNECT message from your
  5030.             modem, enter your name, geographic location, and
  5031.             password.
  5032.             
  5033.             To retrieve VirusScan programs, type
  5034.             
  5035.             guest   (for first name)
  5036.             user    (for last name)
  5037.             
  5038.             Or, if you want personal answers or feedback,
  5039.             create your own account by entering your first
  5040.             and last name and a password. Passwords should
  5041.             be 3-8 characters long and are case-sensitive.
  5042.             
  5043.             THE MAIN MENU
  5044.             
  5045.             Here are some of the important functions on the
  5046.             main menu:
  5047.             
  5048.             F  File transfer area (download McAfee updates)
  5049.             
  5050.             M  Message area (read and write messages in all
  5051.                sections and e-mail)
  5052.             
  5053.             G  Goodbye (hang up and leave the BBS)
  5054.             
  5055.  
  5056.  
  5057.  
  5058.  
  5059.  
  5060.            Using VirusScan (Version 2.10)                           91            
  5061.             
  5062.             DOWNLOADING MCAFEE PROGRAMS
  5063.  
  5064.             1. Select F from the Main Menu to go to the File
  5065.                transfer area. This is the area from which
  5066.                you can download McAfee programs.
  5067.  
  5068.             2. Select 1 for the McAfee Antivirus Files. A
  5069.                sorted directory listing of files available
  5070.                for download will be displayed.
  5071.  
  5072.             3. Type D for download, then type in the filename
  5073.                as found in the directory.
  5074.  
  5075.             4. The BBS will prompt you to select a protocol.
  5076.                If possible, use an error-correcting protocol
  5077.                such as ZMODEM, YMODEM or XMODEM.
  5078.  
  5079.             5. You'll see the message Awaiting start signal.
  5080.                Tell your software to receive files. With
  5081.                PROCOMM for DOS or TELIX, press the [Page
  5082.                Down] key, with BITCOM, press the [F2] key.
  5083.                For other communications programs, check your
  5084.                manual.
  5085.  
  5086.             6. Your software will prompt you to select a
  5087.                protocol and file name to receive the file.
  5088.                Select the same protocol and name.
  5089.  
  5090.  
  5091.  
  5092.  
  5093.  
  5094.  
  5095.  
  5096.  
  5097.  
  5098.  
  5099.  
  5100.  
  5101.  
  5102.  
  5103.  
  5104.  
  5105.  
  5106.  
  5107.  
  5108.  
  5109.  
  5110.  
  5111.  
  5112.  
  5113.  
  5114.  
  5115.            Using VirusScan (Version 2.10)                           92            
  5116.             
  5117.             APPENDIX B:
  5118.             OPTIONS COMPARISON BETWEEN VIRUSSCAN VERSIONS 1.5 AND 2.10
  5119.             
  5120.             COMPARISON OF SCAN VERSIONS 1.5 and 2.10
  5121.  
  5122.                Scan        │ Scan         │
  5123.                Version 1.5 │ Version 2.10 │ Option Description
  5124.             ═══════════════╪══════════════╪══════════════════════════             
  5125.               /? /H or     │ /? or /HELP  │ Display help screen.
  5126.               /HELP        │              │
  5127.             ───────────────┼──────────────┼──────────────────────────
  5128.               /A           │ /ALL         │ Scan all files,
  5129.                            │              │ including data files.
  5130.             ───────────────┼──────────────┼──────────────────────────
  5131.               /AD{x}       │ /AD{x}       │ Scan all drives
  5132.                            │              │ {L=Local, N=Network}.
  5133.                            │              │ Leave blank for both
  5134.                            │              │ (version 1.5 only).
  5135.             ───────────────┼──────────────┼──────────────────────────
  5136.               /AF          │ /AF          │ Store
  5137.              {filename}    │ {filename}   │ validation/recovery
  5138.                            │              │ codes in filename.
  5139.             ───────────────┼──────────────┼──────────────────────────
  5140.               /AG          │              │ Add recovery/validation
  5141.               {filename}   │              │ data to files except
  5142.                            │              │ those listed in {filename}.
  5143.             ───────────────┼──────────────┼──────────────────────────
  5144.               /AV          │ /AV          │ Add validation/recovery
  5145.               {filename}   │              │ data to program files.
  5146.                            │              │ Exclude those listed in
  5147.                            │              │ {filename} (version 1.5
  5148.                            │              │ only); exclude those
  5149.                            │              │ listed in /EXCLUDE
  5150.                            │              │ option (version 2.10 only).
  5151.             ───────────────┼──────────────┼──────────────────────────
  5152.               /BELL        │ default      │ Beep whenever a virus
  5153.                            │              │ is found.
  5154.             ───────────────┼──────────────┼──────────────────────────
  5155.               /BMP         │ default      │ Scan OS/2 Boot Manager
  5156.                            │              │ partition only.
