home *** CD-ROM | disk | FTP | other *** search
/ TopWare Tools / TOOLS.iso / tools / top1346 / viruscan.txt < prev   
Encoding:
Text File  |  1994-03-16  |  42.0 KB  |  1,078 lines
  1.            SCAN Reference      Copyright 1994 McAfee Inc.          Page 1
  2.           
  3.           VirusScan REFERENCE
  4.           
  5.           VirusScan's Scan program detects, identifies, and
  6.           disinfects more than 2,600 known DOS computer
  7.           viruses. Scan checks memory and both the system
  8.           and data areas of disks for virus infections. If
  9.           Scan finds a known virus, in most cases it will
  10.           eliminate the virus and fully restore infected
  11.           programs or system areas to normal operation.
  12.           
  13.           The SCAN.DAT file that accompanies Scan lists all
  14.           viruses that Scan identifies and removes. Use Scan
  15.           with the /VIRLIST option to see a list of these
  16.           viruses.
  17.           
  18.           In addition, Scan can also assign validation and
  19.           recovery codes to files, and use those codes to
  20.           detect and treat infection by new and unknown
  21.           viruses. If Scan has stored validation or recovery
  22.           data for files, it may detect file changes and
  23.           warn that infection by an unknown virus may have
  24.           occurred. Scan can also use the recovery codes to
  25.           remove new or unknown viruses and restore infected
  26.           files, master boot record (MBRs), and boot
  27.           sectors.
  28.           
  29.           Scan runs on DOS, Windows, and OS/2. The program
  30.           files are SCAN.EXE, WSCAN.EXE, and OS2SCAN.EXE,
  31.           respectively.
  32.           
  33.           Because OS/2 operates in a protected mode
  34.           environment, Scan for OS/2 does not check memory.
  35.           To protect against viruses in OS/2 DOS and Win-
  36.           OS/2 sessions, use the VShield (for DOS) virus
  37.           prevention program.
  38.           
  39.           DO YOU NEED TO READ THIS DOCUMENT?
  40.           
  41.           Many users will not need the Scan command line
  42.           options described in details here. We have
  43.           designed Scan so that basic operations will detect
  44.           most viruses in your system. The command line
  45.           options described here offer additional power and
  46.           control over virus detection. They enable you to
  47.           run Scan from batch or script files, and are most
  48.           useful in vulnerable environments and to network
  49.           administrators and information services staff.
  50.            SCAN Reference      Copyright 1994 McAfee Inc.          Page 2
  51.  
  52.           SYSTEM REQUIREMENTS AND SUPPORT
  53.           
  54.           Scan requires DOS 3.0 or later, Windows 3.1 or
  55.           later, or IBM OS/2 Version 2.0 or later. Running
  56.           Scan for DOS with command line options requires
  57.           360Kb of free RAM.
  58.           
  59.           Scan works with 3Com 3/Share and 3/Open, Artisoft
  60.           LanTastic, AT&T StarLAN, Banyan VINES, DEC
  61.           Pathworks, IBM LAN Server, Microsoft LAN Manager,
  62.           Novell NetWare, and any other IBMNET- or NETBIOS-
  63.           compatible network operating systems. Contact
  64.           McAfee or your local authorized agent if you do
  65.           not see your network listed.
  66.           
  67.           Scan is designed to check for pre-existing
  68.           infections of known and unknown viruses on floppy,
  69.           hard, CD-ROM, and compressed (SuperStor, Stacker,
  70.           Doublespace, and so on) disks on both stand-alone
  71.           and networked personal computers, as well as
  72.           network file servers. If you have a Novell
  73.           NetWare/386 V3.1X or 4.01 file server, you may
  74.           want to use the NETShield virus prevention
  75.           NetWare Loadable Module in conjunction with Scan.
  76.           
  77.           To use Scan to clean up (disinfect) virus-infected
  78.           files, the CLEAN.DAT file must be present in the
  79.           same subdirectory as Scan. If you don't have the
  80.           CLEAN.DAT file, first verify whether you should
  81.           contact your system administrator or information
  82.           systems staff directly for virus clean-up.
  83.           Otherwise, you can contact McAfee.
  84.           
  85.           TECHNICAL OVERVIEW
  86.           
  87.           KNOWN VIRUS DETECTION
  88.           
  89.           Scan detects known viruses by searching the system
  90.           for known characteristics (sequences of code)
  91.           unique to each computer virus and reporting their
  92.           presence if found. For viruses that encrypt or
  93.           cipher their code so that every infection is
  94.           different, Scan uses detection algorithms that
  95.           work by statistical analysis, heuristics, and code
  96.           disassembly.
  97.           
  98.           NEW AND UNKNOWN VIRUS DETECTION
  99.           
  100.           Scan can also check for new or unknown viruses by
  101.           comparing files against previously recorded
  102.           validation data. If a file has been modified, it
  103.            SCAN Reference      Copyright 1994 McAfee Inc.          Page 3
  104.           
  105.           will no longer match the validation data, and Scan
  106.           will report that the file may have become
  107.           infected. With certain options, Scan /CLEAN can
  108.           use the validation and recovery data to restore
  109.           infected files, master boot records (MBRs), or
  110.           boot sectors.
