home *** CD-ROM | disk | FTP | other *** search
/ The Devil's Doorknob BBS Capture (1996-2003) / devilsdoorknobbbscapture1996-2003.iso / Dloads / 100UTILI / SCAN97.ZIP / SCAN97.DOC < prev    next >
Text File  |  1992-10-15  |  50KB  |  1,112 lines

  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.  
  8.  
  9.  
  10.  
  11.  
  12.  
  13.  
  14.  
  15.  
  16.  
  17.  
  18.  
  19.                            VIRUSCAN Version 8.9V97
  20.                 Copyright (C) 1989 - 1992 by McAfee Associates
  21.                              All rights reserved.
  22.  
  23.                        Documentation by Aryeh Goretsky.
  24.  
  25.  
  26.  
  27.  
  28.  
  29.  
  30.  
  31.  
  32.  
  33.  
  34.  
  35.  
  36.  
  37.  
  38.  
  39.  
  40.  
  41.  
  42.  
  43.  
  44.  
  45.  
  46.  
  47.  
  48.  
  49.                McAfee Associates            (408) 988-3832 office
  50.                3350 Scott Blvd, Bldg. 14    (408) 970-9727 fax
  51.                Santa Clara, CA  95054       (408) 988-4004 BBS (25 lines)
  52.                U.S.A.                       USR HST/v.32/v.42bis/MNP1-5
  53.                                             CompuServe        GO MCAFEE
  54.                                             InterNet support@mcafee.COM
  55.  
  56.  
  57.  
  58.                                       TABLE OF CONTENTS:
  59.  
  60.  
  61.           SYNOPSIS . . . . . . . . . . . . . . . . . . . . . . . . . . .2
  62.             - What is VIRUSCAN?
  63.             - System requirements
  64.  
  65.           AUTHENTICITY . . . . . . . . . . . . . . . . . . . . . . . . .2
  66.             - Verifying the integrity of VIRUSCAN
  67.  
  68.           WHAT'S NEW . . . . . . . . . . . . . . . . . . . . . . . . . .4
  69.             - New features and viruses in this release
  70.  
  71.           OVERVIEW . . . . . . . . . . . . . . . . . . . . . . . . . . .5
  72.             - General description of VIRUSCAN
  73.  
  74.           OPERATION and OPTIONS. . . . . . . . . . . . . . . . . . . . .7
  75.             - How to use VIRUSCAN, detailed explanation of switches
  76.  
  77.           EXAMPLES . . . . . . . . . . . . . . . . . . . . . . . . . . .14
  78.             - Samples of frequently-used options
  79.  
  80.           EXIT CODES . . . . . . . . . . . . . . . . . . . . . . . . . .15
  81.             - For running VIRUSCAN from batch files
  82.  
  83.           VIRUS REMOVAL. . . . . . . . . . . . . . . . . . . . . . . . .15
  84.             - How to manually remove a virus
  85.  
  86.           REGISTRATION . . . . . . . . . . . . . . . . . . . . . . . . .16
  87.             - How to register VIRUSCAN
  88.  
  89.           TECH SUPPORT . . . . . . . . . . . . . . . . . . . . . . . . .16
  90.            - Information you should have ready when calling
  91.  
  92.           APPENDIX A . . . . . . . . . . . . . . . . . . . . . . . . . .17
  93.            - Creating a virus string file with the /EXT option
  94.  
  95.           APPENDIX B . . . . . . . . . . . . . . . . . . . . . . . . . .18
  96.            - How to check only memory for viruses
  97.            - Validation codes:  Tips and Tricks
  98.            - Reformatting infected floppies with DOS 5.00
  99.            - Creating a Recovery Disk
  100.  
  101.  
  102.  
  103.  
  104.  
  105.  
  106.  
  107.  
  108.                                     Page 1
  109.  
  110. VIRUSCAN Version 8.9V97                                Page 2
  111.  
  112.  
  113.           SYNOPSIS
  114.  
  115.                VIRUSCAN (SCAN) is a virus detection and identification
  116.           program for IBM PC and compatible computers.  SCAN will search a
  117.           PC for known computer viruses in memory, the partition table,
  118.           the boot sector and the files of a PC and disks.  SCAN can
  119.           also detect the presence of unknown viruses.
