home *** CD-ROM | disk | FTP | other *** search
/ Nautilus 1993 November / Nautilus CD Magazine Volume 3-11 November 1993 Windows Edition.mdf / compware / virus / vshield / vsh108b.doc < prev    next >
Text File  |  1993-10-07  |  47KB  |  1,157 lines

  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.  
  8.  
  9.  
  10.  
  11.  
  12.  
  13.  
  14.  
  15.  
  16.  
  17.  
  18.  
  19.  
  20.  
  21.  
  22.  
  23.  
  24.  
  25.                            VSHIELD Version 5.54B108
  26.                              VSHIELD1 Version 0.2
  27.                               CHKSHLD Version 0.4
  28.                   Copyright 1989-1993 by McAfee Associates.
  29.                               All rights reserved.
  30.  
  31.                         Documentation by Aryeh Goretsky.
  32.  
  33.  
  34.  
  35.  
  36.  
  37.  
  38.  
  39.  
  40.  
  41.  
  42.  
  43.  
  44.  
  45.  
  46.  
  47.  
  48.            McAfee Associates             (408) 988-3832 office
  49.            2710 Walsh Avenue, Suite 200  (408) 970-9727 fax
  50.            Santa Clara, CA  95051-0963   (408) 988-4004 BBS (25 lines)
  51.            U.S.A                         USR HST/v.32/v.42bis/MNP1-5
  52.                                          CompuServe        GO MCAFEE
  53.                                          Internet support@mcafee.COM
  54.                                          America OnLine       MCAFEE
  55.  
  56.  
  57.  
  58.  
  59.  
  60.  
  61.                                     TABLE OF CONTENTS
  62.  
  63.  
  64.           SYNOPSIS . . . . . . . . . . . . . . . . . . . . . . . . . . . .2
  65.            - What is VSHIELD?
  66.            - System requirements
  67.  
  68.           AUTHENTICITY . . . . . . . . . . . . . . . . . . . . . . . . . .3
  69.            - Verifying the integrity of VSHIELD 
  70.  
  71.           WHAT'S NEW . . . . . . . . . . . . . . . . . . . . . . . . . . .4
  72.            - New features and viruses added in this release
  73.  
  74.           OVERVIEW . . . . . . . . . . . . . . . . . . . . . . . . . . . .41
  75.            - A note on switches
  76.            - General description of VSHIELD
  77.  
  78.           OPERATION and OPTIONS. . . . . . . . . . . . . . . . . . . . . .7
  79.            - How to use VSHIELD, VSHIELD1, and CHKSHLD
  80.            - Detailed explanation of switches
  81.            - ERRORLEVEL's for batch file programming
  82.  
  83.           EXAMPLES . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
  84.            - Samples of frequently-used options 
  85.  
  86.           INSTALLATION . . . . . . . . . . . . . . . . . . . . . . . . . .16
  87.            - How to install VSHIELD on your system
  88.            - A note on VSHIELD and networks
  89.  
  90.           VIRUS REMOVAL. . . . . . . . . . . . . . . . . . . . . . . . . .17
  91.            - What to do if a virus is found 
  92.  
  93.           REGISTRATION . . . . . . . . . . . . . . . . . . . . . . . . . .17
  94.            - How to register VSHIELD
  95.  
  96.           TECHNICAL SUPPORT. . . . . . . . . . . . . . . . . . . . . . . .18
  97.            - Information you should have ready when calling 
  98.  
  99.           APPENDIX A . . . . . . . . . . . . . . . . . . . . . . . . . . .19
  100.            - Creating an exception list for the /CERTIFY option
  101.  
  102.           APPENDIX B . . . . . . . . . . . . . . . . . . . . . . . . . . .20
  103.            - Sample CHKSHLD program script
  104.  
  105.  
  106.                                           Page 1
  107.  
  108.  
  109.  
  110. VSHIELD Version 5.54B108                                  Page 2
  111.  
  112.  
  113.           SYNOPSIS
  114.  
  115.                VSHIELD is a virus prevention program for IBM PC and 
  116.           compatibles.  VSHIELD prevents viruses from infecting your
  117.           system.  When VSHIELD first loads it will search memory, the
  118.           master boot record (partition table), boot sector, system
  119.           files, and itself for known computer viruses before going into
  120.           memory as a Terminate-and-Stay-Resident (TSR) program.
  121.  
  122.                VSHIELD checks for viruses by scanning programs as they
  123.           are run for virus signatures and/or validation codes added by
  124.           VIRUSCAN.  Infected programs are prevented from running and a
  125.           a warning message is displayed by VSHIELD.  VSHIELD also stops
  126.           soft boots from disks infected by boot-sector viruses.
  127.  
  128.                VSHIELD optionally checks validation codes added by SCAN
  129.           to check if a file has been altered or modified.  This can be
  130.           used to detect unknown (new) viruses.
  131.  
  132.                VSHIELD optionally check for viruses as files are copied
  133.           or accessed.
  134.  
  135.                VSHIELD optionally provides access control functions to
  136.           reduce the risk of virus infection from unauthorized software.
  137.  
  138.                Two discrete programs are available.  The first,
  139.           VSHIELD.EXE, checks for viruses using virus signatures and
  140.           validation codes added by SCAN.  The second, VSHIELD1.EXE,
  141.           only checks validation codes added by SCAN.  Both programs
  142.           monitor all program loads from all disks unless otherwise
  143.           specified.
  144.  
  145.                The VSHINST program installs an icon for VSHIELD under
  146.           Windows 3.x.  This icon can be used to toggle VSHIELD on and
  147.           off.
  148.  
  149.                The VSHWIN program allows VSHIELD to display messages
  150.           while Windows 3.x is running.
  151.  
  152.                The CHKSHLD program checks for VSHIELD in memory for use
  153.           in network login scripts.
  154.  
  155.                VSHIELD will run on any PC with 256Kb and DOS 2.10 or
  156.           above.  VSHIELD1 uses 6Kb of memory.  VSHIELD uses 46Kb of
  157.           conventional memory if loaded normally, 25Kb of conventional
  158.           memory if EMS is present, 5Kb of conventional memory if
  159.           swapped-to-disk, and 1.5Kb of conventional memory if loaded
  160.           into upper memory.