  111.           
  112.           NOTE TO NETWORK USERS
  113.           
  114.           To use Scan on a network drive (or directory), you
  115.           must be connected to that drive and have read
  116.           access to it. Some command line options attempt to
  117.           create, change, and delete files. To use these
  118.           options, you must have sufficient access rights.
  119.           If you have questions about access rights, contact
  120.           your network administrator.
  121.           
  122.           VALIDATING SCAN
  123.           
  124.           The Scan program in your VirusScan package is
  125.           supplied on a write-protected diskette (notchless)
  126.           that should be secure from infection. We recommend
  127.           that you update your copy of the VirusScan
  128.           programs regularly. You can obtain an upgrade from
  129.           several sources.
  130.           
  131.           Before using a new version of Scan for the first
  132.           time, verify that it has not been tampered with or
  133.           infected by using the Validate program. If your
  134.           new copy of Scan differs from the validation data
  135.           in the on-line documentation file, it may have
  136.           been damaged. Don't use it, and obtain a clean
  137.           copy of Scan from a known source.
  138.           
  139.           Scan performs a self-check when it runs. If Scan
  140.           has been modified in any way, a warning appears
  141.           and asks you whether to continue or quit. Scan may
  142.           be infected. If you choose to continue, Scan can
  143.           still check for viruses but may spread the
  144.           infection. Therefore, if Scan reports that it has
  145.           been damaged, we recommend that you quit, and then
  146.           obtain a clean copy before continuing.
  147.           
  148.           Running Scan from the command line
  149.           
  150.           Scan checks files and other areas of the system
  151.           that can contain computer viruses. When a virus is
  152.           found, Scan identifies the virus and the system
  153.           area or file where it was found.
  154.           
  155.           By default, Scan examines all files on a system.
  156.           Once you've installed VirusScan and have
  157.            SCAN Reference      Copyright 1994 McAfee Inc.          Page 4
  158.           
  159.           established a "sterile field", you might not need
  160.           to scan every file on your system again, just the
  161.           executable files (.EXE, .COM, .SYS, .BIN, .OVL,
  162.           and .DLL files). Use the /STD option to scan
  163.           executable files only. (Note that the list of
  164.           extensions for standard executables has changed
  165.           from previous versions of Scan.)
  166.           
  167.           From DOS or OS/2, you can run Scan from the system
  168.           prompt. (From OS/2, open the Command Prompts
  169.           folder in the OS/2 system folder, then choose OS/2
  170.           Full Screen or OS/2 Window to see the system
  171.           prompt.) The syntax is:
  172.           
  173.                DOS  C> scan {drives} [options]
  174.           
  175.                OS/2 [C:\] os2scan {drives} [options]
  176.           
  177.           * {drives} indicates one or more drives to be
  178.           scanned. You must specify one or more drives to
  179.           scan. If you list a drive like c:, all of its
  180.           subdirectories will be scanned. If you list \,
  181.           only the root directory and boot area of the
  182.           current disk will be scanned. If you list \ or a
  183.           directory, its subdirectories will not be scanned
  184.           unless you use the /SUB option.
  185.           
  186.           * [options] indicates one or more of the Scan
  187.           options listed in "Scan command line option
  188.           summary."
  189.           
  190.           SCAN COMMAND LINE OPTION SUMMARY (DOS-OS/2)
  191.           
  192.           /? or /HELP
  193.           
  194.           Display help screen (not available in Windows, use
  195.           Help menu instead).
  196.           
  197.           /ADL
  198.           
  199.           Scan all local drives.
  200.           
  201.           /ADN
  202.           
  203.           Scan all network drives.
  204.           
  205.           /AF {filename}
  206.           
  207.           Store validation/recovery codes in filename.
  208.            SCAN Reference      Copyright 1994 McAfee Inc.          Page 5
  209.           
  210.           /AV
  211.           
  212.           Add validation/recovery data to program files.
  213.           
  214.           /BOOT
  215.           
  216.           Scan boot sector and master boot record only.
  217.           
  218.           /CF {filename}
  219.           
  220.           Check validation/recovery codes in filename.
  221.           
  222.           /CLEAN
  223.           
  224.           Clean up infections in boot sector, master boot
  225.           record, and files when possible.
  226.           
  227.           /CV
  228.           
  229.           Check validation/recovery data in files.
  230.           
  231.           /DEL
  232.           
  233.           Overwrite and delete infected files.
  234.           
  235.           /EXCLUDE {filename}
  236.           
  237.           Exclude from scan any files listed in filename.
  238.           (with /AV).
  239.           
  240.           /FAST
  241.           
  242.           Speed up VirusScan's scanning; may detect fewer
  243.           viruses.
  244.           
  245.           /HISTORY
  246.           
  247.           Append, rather than overwrite, the report file
  248.           (/REPORT).
  249.           
  250.           /LOAD {filename}
  251.           
  252.           Use Scan settings stored in filename.
  253.            SCAN Reference      Copyright 1994 McAfee Inc.          Page 6
  254.           