  120.                SCAN works by searching the system for sequences of bytes
  121.           unique to each computer virus and then reporting their presence
  122.           when found.  This method works for viruses recognized by SCAN.
  123.           SCAN also checks for new/unknown viruses by looking for virus-
  124.           like code patterns, plus comparisons against previously-stored
  125.           validation (checksum) data.  When the enhanced validation mode
  126.           is used, CLEAN-UP can restore infected partition tables, boot
  127.           sectors, or files infected by unknown (new) viruses (See OPTIONS
  128.           for more information on enhanced validation).  The data for the
  129.           enhanced validation mode can be stored off-line on disks as a
  130.           "Recovery Disk" in case of infection by an unknown virus.
  131.           SCAN can also check for new viruses from a user-created list of
  132.           virus search strings.
  133.                VIRUSCAN requires 320Kb of RAM and DOS 2.0 or above (some
  134.           features require DOS 3.1 or above).
  135.  
  136.           AUTHENTICITY
  137.  
  138.                VIRUSCAN performs a self-check when run.  If SCAN has been
  139.           modified in any way, a warning will be displayed and the user
  140.           will be prompted to either continue or quit.  SCAN can still
  141.           check for viruses, however, if SCAN reports that it has been
  142.           damaged, it is recommended that a clean copy be obtained.
  143.                SCAN versions 46 and above are packaged with the VALIDATE
  144.           program to ensure the integrity of the SCAN.EXE file.  The
  145.           VALIDATE.DOC file tells how to use VALIDATE.  VALIDATE can be
  146.           used to check subsequent versions of SCAN for tampering.
  147.  
  148.                The validation results for Version 8.9V97 should be:
  149.  
  150.                         FILE NAME: SCAN.EXE
  151.                              SIZE: 81,681
  152.                              DATE: 10-15-1992
  153.               FILE AUTHENTICATION
  154.                    Check Method 1: 86AD
  155.                    Check Method 2: 16B6
  156.  
  157.           If your copy of SCAN differs, it may have been damaged or have
  158.           options stored in it with the /SAVE switch.  Run SCAN with only
  159.           the /SAVE option to remove any stored options and then re-run
  160.           VALIDATE.  Always obtain your copy of VIRUSCAN from a known
  161.           source.  The latest version of VIRUSCAN and validation data for
  162.           SCAN.EXE can be obtained from McAfee Associates' bulletin board
  163.           system at (408) 988-4004 or from the Computer Virus Help Forum
  164.           on CompuServe (GO VIRUSFORUM).
  165. VIRUSCAN Version 8.9V97                                Page 3
  166.  
  167.  
  168.                Beginning with Version 72, all of McAfee Associates'
  169.           VIRUSCAN series are archived with PKWare's PKZIP Authentic File
  170.           Verification.  If you do not see an "-AV" after every file is
  171.           unzipped and receive the "Authentic Files Verified! # NWN405
  172.           Zip Source: McAFEE ASSOCIATES" message when you unzip the files
  173.           then do not use them.  If your version of PKUNZIP does not have
  174.           verification ability, then this message may not be displayed.
  175.           Please contact us if you believe tampering has occured to the
  176.           .ZIP file.
  177.  
  178.  
  179.  
  180.  
  181.  
  182.  
  183.  
  184.  
  185.  
  186.  
  187.  
  188.  
  189.  
  190.  
  191.  
  192.  
  193.  
  194.  
  195.                     [This space intentionally left blank]
  196.  
  197.  
  198.  
  199.  
  200.  
  201.  
  202.  
  203.  
  204.  
  205.  
  206.  
  207.  
  208.  
  209.  
  210.  
  211.  
  212.  
  213.  
  214.  
  215.  
  216.  
  217.  
  218.  
  219.  
  220. VIRUSCAN Version 8.9V97                                Page 4
  221.  
  222.  
  223.           WHAT'S NEW
  224.  
  225.                Version 8.9V97 adds detection of 70 new viruses, bringing
  226.           the total number of known viruses to 755, or counting variants,
  227.           1,471.  For a complete description of known viruses please
  228.           refer to Patricia Hoffman's VSUM.