  161.  
  162.  
  163.  
  164.  
  165. VSHIELD Version 5.54B108                                  Page 3
  166.  
  167.  
  168.           AUTHENTICITY
  169.  
  170.                VSHIELD is packaged with VALIDATE, a program to ensure
  171.           the integrity of the executable program files.  The
  172.           VALIDATE.DOC file describes how to use VALIDATE.
  173.  
  174.                The validation results for the VSHIELD 5.54B108
  175.           should be:
  176.  
  177.           FILENAME:     SIZE:      DATE         CHECK METHOD:
  178.  
  179.           CHKSHLD.EXE   S:8,171    D:08-17-93   M1: 7B3C  M2: 1B48
  180.           VALIDATE.COM  S:12,197   D:03-24-92   M1: D5BB  M2: 166F
  181.           VSHIELD.EXE   S:52,113   D:10-07-93   M1: 4547  M2: 120D
  182.           VSHIELD1.EXE  S:18,833   D:06-24-93   M1: F414  M2: 13F5
  183.           VSHINST.EXE   S:9,780    D:08-11-93   M1: 44A6  M2: 1D0F
  184.           VSHWIN.EXE    S:15,927   D:08-17-93   M1: 874E  M2: 0CB1
  185.  
  186.           If your copy of VSHIELD differs, it may have options stored to
  187.           it with the /SAVE switch or been damaged by a virus.  Run
  188.           VSHIELD with just the /SAVE switch to remove any stored options
  189.           and then re-run VALIDATE.  Always obtain VSHIELD from a trusted
  190.           source such as the McAfee BBS, CompuServe, or your local McAfee
  191.           Agent. The latest version of VSHIELD and validation codes can
  192.           always be found on our BBS at +1 (408) 988-4004.
  193.  
  194.  
  195.           PKZIP AUTHENTICATION VERIFICATION
  196.  
  197.  
  198.                All of McAfee Associates' programs are archived with
  199.           Version 1.10 of PKWare's PKZIP Authentic File Verification.
  200.           When unzipped with Version 1.10 of PKWare's PKUNZIP program,
  201.           an "-AV" will be displayed after each file is unzipped and an
  202.           "Authentic Files Verified! # NWN405  Zip Source: McAFEE
  203.           ASSOCIATES" will appear once all files are unzipped.
  204.  
  205.           NOTE:  If you do not receive the Authentic File Verification
  206.                  messages, you may be using a different version of
  207.                  PKUNZIP, such as V1.93α or V2.04.  Use PKUNZIP Version
  208.                  1.10 to unzip files if you wish to have Authenticity
  209.                  Verification displayed as files are unzipped.
  210.  
  211.  
  212.  
  213.  
  214.  
  215.  
  216.  
  217.  
  218.  
  219.  
  220. VSHIELD Version 5.54B108                                  Page 4
  221.  
  222.  
  223.           WHAT'S NEW
  224.  
  225.                Version 5.54B108 ("108-B") of VSHIELD was released
  226.           to fix the following problems:
  227.  
  228.           o     VSHIELD displaying a "This program requires
  229.                 Microsoft Windows" message when the /SWAP and
  230.                 /WINDOWS switches are used together.
  231.  
  232.           o     VSHIELD /ACCESS, /BOOT, or /COPY exiting Windows
  233.                 when a virus was found.
  234.  
  235.           o     VSHIELD failing to load if more than 768 bytes
  236.                 of system environment space is used.
  237.  
  238.           o     VSHIELD /CF {filename} falsely reporting that
  239.                 files have been modified when run with QEMM by
  240.                 Quarterdeck.
  241.  
  242.  
  243.           WHAT'S RECENT
  244.  
  245.                Two new options have been added in Version 108 of
  246.           VSHIELD, the /BOOT and /NOFLOPPY options.  The first
  247.           switch, /BOOT, tells VSHIELD to check the boot sector
  248.           of floppy disks whenever a diskette is accessed.  The
  249.           second, /NOFLOPPY, disables the boot sector checking of
  250.           floppy disks, and should only be used when VSHIELD is
  251.           run with the /ACCESS switch in an OS/2 Virtual DOS Machine
  252.           (VDM) session to prevent a problem displaying directories.
  253.  
  254.           For more information on viruses added in this release,
  255.           please refer to the VIRUSCAN documentation, the accompanying
  256.           VIRLIST.TXT file, or Patricia Hoffman's Hypertext VSUM.
  257.  
  258.  
  259.  
  260.  
  261.  
  262.  
  263.  
  264.  
  265.  
  266.  
  267.  
  268.  
  269.  
  270.  
  271.  
  272.  
  273.  
  274.  
  275. VSHIELD Version 5.54B108                                  Page 5
  276.  
  277.  
  278.           OVERVIEW
  279.  
  280.                VSHIELD is a memory-resident program that prevents virus
  281.           infection.  VSHIELD does this by checking programs as they are
  282.           loaded by the computer.  VSHIELD will not allow a file to run if
  283.           a virus is found, a program does not match its validation code,
  284.           or a file is not on the /CERTIFY list--this prevents the virus
  285.           from entering your system.  VSHIELD also checks for boot
  286.           sector viruses during reboots and optionally checks for viruses
  287.           during copy operations or whenever a disk is accessed.
  288.  
  289.                When VSHIELD is run from the AUTOEXEC.BAT, it is installed
  290.           each time the system is turned on or rebooted.  VSHIELD checks
  291.           memory, the partition table, boot sector, system files, and
  292.           itself for viruses prior to installation as a Terminate-and-
  293.           Stay-Resident (TSR) program.  It monitors all program loads
  294.           for viruses.
  295.  
  296.                When a system is booted from an infected disk, VSHIELD will
  297.           detect the virus the next time VSHIELD runs since VSHIELD must
  298.           be in memory to detect the virus.
  299.  
  300.           VSHIELD has four user-selectable levels of protection:
  301.  
  302.           -    Level I protection, provided by VSHIELD1, checks validation
  303.                codes added by VIRUSCAN's /AV or /AG switches [see
  304.                VIRUSCAN's documentation for more information].  Programs
  305.                failing the validation check will not be allowed to run.