  255.           /LOG
  256.           
  257.           Save date and time VirusScan was last run in
  258.           SCAN.LOG.
  259.           
  260.           /MOVE {directory}
  261.           
  262.           Move infected files to directory.
  263.           
  264.           /NOMEM
  265.           
  266.           Skip memory checking (not applicable to OS/2).
  267.           
  268.           /PAUSE
  269.           
  270.           Enable screen pause.
  271.           
  272.           /PLAD
  273.           
  274.           Preserve last access dates on network drives in a
  275.           Novell network.
  276.           
  277.           /REPORT {filename}
  278.           
  279.           Create report of infected files found during scan
  280.           in filename.
  281.           
  282.           /RF filename
  283.           
  284.           Remove validation/recovery codes in filename.
  285.           
  286.           /RPTCOR
  287.           
  288.           Add list of corrupted files to the report file
  289.           (/REPORT).
  290.           
  291.           /RPTERR
  292.           
  293.           Add list of system errors to the report file
  294.           (/REPORT).
  295.           
  296.           /RPTMOD
  297.           
  298.           Add list of modified files to the report file
  299.           (/REPORT).
  300.           
  301.           /RV
  302.           
  303.           Remove validation/recovery data from files.
  304.           
  305.           /SHOWLOG
  306.           
  307.           Display information in SCAN.LOG.
  308.            SCAN Reference      Copyright 1994 McAfee Inc.          Page 7
  309.  
  310.           /STD
  311.           
  312.           Scan executable files only (COM, EXE, SYS, BIN,
  313.           OVL, DLL)
  314.           
  315.           /SUB
  316.           
  317.           Scan subdirectories inside a directory.
  318.           
  319.           /VIRLIST
  320.           
  321.           Display list of viruses stored in SCAN.DAT
  322.           
  323.           SCAN OPTION DESCRIPTIONS
  324.           
  325.           Here is a detailed description of Scan's options.
  326.           
  327.           /? or /HELP
  328.           
  329.           Display list of Scan options
  330.           
  331.           Does not scan. Instead, displays a list of Scan
  332.           command line options with a brief description of
  333.           each. Use these options alone on the command line.
  334.           
  335.           /ADL
  336.           
  337.           Scan all local drives
  338.           
  339.           Scans all local drives for viruses, in addition to
  340.           those specified on the command line. In DOS, use
  341.           /ADL to check all local drives, including
  342.           compressed drives and CD-ROMs. To scan both local
  343.           and network drives, use /ADL and /ADN together in
  344.           the same command line.
  345.           
  346.           /ADN
  347.           
  348.           Scan all network drives
  349.           
  350.           Scans all network drives for viruses, in addition
  351.           to those specified on the command line. To scan
  352.           both local and network drives, use /ADL and /ADN
  353.           together in the same command line.
  354.           
  355.           /AF filename
  356.           
  357.           Store validation/recovery codes in file
  358.           
  359.           Helps you detect and recover from new or unknown
  360.           viruses. /AF logs validation and recovery data for
  361.           executable files, boot sector, and master boot
  362.           record (MBR) of a disk in the file you specify.
  363.            SCAN Reference      Copyright 1994 McAfee Inc.          Page 8
  364.  
  365.           The log file is about 95 bytes per file validated.
  366.           You must specify a filename, which can include the
  367.           target drive and directory (such as
  368.           D:\VSVALID\VALCODES.VSC). If the target path is a
  369.           network drive, you must be able to create and
  370.           delete files in that drive. If filename exists,
  371.           Scan updates it. The /AF option adds about 300%
  372.           more time to scanning.
  373.           
  374.           To exclude self-modifying or self-checking files
  375.           that might cause false alarms, use the /EXCLUDE
  376.           option. To recover from a virus using the /AF
  377.           information, use the /CF and /CLEAN options
  378.           together in the same command line. Using any of
  379.           the /AF, /CF, or /RF options together in the same
  380.           command line returns an error.
  381.           
  382.           /AF performs the same function as /AV, but stores
  383.           its data in a separate file rather than changing
  384.           the executable files themselves.
  385.           
  386.           /AV
  387.           
  388.           Add validation/recovery data to files
  389.           
  390.           Helps you detect and recover from new or unknown
  391.           viruses. /AV adds recovery and validation data to
  392.           each standard executable file (.EXE, .COM, .SYS,
  393.           .BIN, .OVL. and .DLL), increasing the size of each
  394.           file by 98 bytes. To update files on a shared
  395.           network drive, you must have update access rights.
  396.           The /AV option adds about 100% more time to
  397.           scanning.
  398.           
  399.           To exclude self-modifying or self-checking files
  400.           that might cause false alarms, use the /EXCLUDE
  401.           option. To recover from a virus using the /AF
  402.           information, use the /CV and /CLEAN options
  403.           together in the same command line. Using any of
  404.           the /AV, /CV, or /RV options together in the same
  405.           command line returns an error.
  406.           
  407.           /BOOT
  408.           
  409.           Scan boot sector and master boot record only
  410.            SCAN Reference      Copyright 1994 McAfee Inc.          Page 9
  411.  
