CLEAN-UP Version 9.28 V116 Copyright (C) 1990 - 1994 by McAfee Associates. All rights reserved. Documentation by Aryeh Goretsky. šbersetzung durch Kirschbaum Software GmbH McAfee Associates, Inc. (408) 988-3832 Telefon 2710 Walsh Avenue, Suite 200 (408) 970-9727 Fax Santa Clara, CA 95051-0963 (408) 988-4004 BBS (25 Leitungen) U.S.A USR HST/v.32/v.42bis/MNP 1-5 CompuServe GO MCAFEE InterNet support@mcafee.COM America Online MCAFEE INHALTSVERZEICHNIS Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . 2 - Was CLEAN-UP leistet - Systemanforderungen Echtheit . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 - šberprfen des Originalzustands von CLEAN-UP Was ist neu? . . . . . . . . . . . . . . . . . . . . . . . . . 3 - Leistung und neu hinzugekommene Viren dieser Version šbersicht . . . . . . . . . . . . . . . . . . . . . . . . . . 3 - Allgemeine Beschreibung von CLEAN-UP Anwendung und Optionen. . . . . . . . . . . . . . . . . . . . . 4 - Die Anwendung von CLEAN-UP, genaue Erkl„rung der Optionen Beispiele . . . . . . . . . . . . . . . . . . . . . . . . . . 7 - Beispiele h„ufig verwendeter Optionen Registrierung . . . . . . . . . . . . . . . . . . . . . . . . . 8 - Wie sie CLEAN-UP registrieren Technischer Support . . . . . . . . . . . . . . . . . . . . . . 8 - Information die Sie bei einem Anruf parat haben sollten Anhang A . . . . . . . . . . . . . . . . . . . . . . . . . . . .9 - Meldungen in anderen Sprachen CLEAN-UP Version 9.28V116 Seite 2 EINLEITUNG CLEAN-UP (CLEAN) ist ein Virendesinfizierungsprogramm fr IBM PC's und kompatible Computer. CLEAN-UP durchsucht die Partitionstabelle, den Bootsektor oder Programm-Dateien und entfernt einen vom Benutzer angegebenen Virus. In den meisten F„llen ist CLEAN-UP in der Lage den infizierten Bereich des Rechners zu reparieren und diesen somit wieder brauchbar zu machen. CLEAN-UP entfernt alle Viren, die durch die entsprechende Version von VIRUSCAN (SCAN) erkannt werden. CLEAN-UP kann aus .COM- und .EXE-Dateien, Partitionstabellen und Bootsektoren auch unbekannte Viren entfernen, wenn zuvor mit VIRUSCAN die ben”tigten Informationen zur Wiederherstellung gesichert wurden (N„heres dazu finden Sie in der Dokumentation von VIRUSCAN). CLEAN-UP l„uft auf jedem PC mit 480 KB RAM und einer DOS-Version 2.00 oder h”her. ECHTHEIT CLEAN-UP testet sich bei jedem Aufruf zun„chst selbst. Wenn CLEAN in irgendeiner Weise ver„ndert wurde, so wird eine Warnmeldung ausgegeben. Dennoch wird das Programm weiterhin Viren entfernen. Wenn CLEAN meldet, daá es besch„digt worden ist, so sollten Sie sich unbedingt um eine neue, einwandfreie Version bemhen. CLEAN-UP wird zusammen mit dem Programm VALIDATE ausgeliefert, um den Originalzustand von CLEAN.EXE berprfen zu k”nnen. Die Hinweise in den Dateien VALIDATE.DOC(TXT) erkl„ren den Gebrauch von VALIDATE. Das Programm VALIDATE ist auch dazu geeignet, alle sp„teren Versionen von CLEAN zu berprfen. Die Prfergebnisse der Version 9.28V116 mssen lauten: FILE NAME: clean.exe SIZE: 197,372 DATE: 6-15-1994 FILE AUTHENTICATION Check Method 1: 2416 Check Method 2: 1175 Wenn Ihre Kopie von CLEAN.EXE andere Ergebnisse liefert, so liegt eine unzul„ssige Ver„nderung vor. Sie sollten das Programm nur verwenden, wenn es aus einer bekannten Quelle stammt. Die Prfdaten von CLEAN k”nnen