home *** CD-ROM | disk | FTP | other *** search
/ Shareware Overload / ShartewareOverload.cdr / virus / cleanp67.zip / CLEAN67.DOC < prev    next >
Text File  |  1990-10-05  |  15KB  |  317 lines

  1.             CLEAN-UP VIRUS REMOVER   Version 5.1 V67
  2.                             Copyright 1989, 1990 McAfee Associates
  3.  
  4.                                             4423 Cheeney Street
  5.                                             Santa Clara, CA 95054
  6.                                             408 988 3832 (voice)
  7.                                             408 988 4004 (BBS)
  8.  
  9.  
  10. Executable Program (CLEAN.EXE):
  11.     CLEAN contains a self test at load time.  If CLEAN has been
  12. modified in any way, a warning will be displayed.  The program will
  13. still continue to repair and clean infected programs, however.  In
  14. addition, versions 55 and above are packaged with a VALIDATE
  15. program that will authenticate the integrity of CLEAN.EXE.  Refer
  16. to the VALIDATE.DOC instructions for the use of the validation
  17. program.
  18.     The validation results for V67 should be:
  19.                 SIZE: 92,065
  20.                 DATE: 10-05-1990
  21.     FILE AUTHENTICATION:
  22.         Check Method 1 - 7F1A
  23.         Check Method 2 - 0D91
  24.  
  25.     You may also call the McAfee Associates bulletin board at 408
  26. 988 4004 to obtain on-line SCAN.EXE verification data.  The
  27. VALIDATE program distributed with CLEAN may be used to authenticate
  28. all future versions of CLEAN.  
  29.     
  30. Notes on Version 67:
  31.     Version 67 is able to remove and repair four new viruses: 
  32. Whale, Invader, Slow, and EDV.
  33.  
  34. OVERVIEW:
  35.  
  36.     CLEAN-UP kills and removes computer viruses, and in most
  37. instances it repairs infected files, re-constructs damaged programs
  38. and returns the system to normal operation.  CLEAN-UP works for all
  39. viruses identified by the current version of McAfee Associates'
  40. SCAN.
  41.     CLEAN-UP searches the entire system looking for the virus that
  42. you wish to remove.  When found, the infected file is identified,
  43. the virus is isolated and removed, and for the more common viruses,
  44. the infected file is repaired.  If the file is infected with a less
  45. common virus that cannot be separated from the file, the infected
  46. file is wiped from the disk and deleted from the system.  A warning
  47. message is displayed by CLEAN-UP before erasing any files, and you
  48. have the option of overriding the erase function.  
  49.     The common viruses that CLEAN-UP is able to remove
  50. successfully and repair and restore the damaged programs are:  
  51.  
  52. Jerusalem B     Alabama      Jerusalem A     Ping Pong  
  53. Jerusalem E     Stoned       Dark Avenger    Pakistani Brain 
  54. Suriv03         Payday       Alameda         1701
  55. 1704            Disk Killer  Ping Pong-B     Ashar
  56. Sunday          1260         4096            Yankee Doodle
  57. Vacsina         V800         Joshi           Fish
  58. Vienna          Zerobug      Whale           Invader
  59. Slow            EDV
  60.  
  61.     These viruses account for the overwhelming majority of
  62. infection occurrences.  All other known viruses will be identified
  63. and isolated by CLEAN-UP and the infected files' area of disk will
  64. be wiped clean and the files will be removed from the system. 
  65.  
  66.                 ******   I M P O R T A N T   ******
  67.  
  68.     *    Note: EXE viruses cannot be successfully removed
  69.           from all infected .EXE files in 100% of the cases.  A
  70.           few EXE programs will be damaged beyond repair by the
  71.           infection and they will have to be deleted.  In all
  72.           cases, however, the virus in the file will be killed and
  73.           rendered harmless by CLEAN-UP.  Additionally, removing
  74.           the Stoned virus can cause loss of the partition table 
  75.           in systems with non-standard disk controllers or systems
  76.           that use special purpose device drivers for disk access.
  77.           If you are removing the Stoned virus, as a precaution 
  78.           back-up all critical data before running Clean-up.  Loss
  79.           of the partition table will cause -- LOSS OF ALL DATA
  80.           ON THE DISK. 
  81.     
  82.  