  5157.             ───────────────┼──────────────┼──────────────────────────             
  5158.                            │ /BOOT        │ Scan master boot record
  5159.                            │              │ and boot sector only.
  5160.             ───────────────┼──────────────┼──────────────────────────
  5161.               /CERTIFY     │              │ List files not having a
  5162.                            │              │ validation code.
  5163.             ───────────────┼──────────────┼──────────────────────────                           
  5164.               /CF          │ /CF          │ Check
  5165.               {filename}   │ {filename}   │ validation/recovery
  5166.                            │              │ codes in filename.
  5167.             ───────────────┼──────────────┼──────────────────────────
  5168.             
  5169.             
  5170.            Using VirusScan (Version 2.10)                           93            
  5171.             
  5172.             VERSION COMPARISON OF SCAN OPTIONS (continued)
  5173.  
  5174.                Scan        │ Scan         │
  5175.                Version 1.5 │ Version 2.10 │ Option Description
  5176.             ═══════════════╪══════════════╪══════════════════════════             
  5177.               /CG          │              │ Check
  5178.                            │              │ recovery/validation
  5179.                            │              │ data in files.
  5180.             ───────────────┼──────────────┼──────────────────────────
  5181.               /CHKHI       │              │ Check memory from 0Kb
  5182.                            │              │ to 1,088Kb (not
  5183.                            │              │ applicable to OS/2).
  5184.             ───────────────┼──────────────┼──────────────────────────
  5185.               (CLEAN.EXE)  │ /CLEAN       │ Clean up infections in
  5186.                            │              │ master boot records,
  5187.                            │              │ boot sectors, and files
  5188.                            │              │ when possible.
  5189.             ───────────────┼──────────────┼──────────────────────────
  5190.               /CV          │ /CV          │ Check
  5191.                            │              │ validation/recovery
  5192.                            │              │ data in files.
  5193.             ───────────────┼──────────────┼──────────────────────────
  5194.               /D           │ /DEL         │ Overwrite and delete
  5195.                            │              │ infected files.
  5196.                            │              │ Save date and time
  5197.                            │              │ VirusScan was last run
  5198.                            │              │ in SCAN.LOG.
  5199.             ───────────────┼──────────────┼──────────────────────────
  5200.               /DATE        │ /LOG         │ Save date and time
  5201.                            │              │ VirusScan was last run.
  5202.                            │              │ Save in SCAN.LOG file
  5203.                            │              │ (version 2.10 only).
  5204.             ───────────────┼──────────────┼──────────────────────────             
  5205.                            │ /EXCLUDE     │ Exclude from scan any
  5206.                            │ {filename}   │ files listed in
  5207.                            │              │ filename. Typically
  5208.                            │              │ used in conjunction
  5209.                            │              │ with the /AV option.
  5210.             ───────────────┼──────────────┼──────────────────────────
  5211.               EXT          │              │ Scan using external
  5212.               {filename}   │              │ virus information from
  5213.                            │              │ filename.
  5214.             ───────────────┼──────────────┼──────────────────────────
  5215.               /FAST        │ /FAST        │ Speed up VirusScan's
  5216.                            │              │ scanning; may detect
  5217.                            │              │ fewer viruses.
  5218.             ───────────────┼──────────────┼──────────────────────────
  5219.               /HISTORY     │ /APPEND      │ Append Scan report to
  5220.               filename     │              │ filename (version 1.5).
  5221.                            │              │ Append to, rather than
  5222.                            │              │ overwrite, the report
  5223.                            │              │ file (/REPORT, version 2.10)
  5224.             
  5225.            Using VirusScan (Version 2.10)                           94            
  5226.             
  5227.             VERSION COMPARISON OF SCAN OPTIONS (continued)
  5228.  
  5229.                Scan        │ Scan         │
  5230.                Version 1.5 │ Version 2.10 │ Option Description
  5231.             ═══════════════╪══════════════╪══════════════════════════             
  5232.               /M           │              │ Scan memory for all
  5233.                            │              │ viruses (not applicable
  5234.                            │              │ to OS/2).
  5235.             ───────────────┼──────────────┼──────────────────────────
  5236.               /MANY        │ /MANY        │ Scan multiple floppy
  5237.                            │              │ disks (diskettes).
  5238.             ───────────────┼──────────────┼──────────────────────────             
  5239.                            │ /MOVE        │ Move infected files to
  5240.                            │ {directory}  │ directory.
  5241.             ───────────────┼──────────────┼──────────────────────────
  5242.               /NLZ         │ /NOCOMP      │ Skip internal scan of
  5243.                            │              │ LZEXE compressed files.
  5244.             ───────────────┼──────────────┼──────────────────────────                           
  5245.               /NOBREAK     │ /NOBREAK     │ Disable Ctrl-C and
  5246.                            │              │ Ctrl-Break during scan.
  5247.             ───────────────┼──────────────┼──────────────────────────
  5248.               /NOEXPIRE    │              │ Do not display
  5249.                            │              │ expiration notice.