Sie auch aus der McAfee Mailbox abrufen. Diese ist unter der amerikanischen Nummer 408 988 4004 zu erreichen. Ebenfalls auch aus dem McAfee Virus Help Forum auf CompuServe (GO MCAFEE) oder ber Internet. CLEAN-UP Version 9.28V116 Seite 3 WAS IST NEU ? Clean-UP V116 identifiziert alle von der aktuellen ViruScan-Version erkannten Viren. Eine vollst„ndige Liste der erkannten Viren finden Sie in der Datei VIRLIST.TXT. Bezglich ausfhrlicher Beschreibung der Viren verweisen wir auf Hypertext VSUM von Patricia Hoffman (Anm.: ebenfalls ber Kirschbaum Software erh„ltlich). CLEAN gibt standardm„áig alle Meldungen in englischer Sprache aus. Andere Sprachen werden aber auch untersttzt. Siehe hierzu Anhang C fr weitere Erl„uterungen. DAS HILFSFORUM FšR COMPUTERVIREN IN COMPUSERVE McAfee Associates unterh„lt das McAfee Virus Help Forum ber CompuServe. SCAN-Updates, Vireninformationen und Programmsupport erhalten Sie, wenn Sie nach einem beliebigen Compuserve-Prompt "GO MCAFEE" eingeben. Eine kostenlose Einfhrungsmitgliedschaft zu Compuserve ist m”glich. Genaueres finden Sie in der beiligenden Compuserve-Datei (COMPUSER.NOT). šBERSICHT CLEAN-UP durchsucht das System nach dem Virus, den Sie entfernen wollen. Wird eine infizierte Datei gefunden, so isoliert und entfernt CLEAN-UP den Virus und stellt damit die infizierte Datei wieder her. Wenn die Datei von einem weniger verbreiteten Virus befallen ist, gibt CLEAN-UP eine Warnmeldung aus und fragt den Anwender, ob die Datei berschrieben und gel”scht werden soll. Dateien, die auf diese Art und Weise gel”scht wurden, sind nicht wiederherzustellen. šberprfen Sie bei Virenverdacht vor der Anwendung von CLEAN-UP Ihr System mit dem Programm VIRUSCAN (SCAN.EXE). SCAN lokalisiert und identifiziert den Virus und liefert Ihnen den I.D. Code (Erkennungscode), den Sie zur Entfernung des Virus ben”tigen. Die I.D. wird in eckigen Klammern ("[" und "]") angezeigt. So wird zum Beispiel der I.D. des Jerusalem wie folgt angezeigt: "[Jeru]". Um den Virus zu entfernen muá diese I.D. in Verbindung mit CLEAN-UP angewendet werden. Die eckigen Klammern ("[" und "]") MšSSEN mit angegeben werden. Wenn SCAN in einer Datei mit Reparaturdaten einen unbekannten Virus findet, macht es den Anwender auf eine Infektion aufmerksam. Es wird aber keine I.D. anzeigen. HINWEIS: Wenn Sie CLEAN mit der Option /GENERIC oder /GRF starten um Dateien oder Systembereiche anhand der Reparaturdaten von SCAN zu desinfizieren, so drfen Sie keinen I.D. angeben. Hinweise zum Umgang mit den Reparaturdaten finden Sie in der Dokumentation zu VIRUSCAN. CLEAN-UP Version 9.28V116 Seite 4 Folgende verbreitete Viren kann CLEAN-UP erfolgreich aus infizierten Programmen oder Systembereichen entfernen: 555 592 644 696 730 748 855 1008 1024 1139 1241 1253 1339 1554 1575*+ 1757 1992 2014 2560 2878 2936 4096*+ Air Cop* Alabama+ Alameda Antitelefonica Athens Azusa Barrotes Barrotes 2 Beeper Black Monday+ Bloody! Boat Boys Bubonic Cansu Cartuja Cascade*+ Chemnitz Chile Mediera Chinese Blood Coahuila Creeper Curse Dark Avenger*+ DataLock+ December 28+ Devil's Dance Dir-2 Disk Killer* Dodo2 EDV* Empire* Enigma EXEBug1 EXEBug2 Fellowship+ Filler Fish+ Flash Flip*+ Form Ganeu Generic Boot Generic MBR Ghost Green Caterpillar Haifa Holocausto Invader*+ Invisible Man Irish_3 