  412.           Scans the boot sector and master boot record on
  413.           the specified drive(s), but not files or
  414.           directories on those drives.
  415.           
  416.           /CF filename
  417.           
  418.           Check validation/recovery codes in file
  419.           
  420.           Helps you detect new or unknown viruses. Checks
  421.           validation data stored by
  422.           
  423.           the /AF option in filename. If a file or system
  424.           area has changed, Scan reports that a viral
  425.           infection may have occurred. The /CF option adds
  426.           about 250% more time to scanning. You can use /CF
  427.           and /CLEAN in the same command line to check
  428.           validation/recovery codes and remove any viruses
  429.           found. Using any of the /AF, /CF, or /RF options
  430.           together in the same command line returns an
  431.           error.
  432.           
  433.           Some older Hewlett-Packard and Zenith PCs modify
  434.           the boot sector each time the system is booted. If
  435.           you use /CF or /CV, Scan will continuously report
  436.           that the boot sector has been modified even though
  437.           no virus may be present. Check your system's
  438.           technical reference manual to determine whether
  439.           your PC has self-modifying boot code, or contact
  440.           McAfee for help.
  441.           
  442.           OS/2 dual boot systems change the boot sector
  443.           between DOS and OS/2 depending on which operating
  444.           system is active. This causes Scan to report that
  445.           the boot sector has been modified.
  446.           
  447.           /CLEAN
  448.           
  449.           Remove viruses from boot sector, master boot
  450.           record, and infected files
  451.           
  452.           Attempts to restore the boot sector, if infected,
  453.           and any infected files. Usually, between 10% and
  454.           20% of all viruses are not removable; they damage
  455.           the file they infect beyond repair. If the
  456.           infected file resides on a network drive, you must
  457.           be able to modify files on that drive to clean it.
  458.           If it cannot restore a file, you'll see a message
  459.           that identifies the name of the unrecoverable
  460.           file. To use /CLEAN, the CLEAN.DAT file must
  461.           reside in the Scan directory.
  462.           
  463.           Use /CLEAN instead of /DEL when you want to
  464.           restore infected files, not just delete or
  465.            SCAN Reference      Copyright 1994 McAfee Inc.          Page 10
  466.  
  467.           overwrite them. The /CLEAN option can remove
  468.           master boot record (MBR) and boot sector viruses,
  469.           but the /DEL option cannot. If you use /CLEAN and
  470.           /DEL in the same command line, Scan first attempts
  471.           to disinfect an infected file, then deletes it
  472.           only if it cannot be repaired. Similarly, if you
  473.           use /CLEAN and /MOVE in the same command line,
  474.           Scan attempts first to clean an infected file,
  475.           then moves it automatically if the file is
  476.           unrecoverable.
  477.           
  478.           You can use /CLEAN and /CF or /CV in the same
  479.           command line to check validation/recovery codes
  480.           and remove any viruses found. We strongly
  481.           recommend that you get experienced help in dealing
  482.           with viruses if you are unfamiliar with anti-virus
  483.           software and methods. This is especially true for
  484.           "critical" viruses and master boot record
  485.           (MBR)/boot sector infections, because improper
  486.           removal of these viruses can result in the loss of
  487.           all data on the infected disks.
  488.           
  489.           When scanning a network drive using /CLEAN, you
  490.           must have sufficient rights to update files on
  491.           that drive.
  492.           
  493.           /CV
  494.           
  495.           Check validation/recovery data in files
  496.           
  497.           Helps you detect new or unknown viruses. Checks
  498.           validation data added by the /AV option. If a file
  499.           is modified, Scan reports that a viral infection
  500.           may have occurred. The /CV option adds about 50%
  501.           more time to scanning. You can use /CLEAN and /CV
  502.           or /CF in the same command line to check
  503.           validation/recovery codes and restore infected
  504.           files. Using any of the /AV, /CV, or /RV options
  505.           together in the same command line returns an
  506.           error.
  507.           
  508.           /DEL
  509.           
  510.           Overwrite and delete infected files
  511.           
  512.           Deletes and overwrites each infected file. Files
  513.           erased by the /DEL option cannot be recovered
  514.           (generate a report so that you can restore them
  515.           from backups). Instead of /DEL alone, we recommend
  516.           using it in combination with the /CLEAN option to
  517.           attempt to disinfect an infected file first, then
  518.           delete it only if the file is unrecoverable. The
  519.           /CLEAN option can remove master boot record and
  520.            SCAN Reference      Copyright 1994 McAfee Inc.          Page 11
  521.  
  522.           boot sector viruses, but the /DEL option cannot.
  523.           
  524.           When scanning a network drive using /DEL, you must
  525.           have sufficient access rights to delete files on
  526.           that drive.
  527.           
  528.           /EXCLUDE filename
  529.           
  530.           Scan using exception list file
  531.           
  532.           Allows you to exclude files from /AF or /AV
  533.           validation. Self-modifying or self-checking files
  534.           can cause a false alarm during a scan. To create
  535.           filename, see "Creating an exception list"
  536.           
  537.           /FAST
  538.           
  539.           Speed up VirusScan's scanning
  540.           