  5250.             ───────────────┼──────────────┼──────────────────────────
  5251.               /NOMEM       │ /NOMEM       │ Skip memory checking
  5252.                            │              │ (not applicable to OS/2).
  5253.             ───────────────┼──────────────┼──────────────────────────
  5254.               /NOPAUSE     │ /PAUSE       │ Disable screen pause
  5255.                            │              │ (version 1.5 only).
  5256.                            │              │ Enable screen pause
  5257.                            │              │ (version 2.10 only).
  5258.             ───────────────┼──────────────┼──────────────────────────
  5259.               /NPKL        │ /NOCOMP      │ Skip internal scan of
  5260.                            │              │ PKLITE compressed files.
  5261.             ───────────────┼──────────────┼──────────────────────────             
  5262.                            │ /PLAD        │ Preserve Last-Access
  5263.                            │              │ date of scanned files
  5264.                            │              │ on Novell drives.
  5265.             ───────────────┼──────────────┼──────────────────────────
  5266.               /REPORT      │ /REPORT      │ Create report of
  5267.               {filename}   │ {filename}   │ infected files found
  5268.                            │              │ during scan in filename.
  5269.             ───────────────┼──────────────┼──────────────────────────
  5270.               /RF          │ /RF          │ Remove
  5271.               {filename}   │ {filename}   │ validation/recovery
  5272.                            │              │ codes in filename.
  5273.             ───────────────┼──────────────┼──────────────────────────
  5274.               /RG          │ /RG          │ Remove
  5275.                            │              │ recovery/validation
  5276.                            │              │ data from files.
  5277.  
  5278.  
  5279.  
  5280.            Using VirusScan (Version 2.10)                            95
  5281.              
  5282.             VERSION COMPARISON OF SCAN OPTIONS (continued)
  5283.  
  5284.                Scan        │ Scan         │
  5285.                Version 1.5 │ Version 2.10 │ Option Description
  5286.             ═══════════════╪══════════════╪══════════════════════════             
  5287.                            │ /RPTCOR      │ Add list of corrupted
  5288.                            │              │ files to the report
  5289.                            │              │ file (/REPORT).
  5290.             ───────────────┼──────────────┼──────────────────────────             
  5291.                            │ /RPTERR      │ Add list of system
  5292.                            │              │ errors to the report
  5293.                            │              │ file (/REPORT).
  5294.             ───────────────┼──────────────┼──────────────────────────             
  5295.                            │ /RPTMOD      │ Add list of modified
  5296.                            │              │ files to the report
  5297.                            │              │ file (/REPORT).
  5298.             ───────────────┼──────────────┼──────────────────────────
  5299.               /RV          │ /RV          │ Remove
  5300.                            │              │ validation/recovery
  5301.                            │              │ data from files.
  5302.             ───────────────┼──────────────┼──────────────────────────
  5303.               /SAVE        │ /SAVE        │ Save specified options
  5304.                            │              │ as new defaults (not
  5305.                            │              │ available in Windows).
  5306.             ───────────────┼──────────────┼──────────────────────────
  5307.               /SHOWDATE    │ /SHOWLOG     │ Show date and time of
  5308.                            │              │ last scan (version 1.5
  5309.                            │              │ only). Display
  5310.                            │              │ information in SCAN.LOG
  5311.                            │              │ (version 2.10 only)
  5312.             ───────────────┼──────────────┼──────────────────────────
  5313.               /SUB         │ /SUB         │ Scan subdirectories
  5314.                            │              │ inside a directory.
  5315.             ───────────────┼──────────────┼──────────────────────────                           
  5316.                            │ /VIRLIST     │ Display list of viruses
  5317.                            │              │  detected by VirusScan.
  5318.             ───────────────┼──────────────┼──────────────────────────
  5319.                @filename   │  /LOAD       │  Use Scan settings
  5320.                            │  {filename}  │  stored in filename.
  5321.                            │              │
  5322.            
  5323.         
  5324.  
  5325.  
  5326.  
  5327.  
  5328.  
  5329.  
  5330.  
  5331.  
  5332.  
  5333.  
  5334.  
  5335.            Using VirusScan (Version 2.10)                           96
  5336.             
  5337.             COMPARISON OF VSHIELD VERSIONS 1.5 and 2.10
  5338.  
  5339.                VShield     │ VShield      │
  5340.                Version 1.5 │ Version 2.10 │ Option Description
  5341.             ═══════════════╪══════════════╪══════════════════════════             
  5342.                /? or /HELP │ /? or /HELP  │ Display a list of valid
  5343.                            │              │ VShield command line
  5344.                            │              │ options.
  5345.             ───────────────┼──────────────┼──────────────────────────
  5346.                /ACCESS     │              │ Check for viruses when
  5347.                            │              │ files are opened and
  5348.                            │              │ diskettes are accessed.