James Bond Jerusalem*+ Joshi KeyPress*+ Khobar Korea* Lazy Lehigh Liberty+ Lisbon* Little Girl2 Little Girl3 Loa Duong Loren M128 Maltese Amoeba Mardi Bro.'s Math Test Michelangelo Monkey Mosquito Multi-2 Murphy*+ Music Bug Nomenclature Pakistani Brain*Paradise Pegg Perfume Ping Pong* Plastique*+ Possessed Print Screen-2* R-11+ SBC Slayer Slow+ Spanish Holiday Stoned* Striker+ Sunday+ Sunday2+ SVC+ Taiwan 3+ Taiwan 4+ Tecla Tequila Thriller Tokyo Topo Traceback/3066 Troi Tuesday Typo Boot Unbx V800 V-801 VACSINA*+ Vienna* Violator*+ VirDem Viva Mexico Volkov XTAC Whale*+ Yankee Doodle*+ ZeroBug * kennzeichnet Viren mit mehr als einem Stamm + kennzeichnet Viren, die Overlays befallen EIN WICHTIGER HINWEIS ZU .EXE-DATEIEN: Einige Viren zerst”ren EXE.Dateien, wenn sie diese befallen. Diese Viren k”nnen nicht mehr erfolgreich entfernt werden. Dies ist normalerweise dann der Fall, wenn eine .EXE-Datei externe Overlays l„dt. Anstatt sich an das Ende der .EXE-Datei anzuh„ngen, kann sich der Virus an den Anfang des Overlaybereichs anh„ngen und dabei Programmbereiche berschreiben. CLEAN-UP wird derart infizierte Dateien verstmmeln. Wenn eine Datei nach deren Desinfektion nicht mehr lauff„hig ist, so ersetzen Sie diese durch die Datei von der Originaldiskette. EIN WICHTIGER HINWEIS ZU PARTITIONSTABELLEN-VIREN (z.B. STONED): Das Entfernen des Stoned Virus kann auf Festplatten, welche nicht standardm„áig formatiert sind, einen Verlust der Partitionstabelle bedeuten. Zur Vorsicht sollten Sie daher vor dem Aufruf von CLEAN-UP alle wichtigen Daten sichern. Der Verlust der Partitionstabelle hat n„mlich einen VERLUST ALLER DATEN DER FESTPLATTE zur Folge. CLEAN-UP Version 9.28V116 Seite 5 ANWENDUNG und OPTIONEN WICHTIGER HINWEIS: SCHALTEN SIE, BEVOR SIE MIT DER ARBEIT BEGINNEN, IHREN RECHNER AUS UND BOOTEN SIE VON EINER GESUNDEN SYSTEMDISKETTE. STARTEN SIE CLEAN-UP IMMER VON EINER SCHREIBGESCHšTZTEN DISKETTE UM EINE INFEKTION ZU VERMEIDEN. Schalten Sie das infizierte System aus und booten Sie von einer gesunden, schreibgeschtzen Diskette. So wird sichergestellt, daá der Virus keine Kontrolle ber das System hat und dieses somit auch nicht erneut infizieren kann. Nachdem das System desinfiziert ist, schalten Sie erneut aus, booten von der Systemdiskette und rufen Sie VIRUSCAN auf, um sicherzustellen, daá das ganze System auch wirklich virenfrei ist. Nachdem die Festplatte ges„ubert ist, prfen Sie mit VIRUSCAN ALLE Disketten die je in den Rechner eingelegt worden sind, um zu prfen ob diese infiziert worden sind. CLEAN-UP zeigt den Namen der infizierten Datei an, den darin gefundenen Virus und meldet eine erfolgreiche Desinfizierung, wenn der Virus entfernt worden ist. Wurde eine Datei von einem Virus mehrmals befallen (dies ist m”glich wenn der Virus nicht prft, ob er diese Datei bereits infiziert hat), so gibt CLEAN-UP diese Meldung fr jede erfolgreiche Desinfizierung aus. Um CLEAN-UP zu starten, geben Sie folgendes ein: CLEAN {laufwerk(e)} [virus I.D.] {optionen} ^ | | HINWEIS: Die eckigen Klammern [ und ] mssen unbedingt angegeben werden. {laufwerk(e)} - gibt die zu s„ubernden Laufwerke an [virus I.D.] - Erkennungscode des Virus; wird von VIRUSCAN angegeben. Eine vollst„ndige Liste finden Sie in den Dateien VIRLIST(E).TXT. Als Optionen sind m”glich: /A - alle Dateien auf Viren untersuchen /AD{x} - s„ubert alle Laufwerke {L = lokal / N = Netzwerk} /GENERIC - unbekannte Viren entfernen (Details siehe unten) /GRF {dateiname} - Unbekannte Viren unter Verwendung einer Reparaturdatendatei entfernen /MANY - mehrere Disketten mit CLEAN desinfizieren /NOEXPIRE - Ablaufhinweis nicht anzeigen /NOPAUSE - bei vollem Bildschirm nicht warten /REPORT l:Dateiname - Bericht ber ges„uberte Dateien erstellen CLEAN-UP Version 9.28V116 Seite 6 Die Option /A veranlasst CLEAN, alle Dateien im angegebenen Laufwerk zu untersuchen und prft gleichzeitig einen gr”áeren Bereich der Dateien. Dies ben”tigt natrlich etwas mehr Zeit, aber erh”ht dafr auch die Erkennungsrate bei verseuchten Overlay-Dateien. Die Option /A sollte immer benutzt werden, wenn ein Virus gefunden wurde, der Overlays infiziert. /AD{x} - Dieser Schalter bestimmt, welche Laufwerke ges„ubert werden sollen. Die Wahl /ADL benutzt man, um alle lokalen Laufwerke zu prfen (einschlieálich komprimierter Laufwerke und CD-ROM). Wenn Sie /ADN angeben, beschr„nkt sich die Suche auf die Netzwerklaufwerke. Sollen lokale und Netzwerk-Laufwerke ges„ubert werden, so gibt man nur den Schalter /AD ohne Zusatz an. Die Option /GENERIC wird dazu verwendet, Dateien oder Systembereiche zu reinigen, die mit einem neuen (unbekannten) Virus infiziert sind. Damit /GENERIC arbeiten kann, mssen zuvor (vor der Infektion !) mit SCAN und dessen Option /AG die entsprechenden Reparaturdaten gespeichert worden sein. Fr die Verwendung der Option /GENERIC ben”tigen Sie keinen I.D.- Code. Die Option /GRF {dateiname} wird benutzt, um Dateien oder System- bereiche von neuen (unbekannten) Viren zu s„ubern. Damit Sie mit /GRF arbeiten k”nnen, mssen vor der Infektion die Reparaturdaten und Prfsummen mit der Option /AF von VIRUSCAN gespeichert worden sein. Der Aufruf erfolgt mit /GRF {dateiname}, wobei der Dateiname den Pfad und den Namen der zu verwendenden Reparaturdatei enthalten muá. Bei Verwendung der Option /GRF ben”tigen Sie fr CLEAN keinen I.D.-Code. Die Option /MANY wird benutzt, um eine Anzahl von Disketten in einem Laufwerk zu s„ubern ohne CLEAN jedesmal neu starten zu mssen. Die Option /NOEXPIRE schaltet die Warnmeldung ab, die erscheint, wenn CLEAN „lter als sieben Monate ist und meldet, daá es in Bezug auf neue Viren nicht mehr dem aktuellen Stand entspricht. Die Option /NOPAUSE schaltet die Meldung "More? (H = Help)" ab. Diese erscheint, wenn CLEAN den Bildschirm mit Meldungen vollgeschrieben hat. Dadurch kann CLEAN-UP auf einem extrem infizierten System ohne Eingreifen des Anwenders gestartet werden. Die Option /REPORT {dateiname} dient dazu, eine Liste aller desinfizierten Dateien zu erzeugen. Diese Datei kann als ASCII-Datei auf Diskette/ Festplatte gespeichert werden. Um diese Option anzuwenden, muá auf /REPORT beim Aufruf von CLEAN ein Laufwerksbuchstabe, ein Pfad und der Dateiname folgen. CLEAN-UP Version 9.28V116 Seite 7 BEISPIELE Die folgenden Beispiele demonstrieren verschiedene M”glichkeiten, CLEAN aufzurufen. CLEAN C: D: E: [JERU] /A Die Laufwerke C:, D: und E: werden vom Jerusalem befreit; es werden alle Dateien nach diesem Virus durchsucht CLEAN A: [STONED] Den Stoned von der Diskette im Laufwerk A: entfernen CLEAN C:\MORGAN [DAV] /A Um das Unterverzeichnis