  541.           Reduces Scan time by about 15%. Using the /FAST
  542.           option, Scan examines a smaller portion of each
  543.           file for viruses, although it examines more files
  544.           overall. Using /FAST might miss some infections
  545.           found in a more comprehensive (but slower) scan.
  546.           Do not use this option if you have found a virus
  547.           or suspect one.
  548.           
  549.           /HISTORY
  550.           
  551.           Append to the report file.
  552.           
  553.           Used in conjunction with /REPORT, appends the
  554.           report message text to the specified report file,
  555.           if it exists. Otherwise, the /REPORT option
  556.           overwrites the specified report file, if it
  557.           exists.
  558.           
  559.           /LOAD {filename}
  560.           
  561.           Use Scan settings stored in filename.
  562.           
  563.           By default, Scan loads its internal default
  564.           settings plus any options specified on the command
  565.           line. You can store all custom settings in a
  566.           separate ASCII text file, then use /LOAD to load
  567.            SCAN Reference      Copyright 1994 McAfee Inc.          Page 12
  568.  
  569.           those settings from that file.
  570.           
  571.           /LOG
  572.           
  573.           Save date and time of last scan
  574.           
  575.           Stores the time and date Scan is being run by
  576.           updating or creating a file called SCAN.LOG in the
  577.           current directory.
  578.           
  579.           /MOVE {directory}
  580.           
  581.           Move infected files to directory
  582.           
  583.           Moves all infected files found during a scan to
  584.           the specified directory. If you use /MOVE in
  585.           conjunction with /CLEAN, Scan attempts to restore
  586.           an infected file first, then moves it to the
  587.           specified directory only if the file cannot be
  588.           restored. Using /MOVE and /DEL in the same
  589.           command line returns an error message.
  590.           
  591.           /NOMEM
  592.           
  593.           Skip memory checking
  594.           
  595.           Reduces scan time by omitting all memory checks
  596.           for viruses. Use /NOMEM only when you are
  597.           absolutely certain that your system is virus-free.
  598.           
  599.           By default, Scan checks system memory for critical
  600.           known computer viruses that can inhabit memory. In
  601.           addition to main memory from 0Kb to 640Kb, Scan
  602.           checks system memory from 640Kb to 1088Kb that can
  603.           be used by computer viruses on 286 and later
  604.           systems. Memory above 1088Kb is not addressed
  605.           directly by the processor and is not presently
  606.           susceptible to viruses.
  607.           
  608.           /NOMEM is not applicable to OS/2.
  609.           
  610.           /PAUSE
  611.           
  612.           Enable screen pause
  613.           
  614.           If you specify /PAUSE, the More? (H = Help) prompt
  615.           appears when Scan fills up a screen with messages.
  616.           Otherwise, by default, Scan fills and scrolls a
  617.           screen continuously without stopping, which allows
  618.           Scan to run on PCs with severe infections without
  619.           requiring you to attend. We recommend that you
  620.           omit /PAUSE when keeping a record of Scan's
  621.           messages using the report options (/REPORT,
  622.            SCAN Reference      Copyright 1994 McAfee Inc.          Page 13
  623.  
  624.           /RPTCOR, /RPTMOD, and /RPTERR), or when using the
  625.           /SHOWLOG or /VIRLIST options.
  626.           
  627.           /PLAD
  628.           
  629.           Preserve last access dates (on NetWare drives only).
  630.           
  631.           Prevents changing the last access date attribute
  632.           for files stored on a network drive in a Novell
  633.           network. Normally, NetWare updates the last access
  634.           date when Scan opens and examines a file. However,
  635.           some tape backup systems use this last access date
  636.           to decide whether to back up the file. Use /PLAD
  637.           to ensure that the last access date does not
  638.           change as the result of scanning.
  639.           
  640.           /REPORT {filename}
  641.           
  642.           Create report of infected files and system errors
  643.           
  644.           Saves the output of Scan to filename in ASCII text
  645.           file format. If filename exists, /REPORT erases
  646.           and replaces it. You can include the destination
  647.           drive and directory (such as D:\VSREPRT\ALL.TXT),
  648.           but if the destination is a network drive, you
  649.           must be able to create and delete files on that
  650.           drive. You can also use /RPTCOR, /RPTMOD, and
  651.           /RPTERR to add corrupted files, modified files,
  652.           and system errors to the report.
  653.           
  654.           /RF filename
  655.           
  656.           Remove validation/recovery codes in file
  657.           
  658.           Removes recovery and validation data from filename
  659.           created by the /AF option. If filename resides on
  660.           a shared network drive, you must be able to delete
  661.           files on that drive. Using any of the /AF, /CF, or
  662.           /RF options together in the same command line
  663.           returns an error.
  664.           
  665.           /RPTCOR
  666.           
  667.           Add corrupted files to Scan report
  668.           
  669.           Used in conjunction with /REPORT, adds the names
  670.           of corrupted files to the report file. A corrupted
  671.           file is a file that a virus has damaged beyond
  672.           repair, which typically occurs in 10% to 20% of
  673.           all viral infections. You can use /RPTCOR with
  674.           /RPTMOD and /RPTERR on the same command line.