  5349.             ───────────────┼──────────────┼──────────────────────────             
  5350.                            │ /ANYACCESS   │ Scan the diskette boot
  5351.                            │              │ sector for viruses
  5352.                            │              │ whenever a diskette is
  5353.                            │              │ accessed (including any
  5354.                            │              │ read and write
  5355.                            │              │ operations); scan .EXE,
  5356.                            │              │ .COM, .DLL, .OVL, .BIN,
  5357.                            │              │ and .SYS files whenever
  5358.                            │              │ the file is opened,
  5359.                            │              │ read, or updated; scan
  5360.                            │              │ .EXE and .COM files
  5361.                            │              │ upon execution; scan
  5362.                            │              │ any newly created file,
  5363.                            │              │ regardless of extension.
  5364.             ───────────────┼──────────────┼──────────────────────────
  5365.               /BOOT        │ /BOOTACCESS  │ Scan the diskette boot
  5366.                            │              │ sector for viruses
  5367.                            │              │ whenever a diskette is
  5368.                            │              │ accessed (including any
  5369.                            │              │ read and write
  5370.                            │              │ operations); individual
  5371.                            │              │ files on a diskette are
  5372.                            │              │ not scanned when a
  5373.                            │              │ diskette is accessed.
  5374.             ───────────────┼──────────────┼──────────────────────────
  5375.               /CERTIFY     │ /CERTIFY     │ Prevent files without
  5376.               {filename}   │              │ validation codes from
  5377.                            │              │ running. {filename} is
  5378.                            │              │ an optional exception
  5379.                            │              │ list (version 1.5 only)
  5380.             ───────────────┼──────────────┼──────────────────────────
  5381.               /CF          │ /CF          │ Check for viruses using
  5382.               {filename}   │ {filename}   │ validation and recovery
  5383.                            │              │ data stored by Scan /AF
  5384.                            │              │ in the specified filename.
  5385.             ───────────────┼──────────────┼──────────────────────────
  5386.               /CG          │              │ Check for viruses using
  5387.               {filename}   │              │ validation and recovery
  5388.                            │              │ data stored by Scan /AG
  5389.                            │              │ 
  5390.            Using VirusScan (Version 2.10)                           97 
  5391.  
  5392.             VERSION COMPARISON OF VSHIELD OPTIONS (continued)
  5393.  
  5394.                VShield     │ VShield      │
  5395.                Version 1.5 │ Version 2.10 │ Option Description
  5396.             ═══════════════╪══════════════╪══════════════════════════             
  5397.               /CHKHI       │ default      │ Check memory from 0Kb-
  5398.                            │              │ 1088Kb when VShield loads.
  5399.             ───────────────┼──────────────┼──────────────────────────
  5400.               /CONTACT     │ /CONTACT     │ Display specified
  5401.               {message}    │ {message}    │ message when a virus is
  5402.                            │              │ found.
  5403.             ───────────────┼──────────────┼──────────────────────────                                         found.
  5404.                            │ /CONTACTFILE │ Display message stored
  5405.                            │ {filename}   │ in filename when a
  5406.                            │              │ virus is found.
  5407.             ───────────────┼──────────────┼──────────────────────────
  5408.               /CV          │ /CV          │ Check validation codes
  5409.                            │              │ added to files by Scan.
  5410.             ───────────────┼──────────────┼──────────────────────────             
  5411.                            │ /EXCLUDE     │ Don't check files
  5412.                            │ {filename}   │ listed in filename for
  5413.                            │              │ validation codes (/CF
  5414.                            │              │ and /CV options).
  5415.             ───────────────┼──────────────┼──────────────────────────
  5416.               /F           │              │ Use with /SWAP for DOS
  5417.              {pathname}    │              │ 2.0 systems ONLY.
  5418.             ───────────────┼──────────────┼──────────────────────────             
  5419.                            │ /FILEACCESS  │ Scan .EXE, .COM, .DLL,
  5420.                            │              │ .OVL, .BIN, and .SYS
  5421.                            │              │ files whenever the file
  5422.                            │              │ is opened, read, or
  5423.                            │              │ updated; scan .EXE and
  5424.                            │              │ .COM files upon
  5425.                            │              │ execution; the diskette
  5426.                            │              │ boot sector is not
  5427.                            │              │ checked when a diskette
  5428.                            │              │ is accessed.
  5429.             ───────────────┼──────────────┼──────────────────────────
  5430.              /IGNORE       │ /IGNORE      │ Don't check programs
  5431.              {drive(s)}    │ {drive(s)}   │ loaded from the
  5432.                            │              │ specified drive(s).
  5433.             ───────────────┼──────────────┼──────────────────────────
  5434.              /LH           │              │ Load VShield into upper
  5435.                            │              │ memory area.
  5436.             ───────────────┼──────────────┼──────────────────────────
  5437.              /LOCK         │ /LOCK        │ Halt the system when a
  5438.                            │              │ file that is infected
  5439.                            │              │ or not certified loads
  5440.                            │              │ and attempts to execute.