  306.                VSHIELD1 also checks the partition table and boot sector
  307.                validation codes, if present.  Level I provides minimal
  308.                protection only and is not recommended for normal use,
  309.                VSHIELD is recommended instead.
  310.  
  311.           -    Level II protection, provided by VSHIELD, checks programs
  312.                for virus signatures, the pattern of code unique to each
  313.                virus. If a virus is found, VSHIELD will not allow the
  314.                program to run.  VSHIELD will also prevent reboots from
  315.                disks infected with a boot sector viruses.
  316.  
  317.           -    Level III protection, provided by VSHIELD /CF {filename} or
  318.                /CV, incorporates both Level I and Level II protection.
  319.  
  320.           -    Level IV protection, provided by VSHIELD /CERTIFY,
  321.                incorporates Level III protection with access control,
  322.                specifying which programs can be run.
  323.  
  324.  
  325.  
  326.  
  327.  
  328.  
  329.  
  330. VSHIELD Version 5.54B108                                  Page 6
  331.  
  332.  
  333.           Each level of protection has its advantages and disadvantages. 
  334.  
  335.                VSHIELD1 (Level I) requires the least system overhead,
  336.           using 6Kb of memory.  It provides only minimal protection.
  337.  
  338.                VSHIELD (Levels 2-4) requires as much as 46Kb of
  339.           conventional memory, this can be reduced to 25Kb by loading
  340.           VSHIELD into EMS, or 1.5Kb by loading into upper memory.
  341.  
  342.                VSHIELD1 will add an average of one second to each program
  343.           load.
  344.  
  345.                VSHIELD adds an average of one second to program loads and
  346.           six seconds to reboots.  Using the /SWAP option adds an
  347.           additional second since VSHIELD must re-load itself from disk
  348.           prior to checking another file.
  349.  
  350.                VSHIELD will not degrade the performance of the system once
  351.           programs have been loaded, except for programs which load other
  352.           programs when the /ACCESS or /COPY options are being used.
  353.  
  354.           NOTE:  VSHIELD and VSHIELD1 should not be used simultaneously.  
  355.                  Either one or the other should be used, but not both.
  356.  
  357.                CHKSHLD is run to see if VSHIELD is in memory.  CHKSHLD can
  358.           look for the presence of any version of VSHIELD, or a specific
  359.           version (a feature that can be used to update a workstation from
  360.           its file server).
  361.  
  362.  
  363.           INTERNET ACCESS TO McAFEE ASSOCIATES SOFTWARE
  364.  
  365.                The latest versions of McAfee Associates' anti-viral
  366.           software is now available by anonymous ftp (file transfer
  367.           protocol) over the Internet from the site mcafee.COM.  If
  368.           your domain resolver does not support names, use the IP#
  369.           192.187.128.1.  Enter "anonymous" for your user I.D. and
  370.           your own email address for the password.  Programs are
  371.           located in the pub/antivirus directory.  If you have any
  372.           questions, please send email to support@mcafee.COM
  373.  
  374.                 McAfee Associates' anti-viral software may also be
  375.           found at the Oak.Oakland.EDU anonymous ftp archive site
  376.           in the pub\msdos\virus directory and its associated
  377.           mirror sites WUARCHIVE.WUSTL.EDU (US), NIC.SWITCH.CH (Swiss),
  378.           NIC.FUNET.FI (Finland), SRC.DOC.IC.AC (UK), and
  379.           ARCHIE.AU (Australia).
  380.  
  381.           NOTE:  The SIMTEL20 site, WSMR-SIMTEL20.ARMY.MIL was
  382.                  shutdown on September 30, 1993 and is no longer
  383.                  available.  Use the Oak.Oakland.EDU site instead.
  384.  
  385. VSHIELD Version 5.54B108                                  Page 7
  386.  
  387.  
  388.           OPERATION and OPTIONS
  389.  
  390.  
  391.           IMPORTANT NOTE:  CREATE A BACKUP DISK BY COPYING VSHIELD TO A
  392.                            BLANK FLOPPY AND WRITE-PROTECT IT 
  393.  
  394.                To provide optimal protection against viruses VSHIELD (or
  395.           VSHIELD1) should normally be placed at the end of the
  396.           AUTOEXEC.BAT.  However, if a menu program is run from the
  397.           AUTOEXEC.BAT, VSHIELD should be loaded before it.  Popular
  398.           menu programs include MS-DOS's DOSSHELL, etc.
  399.  
  400.                Loading disk cache or network driver programs after
  401.           VSHIELD may disable it.  To prevent this from happening, re-run
  402.           VSHIELD with the /RECONNECT switch.
  403.  
  404.                CHKSHLD should be run from the network login script.  An
  405.           ERRORLEVEL is returned if VSHIELD is in memory.  This can be
  406.           used for creating scripts to check and update VSHIELD.
  407.  
  408.  
  409.           A NOTE ON VSHIELD'S SWITCHES
  410.  
  411.                VSHIELD is designed to provide a high degree of protection
  412.           even when none of the switches below are used.  Placing VSHIELD
  413.           in the AUTOEXEC.BAT file with no options provides sufficient
  414.           protection for virtually all environments.  If available memory
  415.           is at a premium, the /LH (Load High) or /SWAP (Swap-to-Disk)
  416.           options can be used to minimize memory usage.
  417.  
  418.                Other options should be used only if required due to non-
  419.           standard systems or special security needs.  VSHIELD provides
  420.           many options for flexibility in meeting the needs of corporate,
  421.           network, and secure environments but trade-offs in system
  422.           overhead and user restrictions must be carefully evaluated.
  423.  
  424.           EMS USAGE
  425.  
  426.                VSHIELD offers support for the Lotus-Intel-Microsoft
  427.           Expanded Memory Specification (LIM-EMS) version 3.2.  If
  428.           expanded memory is present, VSHIELD will automatically make
  429.           use of it to store data in.  This will reduce the amount of
  430.           conventional memory or upper memory used to 25Kb, with the
  431.           remainder of the program going into EMS.  EMS usage can be
  432.           disabled by running VSHIELD with the /NOEMS switch.  The
  433.           /SWAP and /CF {filename} cannot be used with EMS memory.
  434.  
  435.  
  436.  
  437.  
  438.  