  83.      ******* FOLLOW THE REMOVAL INSTRUCTIONS CLOSELY *******
  84.  
  85. * POWER DOWN AND RE-BOOT FROM A CLEAN DISKETTE BEFORE BEGINNING *
  86.  
  87. RUNNING CLEAN-UP:
  88.     Before running CLEAN-UP, verify the suspected virus infection
  89. by running VIRUSCAN (SCAN.EXE) Version 55 or greater.  SCAN will
  90. identify the virus strain and sub-strain and will display the I.D.
  91. to be used as input to the CLEAN-UP program.  CLEAN-UP uses this
  92. I.D. to determine which virus to seek out and remove.  The I.D. for
  93. each virus is displayed inside a set of brackets - [ ].  For
  94. example, the I.D. for the Disk Killer virus will be displayed by
  95. SCAN as [Killer].  This identical identifier must be used in the
  96. command line of CLEAN-UP in order to remove the Disk Killer
  97. virus.
  98.         
  99. ***  Important:  Before you begin the disinfection process, you
  100. MUST power down the infected computer and then re-boot the computer
  101. from a clean, write-protected system diskette.  This step is very
  102. important.  It will remove the virus from control in memory and
  103. prevent the virus from continuing to infect during the clean-up
  104. process.  After Re-booting from the clean diskette, run SCAN on the
  105. diskette to verify that it is indeed not infected.
  106.  
  107.     To run CLEAN-UP type:
  108.  
  109.     CLEAN    d1: d2: ... dn: [virusname] /a /many 
  110.  
  111.             where:
  112.  
  113.        dn: - Drive designators for drives to be cleaned.
  114.               (up to 10 drives may be cleaned with one command)
  115.  
  116. [virusname] - The virus I.D. (brackets must be included)
  117.  
  118.          /a - Option to check all files
  119.  
  120.       /many - Option to allow cleaning multiple floppies
  121.  
  122.  
  123.       Examples:
  124.  
  125.      CLEAN   C: D: [Jeru]       will clean Jerusalem from C and D
  126.                                 drives
  127.  
  128.      CLEAN   C:\TEMP [Dav] /a   Will clean Dark avenger from
  129.                                 C:\TEMP and will search all file
  130.                                 extensions for the virus
  131.  
  132.  
  133.     CLEAN-UP will display the name of each infected file as it is
  134. found.  When the virus has been removed from each file, a
  135. "successful" message will be displayed.  
  136.  
  137.  
  138.       NOTE:    If a file has been infected multiple times by a
  139.                virus, clean will display the name of the file and
  140.                the "successful" message for each infection
  141.                occurrence.  Thus, multiple lines will be displayed
  142.                for each file infected more than once.
  143.  
  144.  
  145.     After running CLEAN-UP, run SCAN again, this time with the /a
  146. option, to ensure that all remnants of the virus have been removed.
  147.     After cleaning the fixed disk drives, SCAN all floppies and
  148. if any infections are found, remove them with CLEAN-UP.
  149.  
  150.     The clean-up I.D.'s for each of the known viruses are listed
  151. in brackets below:
  152.  