  5441.  
  5442.             
  5443.  
  5444.  
  5445.            Using VirusScan (Version 2.10)                           98
  5446.             
  5447.             VERSION COMPARISON OF VSHIELD OPTIONS (continued)
  5448.  
  5449.                VShield     │ VShield      │
  5450.                Version 1.5 │ Version 2.10 │ Option Description
  5451.             ═══════════════╪══════════════╪══════════════════════════             
  5452.              /M            │              │ Scan base memory for
  5453.                            │              │ viruses when VShield loads.
  5454.             ───────────────┼──────────────┼──────────────────────────
  5455.              /NB           │ /NOWARMBOOT  │ Disable boot sector
  5456.                            │              │ check during install
  5457.                            │              │ and reboot.
  5458.             ───────────────┼──────────────┼──────────────────────────
  5459.              /NI6510       │              │ Fixes Racal Datacomm
  5460.                            │              │ NI6510 conflict.
  5461.             ───────────────┼──────────────┼──────────────────────────
  5462.              /NOBREAK      │              │ Prevent [Ctrl]+[C] /
  5463.                            │              │ [Ctrl]+[Break] from
  5464.                            │              │ working during install.
  5465.             ───────────────┼──────────────┼──────────────────────────
  5466.              /NOCONT       │              │ Prevent non-certified
  5467.                            │              │ programs from running.
  5468.             ───────────────┼──────────────┼──────────────────────────
  5469.              /NODISK       │              │ Turn off the boot
  5470.                            │              │ sector check when
  5471.                            │              │ VShield is loading.
  5472.             ───────────────┼──────────────┼──────────────────────────
  5473.              /NOEMS        │ /NOEMS       │ Prevent VShield from
  5474.                            │              │ using expanded memory
  5475.                            │              │ (EMS) when it loads.
  5476.             ───────────────┼──────────────┼──────────────────────────
  5477.              /NOFLOPPY     │              │ Turn off the boot sector
  5478.                            │              │ check for floppy drives.
  5479.             ───────────────┼──────────────┼──────────────────────────
  5480.              /NOMEM        │ /NOMEM       │ Do not check memory for
  5481.                            │              │ viruses upon running.
  5482.             ───────────────┼──────────────┼──────────────────────────
  5483.              /NOREMOVE     │ /NOREMOVE    │ Prevent VShield from
  5484.                            │              │ being removed from
  5485.                            │              │ memory with the /REMOVE
  5486.                            │              │ switch.
  5487.             ───────────────┼──────────────┼──────────────────────────             
  5488.                            │ /NOUMB       │ Prevent VShield from
  5489.                            │              │ using upper memory
  5490.                            │              │ blocks (UMB) when it
  5491.                            │              │ loads.
  5492.             ───────────────┼──────────────┼──────────────────────────             
  5493.                            │ /NOXMS       │ Prevent VShield from
  5494.                            │              │ using extended memory
  5495.                            │              │ (XMS) when it loads.
  5496.             
  5497.             
  5498.             
  5499.             
  5500.            Using VirusScan (Version 2.10)                           99            
  5501.  
  5502.             VERSION COMPARISON OF VSHIELD OPTIONS (continued)
  5503.  
  5504.                VShield     │ VShield      │
  5505.                Version 1.5 │ Version 2.10 │ Option Description
  5506.             ═══════════════╪══════════════╪══════════════════════════             
  5507.                /ONLY       │ /ONLY        │ Check programs loaded
  5508.               {drive(s)}   │ {drive(s)}   │ only from the specified
  5509.                            │              │ drive(s).
  5510.             ───────────────┼──────────────┼──────────────────────────              
  5511.                            │ /POLY        │ Check for polymorphic
  5512.                            │              │ viruses.
  5513.             ───────────────┼──────────────┼──────────────────────────              
  5514.               /RECONNECT   │ /RECONNECT   │ Restore VShield after
  5515.                            │              │ certain drivers or TSRs
  5516.                            │              │ have disabled it.
  5517.             ───────────────┼──────────────┼──────────────────────────
  5518.               /REMOVE      │ /REMOVE      │ Unload VShield from
  5519.                            │              │ memory.
  5520.             ───────────────┼──────────────┼──────────────────────────
  5521.               /SAVE        │ /SAVE        │ Save specified options
  5522.                            │              │ as new defaults
  5523.                            │              │ (version 1.5 only).
  5524.                            │              │ Save the command line
  5525.                            │              │ options to the VSHIELD.INI
  5526.                            │              │ file (version 2.10 only).
  5527.             ───────────────┼──────────────┼──────────────────────────
  5528.               /SWAP        │ /SWAP        │ Load VShield kernel
  5529.               [pathname]   │ [pathname]   │ only (5Kb in version
  5530.                            │              │ 1.5; 7Kb in version
  5531.                            │              │ 2.10); swap the rest
  5532.                            │              │ from pathname.