  439.  
  440. VSHIELD Version 5.54B108                                  Page 8
  441.  
  442.  
  443.                Valid options for VSHIELD are listed below:
  444.  
  445.           VSHIELD {options}
  446.  
  447.           Options are:
  448.  
  449.           /ACCESS              - Check for virus when files are opened
  450.           /BOOT                - Check floppy boot sector when accessed
  451.           /CERTIFY {filename}  - Enable access control ({filename} is an
  452.                                  optional exception list)
  453.           /CF {filename}       - Check for viruses using recovery & validation
  454.                                  data stored in {filename}
  455.           /CHKHI               - Check memory from 0-1088Kb for viruses
  456.           /CONTACT {message}   - Display {message} when virus is found
  457.           /COPY                - Check for viruses during COPY operations
  458.           /CV                  - Check validation codes added by VIRUSCAN
  459.           /IGNORE {drive(s)}   - Ignore program loads from specified drive(s)
  460.           /LH                  - Load VSHIELD into upper memory blocks
  461.           /LOCK                - Halt system when a virus is found
  462.           /M                   - Scan memory for all viruses during install
  463.                                  (see restrictions below)
  464.           /NB                  - Disable boot sector check during install
  465.                                  and reboot
  466.           /NI6510              - Fixes Racal Datacomm NI6510 conflict
  467.           /NOBREAK             - Disable Ctrl-C / Ctrl-Brk during install
  468.           /NOCONT              - Prevent running of non-certified programs
  469.           /NODISK              - Disable boot sector check during install
  470.                                  only
  471.           /NOFLOPPY            - Disable boot sector check of floppy drives
  472.           /NOEMS               - Disable LIM-EMS 3.2 memory support
  473.           /NOMEM               - Skip memory checking
  474.           /NOREMOVE            - Disable /REMOVE switch
  475.           /ONLY {drive(s)}     - Check program loads from specified drive{s}
  476.           /RECONNECT           - Re-link system interrupts after network
  477.                                  drivers are loaded
  478.           /REMOVE              - Unload VSHIELD from memory
  479.           /SAVE                - Save specified switches as new defaults
  480.           /SWAP {pathname}     - Load kernel (5Kb) only; swap rest to disk
  481.           /F {pathname}        - Use with /SWAP for DOS 2.1 systems ONLY
  482.           /WINDOWS {pathname}  - Install VSHWIN Windows compatibility module
  483.  
  484.  
  485.  
  486.  
  487.  
  488.  
  489.  
  490.  
  491.  
  492.  
  493.  
  494.  
  495. VSHIELD Version 5.54B108                                  Page 9
  496.  
  497.  
  498.                The /ACCESS option tells VSHIELD to check for viruses
  499.           whenever a program is opened, such as during DOS operations
  500.           (ATTRIB, COPY, DIR, REN, and so forth) and file manipulation
  501.           by menu, shell, and utility programs.  This option is
  502.           intended for high risk environments such as open-use computer
  503.           labs, help desks, and software developers.  It will slow down
  504.           any program file accesses by approximately 15-20%, as such it
  505.           is not recommended for use with the /CF, /CV, or /CG options
  506.           for performance reasons.  This option will not work with the
  507.           /BOOT, /COPY, or /SWAP options.
  508.  
  509.           NOTE:  /ACCESS must be used in place of /COPY for checking
  510.                  COPY operations with 4DOS or the Windows File Manager.
  511.  
  512.                The /BOOT option tells VSHIELD to check the boot sector
  513.           of floppy disks whenever they are accessed.  This options does
  514.           not work from within Windows File Manager.  For virus checking
  515.           within Windows, use the /ACCESS switch instead.  This switch
  516.           does not work with the /ACCESS, /COPY, or /SWAP options.
  517.  
  518.                The /CERTIFY option prevents files without validation codes
  519.           added by VIRUSCAN from being run.  For this option to work, the
  520.           /CF {filename}, /CG, or /CV switches must be used.  This option
  521.           is primarily for system administrators to prevent users from
  522.           running programs that could introduce a virus.  An exception list
  523.           of "trusted" files can be created to allow use of programs that do
  524.           not work correctly with validation codes  attached.  For
  525.           instructions on creating an exception list, refer to Appendix A.
  526.  
  527.           NOTE:  Running /CERTIFY without an exception list or validation
  528.                  codes will prevent all programs except for DOS internal
  529.                  commands from running.
  530.  
  531.               The /CF option checks recovery and validation data stored
  532.           by VIRUSCAN's /AF option.  If a file or system area has changed,
  533.           VSHIELD will report that a viral infection may have occurred.  The
  534.           syntax is /CF {filename}, where {filename} is the name of the
  535.           recovery and validation data file created by VIRUSCAN.  The /CF
  536.           switch cannot be used with EMS memory and must be used with the
  537.           /NOEMS switch.
  538.  
  539.                The /CG option checks recovery and validation data stored
  540.           by VIRUSCAN's /AG option.  If a file or system area has changed,
  541.           VSHIELD will report that a viral infection may have occurred.
  542.  
  543.                The /CHKHI option checks memory above 640Kb on 286/386/486
  544.           systems for viruses.  This covers the Upper Memory Area from
  545.           640 - 1024K, and the High Memory Area from 1024 - 1088K.  This
  546.           option cannot be used with the /NOMEM option.
  547.  
  548.  
  549.  
  550. VSHIELD Version 5.54B108                                  Page 10
  551.  
  552.  
  553.                The /CONTACT option is used to display a custom message
  554.           when a virus is found.  The message can be up to 50 characters
  555.           long and contain any character except for a backslash "\".
  556.           Messages starting with a hyphen "-" or slash "/" must be placed
  557.           into quotation marks.
  558.  
  559.                The /COPY option checks files for viruses during COPY
  560.           operations and checks the floppy drives for boot sector viruses
  561.           during COPY and DIR operations.  The /COPY option does not work
  562.           with 4DOS or the Windows File Manager; to check COPY operations
  563.           done by them use the /ACCESS option instead.  This option
  564.           cannot be used with the /ACCESS, /BOOT, or /SWAP options.
  565.  