  675.            SCAN Reference      Copyright 1994 McAfee Inc.          Page 14
  676.           
  677.           /RPTERR
  678.  
  679.           Add errors to Scan report
  680.           
  681.           Used in conjunction with /REPORT, adds system
  682.           errors to the report file. System errors include
  683.           problems reading or writing to a diskette or hard
  684.           disk, file system or network problems, problems
  685.           creating reports, and other system-related
  686.           problems. You can use /RPTERR with /RPTCOR and
  687.           /RPTMOD on the same command line.
  688.           
  689.           /RPTMOD
  690.           
  691.           Add modified files to the Scan report
  692.           
  693.           Used in conjunction with /REPORT, adds the names
  694.           of modified files to the report file. Scan
  695.           identifies modified files when the
  696.           validation/recovery codes do not match (using the
  697.           /CF or /CV options). You can use /RPTMOD with
  698.           /RPTCOR and /RPTERR on the same command line.
  699.           
  700.           /RV
  701.           
  702.           Remove validation/recovery from files
  703.           
  704.           Removes validation and recovery data from files
  705.           validated with the /AV option, along with the
  706.           SCAN.LOG file on the specified drive. To update
  707.           files on a shared network drive, you must have
  708.           access rights to update them. Using any of the
  709.           /AV, /CV, or /RV options together in the same
  710.           command line returns an error.
  711.           
  712.           /SHOWLOG
  713.           
  714.           Display the contents of SCAN.LOG
  715.           
  716.           Shows you the date and time of previous scans that
  717.           have been recorded in the SCAN.LOG file using the
  718.           /LOG switch. The SCAN.LOG file contains text and
  719.           some special formatting.
  720.           
  721.           /STD
  722.           
  723.           Scan executable files only (COM, EXE, SYS, BIN,
  724.           OVL, and DLL)
  725.           
  726.           Reduces scan time when a full scan is not needed.
  727.           Otherwise, Scan checks all files on the drive
  728.           scanned and examines files in greater detail,
  729.           which increases Scan's ability to detect viruses
  730.            SCAN Reference      Copyright 1994 McAfee Inc.          Page 15
  731.  
  732.           in overlay files but substantially increases the
  733.           scanning time required. Do not use this option if
  734.           you have found a virus or suspect one. (The list
  735.           of extensions for standard executables has changed
  736.           from previous releases of VirusScan.)
  737.           
  738.           /SUB
  739.           
  740.           Scan subdirectories
  741.           
  742.           By default, when you specify a directory to scan
  743.           rather than a drive, Scan will examine only the
  744.           files it contains, not its subdirectories. Use
  745.           /SUB to scan all subdirectories inside any
  746.           directories you've specified. Do not use /SUB if
  747.           you are scanning an entire drive.
  748.           
  749.           /VIRLIST
  750.           
  751.           Display the contents of SCAN.DAT
  752.           
  753.           Shows you the name and a brief description of the
  754.           viruses that VirusScan detects.
  755.           
  756.           EXAMPLES
  757.           
  758.           These examples show different option settings. In
  759.           OS/2, remember to use OS2SCAN instead of SCAN.
  760.           
  761.           scan c:
  762.           
  763.              Scan all executable files on drive C.
  764.           
  765.           scan f:
  766.           
  767.              Scan drive F, a network drive.
  768.           
  769.           scan c: /adl /adn
  770.           
  771.              Scan all local and network drives.
  772.           
  773.           scan f: g: h: /del
  774.           
  775.              Scan all files on drives F, G, and H, and delete
  776.              any infected files found.
  777.           
  778.           scan c: d: e: /av
  779.           
  780.              Scan for viruses in all files and add
  781.              validation codes to executable files on drives C,
  782.              D, and E.
  783.            SCAN Reference      Copyright 1994 McAfee Inc.          Page 16
  784.           
  785.           scan m: /report a:infectn.rpt /rptcor /rpterr
  786.  
  787.              Scan for viruses on network drive M: and
  788.              create a log file of infections, corruptions, and
  789.              errors in the file INFECTN.RPT on drive A.
  790.           
  791.           scan e:\user\jake e:\user\daisy e:\user\nick /sub
  792.           
  793.              Scan all subdirectories inside the directories
  794.              USER\JAKE, USER\DAISY, and USER\NICK on drive E.
  795.           
  796.           scan c: d: e: /fast /cv
  797.           
  798.              Quickly scan drives C, D, and E, and report any
  799.              executable files that do not have validation
  800.              codes.
  801.           
  802.           scan c:\command.com
  803.           
  804.              Scan a single file.
  805.           
  806.           
  807.           ERRORLEVELS
  808.           
  809.           This section is primarily for network
  810.           administrators and information systems staff.
  811.           
  812.           After Scan has finished running, it sets the DOS
  813.           ERRORLEVEL. You can use the ERRORLEVEL in
  814.           AUTOEXEC.BAT to take different actions based on
  815.           the results of the scan. See your DOS
  816.           documentation for more information.
  817.           
  818.           Scan returns the following DOS ERRORLEVELs:
  819.           