  5533.                             
  5534.  
  5535.  
  5536.  
  5537.  
  5538.  
  5539.  
  5540.  
  5541.  
  5542.  
  5543.  
  5544.  
  5545.  
  5546.  
  5547.  
  5548.  
  5549.  
  5550.  
  5551.  
  5552.  
  5553.  
  5554.  
  5555.            Using VirusScan (Version 2.10)                           100
  5556.              
  5557.             VERSION COMPARISON OF VSHIELD1/VSHIELDCRC OPTIONS
  5558.  
  5559.                VShield1    │ VShieldCRC   │
  5560.                Version 1.5 │ Version 2.10 │ Option Description
  5561.             ═══════════════╪══════════════╪══════════════════════════             
  5562.                            │ /? or /HELP  │ Display a list of valid
  5563.                            │              │ VShieldCRC command line
  5564.                            │              │ options.
  5565.             ───────────────┼──────────────┼──────────────────────────             
  5566.                            │ /CERTIFY     │ Prevent files without
  5567.                            │              │ validation codes from
  5568.                            │              │ running.
  5569.             ───────────────┼──────────────┼──────────────────────────             
  5570.                            │ /CF          │ Check for viruses using
  5571.                            │ {filename}   │ validation and recovery
  5572.                            │              │ data stored by Scan /AF
  5573.                            │              │ in the specified filename.
  5574.             ───────────────┼──────────────┼──────────────────────────                           
  5575.                            │ /CONTACT     │ Display specified message
  5576.                            │ {message}    │ when a virus is found.
  5577.             ───────────────┼──────────────┼──────────────────────────            
  5578.                            │ /CONTACTFILE │ Display message stored
  5579.                            │ {filename}   │ in specified filename
  5580.                            │              │ when a virus is found.
  5581.             ───────────────┼──────────────┼──────────────────────────             
  5582.                            │ /CV          │ Check validation codes
  5583.                            │              │ added to files by Scan.
  5584.             ───────────────┼──────────────┼──────────────────────────             
  5585.                            │ /EXCLUDE     │ Don't check files
  5586.                            │ {filename}   │ listed in filename for
  5587.                            │              │ validation codes (used
  5588.                            │              │ with /CF and /CV options).
  5589.             ───────────────┼──────────────┼──────────────────────────             
  5590.                            │ /FILEACCESS  │ Checks validated files
  5591.                            │              │ whenever the file is
  5592.                            │              │ accessed or executed.
  5593.                            │              │ Whenever a validated
  5594.                            │              │ .EXE, .COM, .DLL, .OVL,
  5595.                            │              │ .BIN, or .SYS file is
  5596.                            │              │ opened, read, or
  5597.                            │              │ updated, Scan checks
  5598.                            │              │ the accessed file.
  5599.                            │              │ Whenever a validated
  5600.                            │              │ .EXE or .COM file
  5601.                            │              │ executes, Scan checks
  5602.                            │              │ the file for viruses as
  5603.                            │              │ it loads and prevents
  5604.                            │              │ execution if the file
  5605.                            │              │ is infected.
  5606.  
  5607.  
  5608.  
  5609.  
  5610.            Using VirusScan (Version 2.10)                           101
  5611.              
  5612.             VERSION COMPARISON OF VSHIELD1/VSHIELDCRC OPTIONS (continued)
  5613.  
  5614.                VShield1    │ VShieldCRC   │
  5615.                Version 1.5 │ Version 2.10 │ Option Description
  5616.             ═══════════════╪══════════════╪══════════════════════════             
  5617.                            │ /IGNORE      │ Don't check programs
  5618.                            │ {drive(s)}   │ loaded from specified
  5619.                            │              │ drive(s).
  5620.             ───────────────┼──────────────┼──────────────────────────             
  5621.                            │ /LOCK        │ Halt the system when a
  5622.                            │              │ file that is not
  5623.                            │              │ certified attempts to
  5624.                            │              │ load and execute.
  5625.             ───────────────┼──────────────┼──────────────────────────                 
  5626.                            │ /LOGFILE     │ Write error information
  5627.                            │ {filename}   │ to filename.
  5628.             ───────────────┼──────────────┼──────────────────────────
  5629.                  /NB       │              │ Disable boot sector
  5630.                            │              │ checking during install
  5631.                            │              │ and reboot.
  5632.             ───────────────┼──────────────┼──────────────────────────                                            and reboot.
  5633.                            │ /NOREMOVE    │ Prevent VShieldCRC from
  5634.                            │              │ being removed from memory 
  5635.                            │              │ with a subsequent VShieldCRC
  5636.                            │              │ command using /REMOVE.
  5637.             ───────────────┼──────────────┼──────────────────────────             
  5638.                            │ /NOUMB       │ Prevent VShieldCRC from
  5639.                            │              │ using upper memory
  5640.                            │              │ blocks (UMB) when it loads.