  566.                The /CV option checks validation codes added by SCAN to
  567.           .COM and .EXE files.  If a file has changed it will no longer
  568.           match its validation code and VSHIELD will report the file has
  569.           been modified and a viral infection may have occurred.  For
  570.           instructions on adding validation codes, refer to VIRUSCAN's
  571.           documentation. 
  572.  
  573.                The /F option is required for using /SWAP under DOS 2.0.
  574.           The /F option tells VSHIELD what path to swap from.  The
  575.           complete path must be specified after the /F.
  576.  
  577.                The /IGNORE option tells VSHIELD to ignore program loads
  578.           from specified drives.  Ignored drives will NOT be checked for
  579.           viruses.  Up to 26 drives may be ignored.  /IGNORE is designed
  580.           for use with LAN's that have virus protection and is not
  581.           recommended for PC's or networks with no anti-viral software.
  582.  
  583.                The /LH option loads VSHIELD into upper memory.  For /LH to
  584.           work, an expanded memory manager such as Microsoft's EMM386,
  585.           Quarterdeck's QEMM, Helix' NetRoom, or Qualitas' 386^MAX should
  586.           be used.  This option cannot be used with /SWAP.
  587.  
  588.                The /LOCK option halts the system if a virus is found so
  589.           that infection cannot occur.  It is recommend that the /CONTACT
  590.           switch be used to tell the user what to do when the system
  591.           halts.
  592.  
  593.                The /M option checks base memory for all known memory-
  594.           resident viruses before VSHIELD installs in memory.  By default,
  595.           VSHIELD only checks memory for critical (stealth) viruses.  If a
  596.           critical virus is found during installation, VSHIELD will stop
  597.           and advise the user to turn off the PC, boot from a clean
  598.           (virus-free) DOS system disk and scan the system for viruses.
  599.           For a listing of critical viruses, please refer to the VIRUSCAN
  600.           documentation.  This option cannot be used with the /NOMEM
  601.           option.
  602.  
  603.  
  604.  
  605. VSHIELD Version 5.54B108                                  Page 11
  606.  
  607.  
  608.                The /NB option tells VSHIELD to skip the partition table
  609.           and boot sector check during installation and reboots.  This
  610.           option can be used to load VSHIELD from a network server.
  611.  
  612.                The /NI6510 option prevents a conflict between VSHIELD
  613.           Racal-Datacomm NI6510 network interface cards: when a PC was
  614.           rebooted, a stream of corrupted packets would be sent across the
  615.           network.  The problem and solution is specific the NI6510 and
  616.           does not apply to any other product.
  617.  
  618.                The /NOBREAK option prevents Ctrl-C and Ctrl-Brk from
  619.           stopping VSHIELD during the installation process.
  620.  
  621.                The /NOCONT option prevents the user from proceeding after
  622.           the "Proceed Anyway? Y/N" message when running non-certified
  623.           programs.
  624.  
  625.                The /NODISK option disables the boot sector and partition
  626.           table check during installation.  This option can be used to
  627.           load VSHIELD from a network server.
  628.  
  629.                The /NOFLOPPY option disables checking the boot sector
  630.           of floppy disks from the A: and B: drives.
  631.  
  632.                The /NOEMS option prevents VSHIELD from using expanded
  633.           memory.  It must be used with the /CF and /SWAP switches.
  634.  
  635.                The /NOMEM option skips the memory check for viruses during
  636.           installation.  It should only be used when a PC is known to be
  637.           virus-free.  This option cannot be used with the /CHKHI or /M
  638.           options.
  639.  
  640.                The /NOREMOVE option prevents VSHIELD from being unloaded
  641.           with the /REMOVE option.  This option cannot be used with the
  642.           /REMOVE option.
  643.  
  644.                The /ONLY option tells VSHIELD to check program loads only
  645.           from the specified drives.  All other drives will be ignored.
  646.           This option cannot be used with the /IGNORE option.
  647.  
  648.                The /RECONNECT option is used to restore VSHIELD's link
  649.           into DOS after another program has disabled it, such as a
  650.           network driver or disk cache.  This eliminates the need to
  651.           continually load and unload VSHIELD when logging on to a
  652.           network.
  653.  
  654.                The /REMOVE option unloads VSHIELD from memory.  If other
  655.           memory resident programs are loaded after VSHIELD, then VSHIELD
  656.           cannot be unloaded.  This option can be disabled by installing
  657.           VSHIELD with the /NOREMOVE option.
  658.  
  659.  
  660. VSHIELD Version 5.54B108                                  Page 12
  661.  
  662.  
  663.                The /SAVE option is used to store VSHIELD options for
  664.           subsequent executions of VSHIELD.  Options are stored by
  665.           modifying the VSHIELD.EXE executable file.  For example:
  666.  
  667.                VSHIELD /LH /M /NOBREAK /SAVE
  668.  
  669.           will set the VSHIELD defaults to /LH, /M, and /NOBREAK.  If
  670.           VSHIELD is run with just the /SAVE switch, then all options are
  671.           removed and VSHIELD executes with its original default settings.
  672.  
  673.                The /SWAP option tells VSHIELD to install a small (3Kb)
  674.           kernel in memory and load itself on demand.  If a path is
  675.           specified after /SWAP, VSHIELD will swap from that path instead
  676.           of the path from which it is being executed.  The /SWAP option
  677.           cannot be used with the /COPY or /ACCESS options.  The /NOEMS
  678.           switch must be used if /SWAP is used.
  679.  
  680.           NOTE:  The /SWAP parameter should only be used if limited
  681.                  amounts of memory are available for programs.  It is
  682.                  recommended that VSHIELD be used without the /SWAP
  683.                  option whenever memory permits for performance reasons.
  684.  
  685.                The /WINDOWS option allows VSHIELD to display messages
  686.           under Windows 3.X in a Windows dialogue box.  It accomplishes
  687.           this by copying VSHWIN.EXE file into the Windows directory and
  688.           modifying the WIN.INI file to run it when Windows is started.
  689.           By default, VSHIELD searches for a directory named \WINDOWS on
  690.           the currently-logged drive.  If Windows is not on the current
  691.           drive, then a {pathname} may be specified telling VSHIELD where
  692.           to install VSHWIN.EXE (and WIN.INI).
  693.  