  820.           <<Error levels to come>>
  821.           
  822.           APPLICATION NOTE 1
  823.           
  824.           UPDATING VALIDATION CODES
  825.           
  826.           If you install any new software or programs on
  827.           your system, including a new version of DOS, and
  828.           are running Scan or VShield with the /CF
  829.           (preferred) or /CV -validation options, you need
  830.           to install validation codes for the new files with
  831.           Scan's /AF (preferred) or /AV options.
  832.           
  833.           The quickest way to update the validation codes is
  834.           to remove all validation codes from the hard disk
  835.           and then add them back. In other words, first run
  836.           Scan with the /RF or /RV option, then run it again
  837.           with the /AF or /AV option.
  838.           
  839.            SCAN Reference      Copyright 1994 McAfee Inc.          Page 17
  840.  
  841.           APPLICATION NOTE 2
  842.           
  843.           REFORMATTING INFECTED DISKETTES WITH DOS 5.0 AND
  844.           LATER
  845.           
  846.           When reformatting infected diskettes using DOS 5.0
  847.           and later versions, be sure to add the /U switch
  848.           to the FORMAT command. This tells DOS to do an
  849.           unconditional format of the diskette, without
  850.           saving the original infected boot sector. This is
  851.           necessary to erase certain infections, and will
  852.           prevent reinfection by unformatting the diskette.
  853.           
  854.           TECHNICAL NOTE 1
  855.           
  856.           CREATING AN EXCEPTION LIST FILE FOR THE /EXCLUDE
  857.           OPTION
  858.           
  859.           If you set up validation codes using Scan's /AF or
  860.           /AV options, subsequent scans using the /CF or /CV
  861.           options will detect changes in executable files.
  862.           This can generate false alarms if the executable
  863.           files are self-modifying or self-checking (most
  864.           programs that do this will tell you to turn off
  865.           your anti-virus software before running them; some
  866.           of these files are listed below). Therefore, use
  867.           the /EXCLUDE option in conjunction with /AF or /AV
  868.           to identify such files and exclude them from the
  869.           validation.
  870.           
  871.           The exception list is an ASCII or DOS text file.
  872.           If you use a word processor to create it, be sure
  873.           to save the file as ASCII or DOS Text. Each
  874.           uncommented line in the file contains the path and
  875.           file name of one file that should not be
  876.           validated. Here is an example:
  877.           
  878.           C:\CLIPPER\BIN\CLIPPER.EXE
  879.           
  880.           C:\123\123.COM
  881.           
  882.           C:\FOX\FOXPROLX.EXE
  883.           
  884.           C:\DOS\SETVER.EXE
  885.           
  886.           C:\PKWARE\PKLITE.EXE
  887.           
  888.           C:\PKWARE\PKZIP.EXE
  889.           
  890.           C:\PKWARE\PKUNZIP.EXE
  891.           
  892.           C:\SEMWARE\Q.EXE
  893.           
  894.            SCAN Reference      Copyright 1994 McAfee Inc.          Page 18
  895.           
  896.           C:\SWAPVOL.COM
  897.           
  898.           C:\WORDSTAR\WS.EXE
  899.           
  900.           CLEANING VIRUSES
  901.           
  902.           Although /CLEAN removes many viruses and restores
  903.           normal operation, viruses can be harmful and
  904.           insidious, and no anti-virus program can undo all
  905.           their damage. Usually, between 10% and 20% of all
  906.           viruses corrupt the files they infect, making them
  907.           unrecoverable. If the file is infected with an
  908.           uncommon virus that /CLEAN can't remove, Scan
  909.           notifies you and identifies the filename. Write
  910.           down this filename so that you can restore it from
  911.           a backup diskette or tape. If you use both the
  912.           /CLEAN and the /DEL options, Scan will first
  913.           attempt to repair an infected file and, if the
  914.           file is damaged beyond repair, Scan will delete
  915.           it. Deleted files are not recoverable except from
  916.           backups.
  917.           
  918.           Some viruses damage or overwrite program (.EXE)
  919.           files or overlay files. Removing the virus can
  920.           truncate the file or otherwise render it
  921.           inoperable. Others, like the common virus Stoned,
  922.           infect the master boot record (MBR). On systems
  923.           partitioned with programs other than DOS (such as
  924.           Disk Manager and SpeedStor), removing the virus
  925.           can cause loss of the master boot record (MBR) and
  926.           all data on the disk if done improperly.
  927.           
  928.           BASIC PRINCIPLES TO MINIMIZE DAMAGE
  929.           
  930.           These considerations lead to the three important
  931.           principles:
  932.           
  933.           1 Before running Scan with the /CLEAN option, back
  934.           up all of your programs and data.
  935.           
  936.           Of course, this works best if you back up
  937.           regularly, so that you can restore from a backup
  938.           made before your system was infected. But even a
  939.           backup from an infected system can be useful for
  940.           restoring data, because most viruses do not
  941.           corrupt data. If a program no longer runs after
  942.           being cleaned, replace it from the original disk
  943.           or from a virus-free backup.
  944.           