  5641.             ───────────────┼──────────────┼──────────────────────────             
  5642.                            │ /ONLY        │ Check programs loaded
  5643.                            │ {drive(s)}   │ only from the specified
  5644.                            │              │ drive(s).
  5645.             ───────────────┼──────────────┼──────────────────────────
  5646.                  /REMOVE   │ /REMOVE      │ Unload VShieldCRC from
  5647.                            │              │ memory.
  5648.                                           
  5649.  
  5650.  
  5651.  
  5652.  
  5653.  
  5654.  
  5655.  
  5656.  
  5657.  
  5658.  
  5659.  
  5660.  
  5661.  
  5662.  
  5663.  
  5664.  
  5665.            Using VirusScan (Version 2.10)                           102            
  5666.             VIRUSCAN GLOSSARY
  5667.             
  5668.             ARCHIVED FILE  A file that has been archived
  5669.             using either LZEXE or PKLITE, file compression
  5670.             utilities.
  5671.             
  5672.             BOOT  To start a computer. The first step is to
  5673.             load startup instructions from the boot ROM or
  5674.             boot sector of a disk.
  5675.             
  5676.             BIOS  A read-only memory chip that contains the
  5677.             coded instructions for the operating system to
  5678.             start the computer. Always present in portable
  5679.             computers, a BIOS (boot ROM) is not susceptible
  5680.             to infection (unlike the boot sector on a disk).
  5681.             However, it is harder to update.
  5682.             
  5683.             BOOT SECTOR  A portion of a disk that contains
  5684.             the coded instructions for the operating system
  5685.             to start the computer.
  5686.             
  5687.             BOOT SECTOR INFECTIONS  Contamination of the
  5688.             boot sector by a virus. Particularly serious
  5689.             because information in the boot sector is loaded
  5690.             into memory first, before virus protection code
  5691.             can be executed. The only certain way to
  5692.             eliminate boot sector infections is to restart
  5693.             from a disk known to be uninfected, then clean
  5694.             up the infection.
  5695.             
  5696.             CLEAN STARTUP DISKETTE  A diskette known to be
  5697.             uninfected, that contains the coded instructions
  5698.             from which the computer can be started. See
  5699.             Chapter 2 for instructions on preparing one.
  5700.             
  5701.             COLD BOOT  To start a computer from power-off
  5702.             state.
  5703.             
  5704.             COMPRESSED FILE  A file (usually with a .ZIP
  5705.             extension) that has been compressed using the
  5706.             PKZIP file compression utility.
  5707.             
  5708.             CONVENTIONAL MEMORY  Up to 640Kb of main memory
  5709.             in which DOS executes programs.
  5710.             
  5711.             CORRUPTED FILE  A file that has been damaged.
  5712.             About 10% to 20% of viral infections involve
  5713.             viruses that damage files beyond repair.
  5714.             
  5715.             DETECTION  Scanning memory and disks for
  5716.             telltale marks or changes indicating that a
  5717.             virus might be present.
  5718.             
  5719.  
  5720.            Using VirusScan (Version 2.10)                           103
  5721.             
  5722.             DISINFECT  To eradicate a virus so that it can
  5723.             no longer spread or cause damage to a system.
  5724.             
  5725.             EXCEPTION LIST  List of files to which
  5726.             validation codes should not be added because
  5727.             they are immunized against viruses or contain
  5728.             self-modifying code. Scans /AV option uses the
  5729.             list to avoid adding codes to inappropriate
  5730.             files; VShield's /CERTIFY option can use it to
  5731.             allow certain unvalidated files to be run.
  5732.             
  5733.             EXECUTABLE (FILE)  A file containing coded
  5734.             instructions to be executed by the computer.
  5735.             Executable files include programs and overlays.
  5736.             
  5737.             EXPANDED MEMORY  Memory above the DOS 640Kb
  5738.             limit of conventional memory that is accessed by
  5739.             memory paging. You need special software,
  5740.             conforming to an expanded memory specification,
  5741.             to take advantage of expanded memory.
  5742.             
  5743.             EXTENDED MEMORY  Linear memory above the DOS
  5744.             640Kb limit of conventional memory. Often used
  5745.             for RAM disks and print spoolers.
  5746.             
  5747.             FALSE ALARM  Detecting a virus when none is
  5748.             present.
  5749.             
  5750.             INFECTED FILE  A file contaminated by a virus.
  5751.             
  5752.             MASTER BOOT RECORD (MBR)  A portion of a hard
  5753.             disk that contains a partition table that
  5754.             divides the drive into chunks, some of which may
  5755.             be assigned to operating systems other than DOS.
  5756.             
  5757.             MEMORY  A storage medium where data or program
  5758.             code are kept temporarily while being used by
  5759.             the computer. DOS supports up to 640Kb of
  5760.             conventional memory. Beyond that limit may be
  5761.             accessed as expanded memory, extended memory, or
  5762.             an upper memory block (UMB).