  694.           NOTE:  This option now installs the Windows display program
  695.                  and needs to be run once.
  696.  
  697.           NOTE:  For the VSHWIN program to display messages under
  698.                  Windows, VSHIELD must be run with the /ACCESS switch.
  699.  
  700.  
  701.           ERROR LEVELS 
  702.  
  703.                 After VSHIELD has installed itself in memory, it will set
  704.           the DOS ERRORLEVEL.  ERRORLEVEL's are used in batch files to
  705.           pass along the results of a programs's actions.  The
  706.           ERRORLEVEL's returned by VSHIELD are:
  707.  
  708.                ERRORLEVEL │ DESCRIPTION
  709.                ═══════════╪═══════════════════════════════════════════════
  710.                    0      │ No viruses found
  711.                    1      │ One or more viruses found
  712.                    2      │ Abnormal termination (program error)
  713.  
  714.  
  715. VSHIELD Version 5.54B108                                  Page 13
  716.  
  717.  
  718.           VSHIELD1
  719.  
  720.  
  721.                Valid options for VSHIELD1 are listed below:
  722.  
  723.           VSHIELD1 /NB /REMOVE
  724.  
  725.           Options are:
  726.  
  727.                     /NB - Disable boot sector checking during install
  728.                           and reboot.
  729.                 /REMOVE - Unload VSHIELD1 from memory
  730.  
  731.  
  732.                The /NB option tells VSHIELD1 to skip the partition table
  733.           and boot sector check during installation and reboots.
  734.  
  735.                The /REMOVE option unloads VSHIELD1 from memory.  If other
  736.           memory resident programs are loaded after VSHIELD1, then
  737.           VSHIELD1 cannot be unloaded.
  738.  
  739.  
  740.           VSHINST
  741.  
  742.                VSHINST allows VSHIELD to display a status icon on
  743.           the Windows Desktop which can be used to toggle VSHIELD on
  744.           and off.  To run VSHINST, choose the Run command from the
  745.           Windows File Manager and enter the full path name of VSHINST.
  746.  
  747.                The VSHINST program creates a Group named MCAFEE in
  748.           the Windows directory and then adds an icon for VSHIELD to
  749.           the group.
  750.  
  751.                For VSHINST to be installed and work correctly the
  752.           Windows Program Manager must be the default shell; VSHWIN
  753.           has been installed with the VSHIELD /WINDOWS; and Windows
  754.           must be running in protected mode.
  755.  
  756.  
  757.  
  758.  
  759.  
  760.  
  761.  
  762.  
  763.  
  764.  
  765.  
  766.  
  767.  
  768.  
  769.  
  770. VSHIELD Version 5.54B108                                  Page 14
  771.  
  772.  
  773.                Valid options for CHKSHLD are listed below:
  774.  
  775.           CHKSHLD /DEBUG /Q /V "xxxxx" /? /H /HELP
  776.  
  777.           Options are:
  778.  
  779.                   /DEBUG - Display version and ERRORLEVEL
  780.                       /Q - Quiet mode (no messages displayed)
  781.               /V "xxxxx" - Check for version "xxxxx" of VSHIELD in memory
  782.              /? /H /HELP - Display help screen
  783.  
  784.                The /DEBUG option displays the version of VSHIELD resident
  785.           in memory and the DOS ERRORLEVEL on the screen.
  786.  
  787.                The /Q option stops CHKSHLD from displaying any messages.
  788.  
  789.                The /V option tells CHKSHLD to look for a specific version
  790.           of VSHIELD in memory.  For example, "5.4 V104" for
  791.           VSHIELD 5.4 V104.
  792.  
  793.           NOTE:  Double quotes must be used if a space appears between
  794.                  the release and version numbers.
  795.  
  796.                The /?, /H, and /HELP options display a help screen.
  797.  
  798.  
  799.           CHKSHLD's ERRORLEVELS
  800.  
  801.                CHKSHLD sets the DOS ERRORLEVEL to the following values:
  802.  
  803.                ERRORLEVEL │ DESCRIPTION
  804.                ═══════════╪═══════════════════════════════════════════════
  805.                    0      │ VSHIELD is resident, or if /V is used, the
  806.                           │      version specified is resident in memory.
  807.                    1      │ VSHIELD is resident  but does not match /V
  808.                    2      │ VSHIELD is NOT resident in memory
  809.                    3      │ Abnormal termination (program error)
  810.  
  811.  
  812.           OPERATION
  813.  
  814.                CHKSHLD allows network administrators to check workstations
  815.           for VSHIELD before allowing them to log on to a network.
  816.           CHKSHLD is not recommended for home or non-network users.
  817.                A sample login script for Novell NetWare is included in
  818.           Appendix B.
  819.  
  820.  
  821.  
  822.  
  823.  
  824.  
  825. VSHIELD Version 5.54B108                                  Page 15
  826.  
  827.  
  828.           EXAMPLES
  829.  
  830.                The following examples show different option settings:
  831.  
  832.                VSHIELD
  833.                     Installs VSHIELD (Level II protection)
  834.  
  835.                VSHIELD /CV 
  836.                     Installs VSHIELD (Level III protection)
  837.  
  838.                VSHIELD /CERTIFY EXCPTN.LST
  839.                     Installs VSHIELD (Level IV protection) with an
  840.                     exception list named EXCPTN.LST.
  841.  
  842.                VSHIELD /SWAP
  843.                     Installs VSHIELD kernel in memory and swaps from
  844.                     root directory of disk with DOS 3.0 and above.
  845.  
  846.                VSHIELD /SWAP /F C:\
  847.                     Installs VSHIELD kernel resident and swaps from
  848.                     root directory of disk with DOS 2.0 system.
  849.  
  850.                VSHIELD /CV /CONTACT "Please Contact the PC Help Desk"
  851.                     Installs VSHIELD (Level III protection) and
  852.                     display a message if virus is found.
  853.  
  854.                VSHIELD /M /CHKHI /CV /LH
  855.                     Installs VSHIELD (Level III protection) checking for
  856.                     all memory resident viruses in base and high memory
  857.                     prior to install, load VSHIELD high
  858.  
  859.                VSHIELD /RECONNECT
  860.                     Re-enable VSHIELD after it has been disconnected by
  861.                     network device drivers.