  945.           When disinfecting an infected system, it is
  946.           important to start from a "sterile field."
  947.           
  948.           2 Before running Scan with the /CLEAN option for
  949.            SCAN Reference      Copyright 1994 McAfee Inc.          Page 19
  950.  
  951.           DOS, restart your computer from a clean, write-
  952.           protected diskette.
  953.           
  954.           Before running Scan with the /CLEAN option for
  955.           OS/2, close all DOS and Win-OS/2 sessions.
  956.           
  957.           Preferably, use a clean anti-virus start-up
  958.           diskette. And, because running any program can
  959.           spread the infection:
  960.           
  961.           3 Do not run any programs, including Windows,
  962.           before running Scan /CLEAN.
  963.           
  964.           Run Scan /CLEAN from DOS instead of Windows. Exit
  965.           completely from DOS. Do not run Scan /CLEAN from
  966.           within a DOS window.
  967.           
  968.           Important: If you are at all unsure about how to
  969.           proceed once you've found a virus, contact McAfee
  970.           technical support, or your local authorized agent,
  971.           for assistance.
  972.           
  973.           We strongly recommend that you get experienced
  974.           help in dealing with viruses if you are unfamiliar
  975.           with anti-virus software and methods. This is
  976.           especially true for "critical" viruses and master
  977.           boot record (MBR)/boot sector infections, because
  978.           improper removal of these viruses can result in
  979.           the loss of all data and use of the infected
  980.           disks.
  981.           
  982.           RUNNING SCAN TO CLEAN UP INFECTIONS
  983.           
  984.           PREPARATION
  985.           
  986.           Before running Scan to clean up infections:
  987.           
  988.           1 Clear the virus from system memory and prevent
  989.           reinfection:
  990.           
  991.           * With DOS, turn off your PC, then restart from a
  992.           clean start-up diskette, preferably the anti-virus
  993.           diskette you prepared during installation.
  994.           
  995.           * With OS/2, close all DOS and Win-OS/2 sessions.
  996.           
  997.           * With an OS/2 dual-boot system infected by a boot
  998.           sector virus (like Form, or others identified by
  999.           Scan), boot (start up) OS/2 first, delete the
  1000.           BOOT.DOS file from the \OS2 directory, and then
  1001.           boot DOS to create a new, virus-free DOS boot
  1002.           sector file.
  1003.           
  1004.            SCAN Reference      Copyright 1994 McAfee Inc.          Page 20
  1005.  
  1006.           2 Run the Scan program to locate and identify the
  1007.           infections.
  1008.           
  1009.           3 Back up the files on the infected disks (be sure
  1010.           not to overwrite any previous backups).
  1011.           
  1012.           4 Repeat Step 1.
  1013.           
  1014.           5 Don't run any programs, including Windows,
  1015.           before running Scan /CLEAN. If you have Windows,
  1016.           run Scan /CLEAN from DOS.
  1017.           
  1018.           6 When disinfecting a hard disk, always run Scan
  1019.           /CLEAN from a write-protected diskette to prevent
  1020.           infection of the Scan program. When disinfecting
  1021.           diskettes, make sure there is no active virus in
  1022.           memory before running Scan from your hard disk.
  1023.           
  1024.           SUCCESSFUL AND UNSUCCESSFUL RESULTS
  1025.           
  1026.           Scan /CLEAN reports the results of its attempt to
  1027.           remove the virus from each infected file. If a
  1028.           file has several infections, it will report on
  1029.           each.
  1030.           
  1031.           If viruses were not removed, contact technical
  1032.           support
  1033.           
  1034.           If Scan can't remove a virus, you'll see a message
  1035.           like:
  1036.           
  1037.           Virus cannot be safely removed from this file.
  1038.           
  1039.           Make sure to take note of the file name, because
  1040.           you will need to restore it from backups. If you
  1041.           have any questions about how to proceed, contact
  1042.           McAfee technical support or your local authorized
  1043.           agent.
  1044.           
  1045.           If viruses were safely removed, rescan and check
  1046.           diskettes
  1047.           
  1048.           If Scan /CLEAN has successfully removed all the
  1049.           viruses, turn your computer off again and restart
  1050.           from the system disk. Scan your hard disks again
  1051.           to make sure they are virus-free. If you suspect
  1052.           that your system was infected from a diskette, run
  1053.           Scan from your hard disk to examine and disinfect
  1054.           the diskettes you use.
  1055.           
  1056.           CREATING A CUSTOM SETTINGS FILE
  1057.           
  1058.           When you run the Scan program, Scan uses its own
  1059.           internal default settings plus any options listed
  1060.           in the command line. You can create an ASCII text
  1061.           file to contain the settings you want to run with
  1062.           Scan, then load the settings using the /LOAD
  1063.           option.
  1064.           
  1065.           Your VirusScan package includes sample settings
  1066.           files that you can copy and change, using a DOS
  1067.           text editor, to suit your needs. The <<filename>>
  1068.           file contains the following text: <<sample to come>>
  1069.           
  1070.           <<end of text file>>
  1071.           
  1072.  
  1073.  
  1074.  
  1075.  
  1076.  
  1077.  
  1078.