  153. Oropax [Oro]                    Pakistani Brain [Brain]
  154. 4096 [4096]                     Chaos [Chaos]
  155. AIDS Trojan [AIDS]              Virus-90 [90]
  156. Amstrad [Amst]                  Devil's Dance [Dance]
  157. Holland Girl [Holland]          Datacrime II-B [Crime-2B]
  158. Do-Nothing virus [Nothing]      Sunday virus [Sunday]
  159. Lisbon virus [Lisb]             Typo COM virus [Typo]
  160. DBASE virus [Dbase]             Ghost / Ghostball Boot  
  161. Ghost COM Version [Ghost-C]     New Jerusalem [Jeru]
  162. Alabama [Alabama]               Yankee Doodle [Doodle]
  163. 2930 [2930]                     Ashar [Brain]
  164. AIDS / Taunt [Taunt]            Disk Killer / Ogre [Killer]
  165. 1536 / Zero Bug [Zero]          MIX1 [Mix1]
  166. Dark Avenger [Dav]              3551 / Syslock [Syslock]
  167. Vacsina [Vacs]                  Ohio 
  168. Typo                            Swap / Israeli Boot
  169. Datacrime II [Crime-2]          Icelandic-II / System [Ice-2] 
  170. Pentagon                        3066 / Traceback [3066]
  171. Datacrime-B [Crime-B]           Icelandic [Ice]
  172. Saratoga [Toga]                 405 [405]
  173. 1704 Format [170X]              Fu Manchu / 2086 [Fu]
  174. 1280 / Datacrime [Crime]        1701 / Cascade [170X]
  175. 1704 / Cascade-B [170X]         Stoned / Marijuana [Stoned]
  176. 1704 / Cascade [170X]           Ping Pong-B / Cascade Boot [Ping]
  177. Den Zuk                         Ping Pong / Bouncing Dot [Ping]
  178. Vienna-B [Vienna-B]             Lehigh [Lehigh]
  179. Vienna / DOS-62 [Vienna]        Jerusalem-B [Jeru]
  180. Yale / Alameda [Alameda]        Friday 13th COM virus [13]
  181. Jerusalem-A / 1813 [Jeru]       Suriv03 / Jerusalem-E [Jeru]
  182. Suriv02 [jeru-D]                Suriv01 [April]
  183. Taiwan [Taiwan]              Halloechen [Hal]
  184. Perfume [Fume]                  Joker [Joke]
  185. Icelandic-3 [Ice-3]             1260 [1260]
  186. Virus-101 [101]                 V2000 [2000]
  187. Saturday 14th [Sat14]           1720 [1720]
  188. 1210 [1210]                     Christmas Tree [XA1]
  189. 1392 [1392]                     Korea [Korea]
  190. 2000-B [Solano]                 Kennedy [Kennedy]
  191. Yankee-2 [Doodle2]              Eight Tunes [1971]
  192. June 16th [June16]              V800 [800]
  193. Murphy [Murphy]                 Shake [Shake]
  194. Fish-6 [Fish]                   Liberty [Liberty]
  195. Frere Jacques [frere]           Slow [Slow]
  196. W-13 [W13]                      JoJo [JoJo]
  197. Victor [Victor]                 5120 [5120]
  198. June 13 [J13]                   Form [Form]
  199. Print Screen [Prtscr]           Microbes [Micro]
  200. Joshi [Joshi]                   Vp [VP]
  201. RedX [RedX]                     1024 [1024]
  202. Sorry [Sorry]                   1381 [1381]
  203. Aramagedon [Arma]               Taiwan-3 [T-3]
  204. VHP [VHP]                       Stoned-II [S-2]
  205. 1008 [1008]                     Flash [Flash]
  206. Fellowship [Fellow]             Flip [Flip]
  207. Doom2 [Dm2]                     Wolfman [Wolf]
  208. Plastique [Plq]                 V2100 [2100]
  209. 1226 [1226]                     Ontario [Ont]
  210. P1 [P1]                         400 [400]
  211. AirCop [AirCop]                 1253 [1253]
  212. Mardi Bros. [Mardi]             TCC [TCC]
  213. 651 [651]                       Anthrax [Atx] 
  214. Casper [Casper]                 Burger [Burger]
  215. Leprosy-B [Lepb]                Christmas-J [C-J]
  216. Wisconsin [Wisc]                Sott's Valley [2133]
  217. Black Monday [BMON]             1605 [1605]
  218. Whale [Whale]                   Nomenclature [Nom]
  219.  
  220.  
  221. REGISTRATION:
  222.     CLEAN-UP is a required registration shareware product.  It may
  223. be use in a home environment for a registration fee of $35.  Please
  224. use the enclosed REGISTER.DOC file for registration information. 
  225. For corporate, organizational or agency use, however, a corporate
  226. site license is required.  For site license information please
  227. contact:
  228.  
  229.             McAfee Associates
  230.             4423 Cheeney Street
  231.             Santa Clara, CA 95054
  232.             408 988 3832 (voice)
  233.             408 988 4004 (BBS)
  234.             408 970 9727 (Fax)
  235.  
  236.  
  237.  
  238.                          Version Notes
  239.  
  240. Version 66:
  241.     Version 66 is able to remove and repair four new viruses: 
  242. Joshi, Vienna, Fish6, and Zerobug.  All of these viruses have been
  243. reported at multiple sites.  In addition, 27 new viruses have been
  244. included in the Clean-Up detection and eradication processing.  An
  245. outline of the new viruses in included in the enclosed file -
  246. VIRLIST.TXT.  For a complete description of the viruses, please
  247. refer to Patricia Hoffman's VSUM document.        