MORGAN auf dem Laufwerk C: vom Dark Avenger zu befreien, bei diesem Durchlauf werden alle Dateien nach dem Virus durchsucht CLEAN B: [DOODLE] /REPORT C:DESINFCT.TXT Um die Diskette im Laufwerk B: vom Yankee Doodle zu befreien. Es werden alle Dateien durchsucht und es wird eine Liste der desinfizierten Dateien unter dem Namen DESINFCT.TXT auf Lauf- werk C: erzeugt CLEAN C: /GENERIC Um das Laufwerk C: von einem unbekannten Virus zu befreien. Dazu werden die mit SCAN's Option /AG erzeugten Informationen verwendet. CLEAN C: D: /GRF A:\SCANCRC.CRC Unter Verwendung der mit der Option /AF von SCAN erzeugten Reparaturdaten einen unbekannten Virus von den Laufwerken C: und D: entfernen. CLEAN-UP Version 9.28V116 Seite 8 Registrierung Sollten Sie noch nicht registriert sein, so wenden Sie sich bitte an Kirschbaum Software GmbH Kronau 15 D-83550 Emmering bei Wbg. Tel. 0 80 67 / 10 16 Fax 0 80 67 / 10 53 Dort k”nnen Sie alle Modalit„ten zur Registrierung der Produkte von McAfee Associates erfahren. Einmal registriert, brauchen Sie sich brigens um die Beschaffung der jeweils aktuellen Version keine Gedanken mehr zu machen. Die regelm„áige Zusendung der aktuellen Versionen ist in der Registriergebhr enthalten. Technischer Support Um einen schnellen und effektiven Support zu erleichtern, werden Sie gebeten bei Rckfragen die folgenden Informationen bereit zu halten: - den Namen und die Version des Programmes - Typ und Hersteller des Computers, der Festplatte sowie aller Peripherieger„te - die Versionsnummer des von Ihnen verwendeten Betriebssystems, sowie der verwendeten TSR-Programme und Systemtreiber - Ausdrucke der Dateien AUTOEXEC.BAT und CONFIG.SYS - Einen Ausdruck vom Speicherinhalt wie er zum Beispiel von MEM (erst ab DOS 4.0) oder „hnlichen Programmen erstellt wird - Eine genaue Beschreibung Ihres Problems. Bitte seien Sie so genau wie m”glich. Hilfreich ist, wenn Sie eine Hardcopy Ihres Bildschirms haben bzw. sich am Computer befinden. Die Hotline der Firma Kirschbaum Software GmbH ist von Montag bis Freitag in der Zeit von 9.00 Uhr bis 16.00 Uhr zu erreichen. Per Fax k”nnen Sie uns natrlich auch rund um die Uhr erreichen. CLEAN-UP Version 9.28V116 Seite 9 Anhang A : Meldungen in anderen Sprachen CLEAN-UP kann alle Meldungen in anderen Sprachen ausgeben, wenn diese in Form einer Datei MCAFEE.MSG zur Verfgung stehen. Ist keine solche Datei in dem Verzeichnis vorhanden, aus dem CLEAN-UP gestartet wurde, dann werden alle Meldungen in Englisch angezeigt. Um eine andere Sprache zu nutzen, ersetzen Sie die Datei MCAFEE.MSG durch das jeweilige Sprachmodul und kopieren es in das gleiche Verzeichnis, in dem auch CLEAN.EXE gespeichert ist. Nachdem Sie CLEAN gestartet haben, wird es automatisch nach der Datei MCAFEE.MSG suchen. Hinweis: Wenn ein Modul fr die Ausgabe der Programm-Meldungen in einer anderen Sprache benutzt wird, erh”ht sich der Speicherbedarf von Clean um die Gr”áe der entsprechenden .MSG-Datei (zwischen 15 und 25 KB). Die McAfee-Produkte enthalten immer Dateien mit franz”sischen und spanischen Meldungen. Mit dieser Version wird auch ein deutsches Sprachmodul GERMAN.MSG geliefert. Die Untersttzung von weiteren Sprachen (chinesisch, holl„ndisch, finnisch, ungarisch, norwegisch, portugiesisch, russisch, schwedisch usw.) sind erh„ltlich.