  862.  
  863.                VSHIELD /CF C:\MCAFEE\SCANCRC.CRC
  864.                     Install VSHIELD  with Level III protection checking
  865.                     recovery & validation data file created by VIRUSCAN's
  866.                     /AF option.
  867.  
  868.                VSHIELD /WINDOWS D:\WINDOWS
  869.                     Installs VSHIELD's VSHWIN.EXE display driver in Windows
  870.                     directory on drive D:.
  871.  
  872.                CHKSHLD /V "5.50 V107" /Q
  873.                     Checks for VSHIELD 5.50 V107 in memory, no messages
  874.                     displayed.
  875.  
  876.  
  877.  
  878.  
  879.  
  880. VSHIELD Version 5.54B108                                  Page 16
  881.  
  882.  
  883.           INSTALLATION
  884.  
  885.                For optimum protection, place VSHIELD as the last line in
  886.           your AUTOEXEC.BAT file.  If you are using a menu program, place
  887.           VSHIELD before it in the AUTOEXEC.BAT.
  888.  
  889.  
  890.           A NOTE ON VSHIELD AND NETWORKS
  891.  
  892.                If network drivers are loaded after VSHIELD, VSHIELD
  893.           *MUST* be run again with the /RECONNECT option AFTER the network
  894.           drivers are loaded.  This is because network drivers replace the
  895.           normal DOS system interrupts so VSHIELD no longer recognizes
  896.           program loads.
  897.  
  898.                It is recommended that VSHIELD be used in non-swap mode if 
  899.           free memory permits.  Use of the /SWAP option will slow down the
  900.           system and may cause conflicts with programs that fail to
  901.           allocate memory properly from the system.  If conflicts occur,
  902.           remove the /SWAP option and reboot the system.  If there is not
  903.           enough memory to load VSHIELD in non-swap mode, then VSHIELD1
  904.           should be used instead.
  905.  
  906.                Networks other than Microsoft LAN Manager with workstations
  907.           running Windows 3.0 and printing to an HPLJ II (or compatible)
  908.           printer over the network occasionally have problems with random
  909.           blocks of memory being sent to the printer when VSHIELD is
  910.           installed.  This is because other network operating systems may
  911.           not redirect the printer correctly.  This can be fixed by
  912.           changing all occurrences of the text "LPT1:" to "LPT1.PRN:"
  913.           while leaving the "LPT1.OS2:" text alone in WIN.INI or upgrading
  914.           to Windows 3.1.
  915.  
  916.                If VSHIELD is to be run from a network drive, it should be
  917.           flagged as EXECUTE ONLY, READ ONLY, and SHAREABLE.  If the PC is
  918.           booted from a local drive, the /NODISK option should be used.
  919.           If the PC is booted from a boot ROM on a NIC, the /NB switch
  920.           should be used.
  921.  
  922.  
  923.  
  924.  
  925.  
  926.  
  927.  
  928.  
  929.  
  930.  
  931.  
  932.  
  933.  
  934.  
  935.  
  936. VSHIELD Version 5.54B108                                  Page 17
  937.  
  938.  
  939.           VIRUS REMOVAL
  940.  
  941.                What do you do if a virus is found?  You can contact McAfee
  942.           Associates for help by BBS, FAX, telephone, Internet, or
  943.           CompuServe.  There is no charge for support calls to McAfee
  944.           Associates.
  945.                The CLEAN-UP universal virus disinfection program can
  946.           disinfect virtually all reported computer viruses.  It is
  947.           updated with each release of the SCAN program to remove new
  948.           viruses.  CLEAN-UP can be downloaded from McAfee Associates'
  949.           BBS, the mcafee.COM site on the Internet, the McAfee Virus
  950.           Help Forum on CompuServe, or from any of the agents listed in
  951.           the enclosed AGENTS.TXT file.
  952.                It is strongly recommended that you get experienced help in
  953.           dealing with viruses if you are unfamiliar with anti-virus
  954.           software and methods.  This is especially true for 'critical'
  955.           viruses and partition table/boot sector infecting viruses as
  956.           improper removal of these viruses can result in the loss of all
  957.           data and use of the infected disk(s).  [For a listing of critical
  958.           viruses, please refer to the VIRUSCAN documentation.]
  959.                For qualified assistance in removing a virus, please
  960.           contact McAfee Associates directly or any of the Authorized
  961.           McAfee Associates Agents in your area.  Agents may charge McAfee
  962.           Associates normal support rates for their services.
  963.                If you wish to remove a file-infecting virus manually, you
  964.           can run SCAN with the /A and /D switches to erase all infected
  965.           files.
  966.                Before removing a boot sector and partition table-infecting
  967.           virus, it is recommended that you cold boot the infected PC from
  968.           a clean DOS disk and backup any critical data.
  969.  
  970.  
  971.           REGISTRATION
  972.  
  973.                A registration fee of US$25.00 is required for the use of
  974.           VSHIELD by individual home users.  Registration entitles the
  975.           holder to unlimited free upgrades from McAfee Associates' BBS
  976.           or the Computer Virus Help Forum on CompuServe and technical
  977.           support for one year.  When registering, a disk containing the
  978.           latest version may be requested for an additional US$9.00
  979.           Only one diskette mailing will be made.
  980.                Registration is for home users only and does not apply to
  981.           businesses, corporations, organizations, government agencies, or
  982.           schools, who must obtain a license for use.  Contact McAfee
  983.           Associates directly or an Authorized Agent for information on
  984.           licensing.
  985.  
  986.  
  987.  
  988.  
  989.  
  990.  
  991. VSHIELD Version 5.54B108                                  Page 18
  992.  
  993.  
  994.           TECHNICAL SUPPORT
  995.  
  996.                For fast and accurate help, please have the following
  997.           information ready when you contact McAfee Associates:
  998.  
  999.                ·    Program name and version number.
  1000.  
  1001.                ·    Type and brand of computer, hard disk, plus any
  1002.                     peripherals.
  1003.  
  1004.                ·    Version of DOS plus any TSRs or device drivers in use.
  1005.  
  1006.                ·    Printouts of your AUTOEXEC.BAT and CONFIG.SYS files.
  1007.  