  248.  
  249. Version 64:
  250.     Version 64 of CLEAN repairs a number of small bugs in version
  251. 63, including the inability to catch the Fish-6 virus in memory and
  252. an infrequent false alarm with the Korea virus when running
  253. AppleTalk. A re-structuring of CLEAN's scanning technique was also
  254. required due to the appearance of another fully encrypted virus
  255. (V2P2).  This virus has no string that is common for all iterations
  256. of the virus, so that a virus-specific search technique was
  257. required.
  258.     In addition, 14 new viruses have surfaced from various parts
  259. of the world.  Of the 14 viruses, two appear to be fairly virulent.
  260. The Joshi virus, from India, is a boot sector and partition table
  261. infector which activates on the 5th of January.  When activated,
  262. it locks up the machine and displays the message "Type Happy
  263. Birthday Joshi".  The system stays locked until the user types the
  264. happy birthday message.  In addition the virus causes problems in
  265. writing to or reading from 1.2Mb diskettes.  The second virus is
  266. from Taiwan and has been named the Taiwan-3 virus.  It infects EXE
  267. and COM files, including COMMAND.COM.  It is memory resident and
  268. randomly appears to garble the File Allocation Table of the hard
  269. drive.  Both viruses have been reported at multiple sites.
  270.     The twelve additional viruses are outlined in the enclosed
  271. VIRLIST.TXT file.  For a detailed description of each, please refer
  272. to Patricia Hoffman's VSUM document.
  273.     The V800 virus has been added to the list of viruses that can
  274. be removed without deleting the infected programs.
  275.  
  276. Version 63:
  277.     Version 63 has been one of the most painful versions we have
  278. put together.  There have been 17 new viruses and virus sub-strains
  279. discovered in the 35 days since the release of version 62.  We have
  280. also added a major feature to allow SCAN and CLEAN-UP to check
  281. inside of programs compressed with LZEXE; we've added Yankee Doodle
  282. and Vacsina to the list of recoverable viruses in CleanUp; we've
  283. undertaken an accounting of the numerous sub-strains of each virus;
  284. we've repaired over a dozen loopholes that allowed certain
  285. sub-strains to slip through; and we've added a new program to the
  286. product line called VCOPY that replaces the DOS copy command and
  287. does automatic scanning during a copy function.  
  288.     In addition, we've been struggling with the issue of how to
  289. count viruses in a meaningful way that does not place us in a
  290. seemingly disadvantageous competitive position.  For example:
  291. Numerous anti-virus programs advertise the number of viruses that
  292. they are able to detect, and these numbers range from less than 50
  293. to over 100.  On analysis, these numbers included all of the known
  294. sub-strains of the viruses, and their virus count by our
  295. classification was always substantially less.  We group viruses by
  296. major type, where possible, to make it easier to manage, both from
  297. an identification and removal basis.  But on a sheer numbers
  298. comparison, SCAN appears in a weaker light.  After careful thought,
  299. we decided to stick with our classification scheme, but in the
  300. VIRLIST.TXT we will list the known variants detected in
  301. parentheses.  By the competition's counting scheme, we now identify
  302. 167 viruses.  By our count, we identify 97.   
  303.     The 17 new viruses and new sub-strains added for version 63
  304. have come from a variety of sources.  Vesselin Bontchev from
  305. Bulgaria submitted three new variants of the 512, one new variant
  306. of the W-13 virus and two entirely new viruses that have surfaced
  307. in Eastern Europe.  Dave Chess from IBM provided me with three new
  308. viruses collected through the various IBM contacts.  Patricia
  309. Hoffamn provided one new virus and two new variants submitted from
  310. users of the FidoNet network.  The Icelandic virus researcher
  311. Fridrik Skulason provided one new virus.  The remaining four were
  312. submitted directly by Homebase users.  The VIRLIST.TXT document
  313. describes the main operating characteristics of the new viruses. 
  314. To avoid duplication of effort, I am referring users to Patricia
  315. Hoffman's most current VSUM document for a detailed description of
  316. the new viruses.
  317.