  5763.             
  5764.             MEMORY INFECTION  Contamination of memory by a
  5765.             virus. The only certain way to eliminate memory
  5766.             infections is to restart from a disk known to be
  5767.             uninfected, then clean up the source of
  5768.             infection.
  5769.             
  5770.             MODIFIED FILE  A file that has changed after
  5771.             validation/recovery codes have been added.
  5772.             
  5773.             
  5774.  
  5775.            Using VirusScan (Version 2.10)                           104            
  5776.             
  5777.             OVERLAY INFECTION  Virus contamination of a file
  5778.             containing auxiliary program code that is loaded
  5779.             by the main program.
  5780.             
  5781.             PARTITION TABLE  See MASTER BOOT RECORD.
  5782.             
  5783.             POLYMORPHIC VIRUS  A virus that attempts to
  5784.             evade detection by changing its internal
  5785.             structure or its encryption techniques.
  5786.             
  5787.             PROGRAM  Software that performs a defined
  5788.             function on a computer. See executable.
  5789.             
  5790.             READ OPERATION  Any operation in which
  5791.             information is read from a disk. DOS commands
  5792.             that perform read operations include dir
  5793.             (directory listing), type (display contents of a
  5794.             file), and copy (copy files). See also write
  5795.             operation.
  5796.             
  5797.             RECOVERY CODES  Information that Scan records
  5798.             about an executable file in order to recover if
  5799.             it is infected by a virus. See also validation
  5800.             codes.
  5801.             
  5802.             SELF-MODIFYING PROGRAM  Software that
  5803.             deliberately changes its own program file, often
  5804.             to protect against viruses or illegal copying,
  5805.             and is therefore difficult to validate in
  5806.             conventional ways.
  5807.             
  5808.             STANDARD EXTENSIONS  Filename extensions
  5809.             (suffixes) that signify executable files--.EXE,
  5810.             .COM, .SYS, .DLL, .BIN, and .OVL--which Scan
  5811.             checks by default.
  5812.             
  5813.             SYSTEM ERRORS  Errors that can prevent Scan from
  5814.             completing its job successfully. System error
  5815.             conditions include disk format errors (such as
  5816.             unformatted disks), media errors (bad sectors),
  5817.             file system errors (unreadable files), network
  5818.             errors (unable to log in), file access errors
  5819.             (access permission denied), device access errors
  5820.             (printer out of paper), and report failures.
  5821.             
  5822.             TERMINATE-AND-STAY-RESIDENT (TSR)  A program,
  5823.             like VShield,  that remains active in memory
  5824.             while you run other programs.
  5825.             
  5826.             TURBO  A scanning option that is faster than
  5827.             normal but less comprehensive (because it checks
  5828.             a smaller portion of each file).
  5829.             
  5830.            Using VirusScan (Version 2.10)                           105            
  5831.  
  5832.             UNKNOWN VIRUS  A virus not yet identified and
  5833.             listed in SCAN.DAT. VirusScan can detect unknown
  5834.             viruses by observing changes in files that could
  5835.             result from infection.
  5836.             
  5837.             UPPER MEMORY BLOCK (UMB)  Memory in the range
  5838.             640-1024Kb, just above the DOS 640Kb limit of
  5839.             conventional memory.
  5840.             
  5841.             VALIDATE  To check that a file is authentic and
  5842.             has not been altered. Most validation methods
  5843.             rely on computing a statistic based on all the
  5844.             data in the file, which is unlikely to remain
  5845.             constant if the file itself is changed.
  5846.             
  5847.             VALIDATION CODES  Information that Scan records
  5848.             about an executable file in order to detect
  5849.             subsequent infection by a virus. See also
  5850.             recovery codes.
  5851.             
  5852.             VIRUS  A software program that attaches itself
  5853.             to another program in computer memory or on a
  5854.             disk, and spreads from one program to another.
  5855.             Viruses may damage data, cause the computer to
  5856.             crash, display messages, or lie dormant.
  5857.             
  5858.             WARM BOOT  To restart (reset) a running
  5859.             computer, in DOS by pressing [Ctrl]+[Alt]+[Del].
  5860.             
  5861.             WRITE OPERATION  Any operation in which
  5862.             information is recorded on a disk. Commands that
  5863.             perform write operations include those that
  5864.             save, move, and copy files. Most write
  5865.             operations are also read operations because the
  5866.             system verifies that the data have been written
  5867.             correctly. See also read operation.
  5868.             
  5869.             WRITE PROTECTION  A mechanism to protect files
  5870.             or disks from being changed. A 3.5" diskette may be 
  5871.             write-protected by sliding its corner tab so that 
  5872.             the square hole is open; a 5.25" diskette by covering 
  5873.             its corner notch with a write-protect tab. A file 
  5874.             may be write-protected by changing its system attributes.
  5875.             
  5876.             
  5877.             
  5878.