  1008.                ·    A printout of what is in memory from the MEM command
  1009.                     (DOS 4 and above users only) or a similar utility.
  1010.  
  1011.                ·    The exact problem you are having.  Please be as
  1012.                     specific as possible.  Having a printout of the
  1013.                     screen and/or being at your computer will be helpful.
  1014.  
  1015.           McAfee Associates can be contacted by BBS, CompuServe, FAX, or
  1016.           InterNet 24 hours a day, or by telephone at (408) 988-3832,
  1017.           Monday through Friday, 7:00AM to 5:30PM Pacific Time.
  1018.  
  1019.                McAfee Associates, Inc.       (408) 988-3832 office
  1020.                2710 Walsh Avenue, Suite 200  (408) 970-9727 fax
  1021.                Santa Clara, CA  95051-0963   (408) 988-4004 BBS (25 lines)
  1022.                U.S.A                         USR HST/v.32/v.42bis/MNP1-5
  1023.                                              CompuServe        GO MCAFEE
  1024.                                              InterNet support@mcafee.COM
  1025.                                              America OnLine       MCAFEE
  1026.  
  1027.  
  1028.  
  1029.  
  1030.  
  1031.  
  1032.  
  1033.  
  1034.  
  1035.  
  1036.  
  1037.  
  1038.  
  1039.  
  1040.  
  1041.  
  1042.  
  1043.  
  1044.  
  1045.  
  1046. VSHIELD Version 5.54B108                                  Page 19
  1047.  
  1048.  
  1049.           APPENDIX A:  Creating an Exception List for the /CERTIFY Option
  1050.  
  1051.  
  1052.           NOTE:  The /CERTIFY option is for use in environments where a
  1053.                  significant risk of virus infection from unauthorized
  1054.                  software exists.  It is not for environments where new
  1055.                  software is introduced on a continuous basis.
  1056.  
  1057.                Exception List data files created with an editor or word
  1058.           processor must be saved as ASCII text files.  Be sure each line
  1059.           ends with a CR/LF pair.
  1060.  
  1061.                  When VSHIELD is used with the /CERTIFY option only files
  1062.           that have been validated by SCAN are allowed to run.  If
  1063.           /CERTIFY with an Exception List is used on a system with no
  1064.           files validated by SCAN then only the files listed in the
  1065.           Exception List will be allowed to run.
  1066.  
  1067.                The Exception List uses the following format:
  1068.  
  1069.           d:\pathnam1\filenam1.ext
  1070.           *comment
  1071.                .
  1072.                .
  1073.           d:\pathnam1\filenam2.ext
  1074.           *more comments
  1075.  
  1076.  
  1077.           Where "d:" is the name of the drive, "\pathnam1\" is the name of
  1078.           the path, and "filename.ext" is the name of the file, including
  1079.           the extension.  An Exception List can be up to 1,000 characters
  1080.           long.   Comment lines are preceded with an asterisk "*" and are
  1081.           ignored by VSHIELD.
  1082.  
  1083.                Running /CERTIFY without an exception list will prevent all
  1084.           programs other than DOS internal commands from being run.
  1085.  
  1086.  
  1087.  
  1088.  
  1089.  
  1090.  
  1091.  
  1092.  
  1093.  
  1094.  
  1095.  
  1096.  
  1097.  
  1098.  
  1099.  
  1100.  
  1101. VSHIELD 5.54B108                                          Page 20
  1102.  
  1103.  
  1104.           APPENDIX B:  Miscellaneous Application Notes
  1105.  
  1106.           SAMPLE NOVELL LOGIN SCRIPT AND .BAT FILE FOR VSHIELD AND CHKSHLD
  1107.  
  1108.                The following is a sample system login script for use by
  1109.           Novell NetWare system administrators.  The login script gets
  1110.           the ERRORLEVEL from Novell NetWare and then displays the error
  1111.           messages on the users' screens.  The script exits the user to
  1112.           a .BAT file that performs a logout if there is an internal error
  1113.           with CHKSHLD, VSHIELD has not been installed, or an older
  1114.           version of VSHIELD is present when a PC logs on to a network.
  1115.  
  1116.           __________ START OF SAMPLE NOVELL SYSTEM LOGIN SCRIPT __________
  1117.           CHKSHLD /V "5.4 V104"
  1118.                   IF ERROR_LEVEL = "3" THEN
  1119.                           FIRE PHASERS 5 TIMES
  1120.                           WRITE "A CHKSHLD internal error has occurred."
  1121.                           WRITE "Please contact the Help Desk."
  1122.                           #COMMAND /C NOLOGIN.BAT
  1123.                   EXIT
  1124.           ELSE
  1125.                   IF ERROR_LEVEL = "2" THEN
  1126.                           FIRE PHASERS 5 TIMES
  1127.                           WRITE "VSHIELD has not been installed on your PC."
  1128.                           WRITE "Access Denied.  Please contact the Help Desk."
  1129.                           #COMMAND /C NOLOGIN.BAT
  1130.                   EXIT
  1131.           ELSE
  1132.                   IF ERROR_LEVEL = "1" THEN
  1133.                           FIRE PHASERS 5 TIMES
  1134.                           WRITE "An old version of VSHIELD has been installed."
  1135.                           WRITE "Access to the network has been denied.  Please"
  1136.                           WRITE "contact the Help Desk to have a new version
  1137.                           WRITE "installed."
  1138.                           #COMMAND /C NOLOGIN.BAT
  1139.                   EXIT
  1140.               END
  1141.             END
  1142.           END
  1143.           ___________ END OF SAMPLE NOVELL SYSTEM LOGIN SCRIPT ___________
  1144.  
  1145.           _______________ START OF SAMPLE nologin.bat FILE _______________
  1146.           ECHO OFF
  1147.           REM Log the user off of the network
  1148.           LOGOUT
  1149.           ________________ END OF SAMPLE nologin.bat FILE ________________
  1150.  
  1151.           More complex login scripts can be created to send a message to
  1152.           the supervisor if an error has occurred, update the user's
  1153.           VSHIELD.EXE as he logs in to the network, etc.  For security
  1154.           purposes, the NOLOGIN.BAT file should be placed on the user's
  1155.           local hard disk.
  1156.  
  1157.