  229.                Viruses reported at multiple sites include the 644, an
  230.           encrypted memory-resident infector of .COM and .EXE files,
  231.           and the Tabulero, a .COM and .EXE infector from Venezuela.
  232.  
  233.  
  234.  
  235.           THE COMPUSERVE COMPUTER VIRUS HELP FORUM
  236.  
  237.                We are now sponsoring the McAfee Virus Help Forum on
  238.           CompuServe.  Updates to the VIRUSCAN series, information about
  239.           computer viruses, and technical support may be obtained by
  240.           typing GO MCAFEE at any CompuServe prompt.  A free introductory
  241.           membership to CompuServe is also available.  For more information,
  242.           please read the COMPUSER.NOT file.
  243.  
  244.  
  245.           INTERNET ACCESS TO McAFEE ASSOCIATES SOFTWARE
  246.  
  247.                The latest versions of McAfee Associates' anti-viral
  248.           software is now available by anonymous ftp (file transfer
  249.           protocol over the Internet from the site mcafee.COM.  If
  250.           your domain resolver does not support names, use the IP#
  251.           192.187.128.1.
  252.                 McAfee Associates' anti-viral software may also be
  253.           found at the Simtel20 archive site WSMR-SIMTEL20.Army.MIL
  254.           in the PD1:<MSDOS.TROJAN-PRO> directory and its associated
  255.           mirror sites.
  256.  
  257.  
  258.  
  259.  
  260.  
  261.  
  262.  
  263.  
  264.  
  265.  
  266.  
  267.  
  268.  
  269.  
  270.  
  271.  
  272.  
  273.  
  274.  
  275. VIRUSCAN Version 8.9V97                                Page 5
  276.  
  277.  
  278.           OVERVIEW
  279.  
  280.                VIRUSCAN is designed to work with stand-alone and networked
  281.           PC's, for file servers use the NETSCAN program instead.
  282.                SCAN checks files, subdirectories, diskettes or entire
  283.           systems for pre-existing computer virus infections.  It will
  284.           identify the virus infecting the system and the area where it
  285.           was found.  Infected files can be removed either with the /D
  286.           overwrite-and-delete option in SCAN which will erase the file,
  287.           or with the CLEAN-UP universal virus disinfection program.  The
  288.           CLEAN-UP program is recommended because in most cases it
  289.           eliminates the virus and fully restores the program or system
  290.           area.
  291.                VIRUSCAN Version 8.9V97 identifies all 755 known computer
  292.           viruses and their variants.  Some viruses have been modified so
  293.           that more than one "strain" exists.  Counting modifications,
  294.           there are 1,471 viruses.  This includes the twenty most common
  295.           viruses which account for over 95% of all reported infections.
  296.           The accompanying VIRLIST.TXT file lists describes all viruses
  297.           identified by SCAN.
  298.                All known viruses infect one or more of the following
  299.           areas: the hard disk partition table (alias Master Boot Record);
  300.           the DOS Boot Sector of disks; or one or more executable files on
  301.           the system.  Executable files include operating system files,
  302.           .COM files, .EXE files, overlay files, or any other files
  303.           containing program code.  A virus that infects more than one
  304.           area, such as a boot sector and an executable file is called
  305.           a multipartite virus.
  306.                VIRUSCAN identifies every system area or file infected,
  307.           and gives the name of the virus and the I.D. code used with
  308.           CLEAN-UP to remove it.
  309.                VIRUSCAN can also check for unknown viruses with the Check
  310.           Validation options (/CV, /CG and /CF).  This is done by
  311.           calculating a checksum for files and system areas and then
  312.           comparing against that checksum.  The checksum can be stored at
  313.           the end of .COM and .EXE files or saved to a user-specified file
  314.           which can then be stored offline (e.g., on floppies) for
  315.           recovery purposes.  If the file has been modified, the check
  316.           will no longer match, indicating that viral infection may have
  317.           occurred.  When run in the Enhanced Validation (/CG or /CF)
  318.           modes, information will be saved that can be used to restore
  319.           files or areas of the system that have been damaged by
  320.           unknown (new) viruses.
  321.                VIRUSCAN calculates checksums using two independently-
  322.           generated CRC's (Cyclic Redundancy Check).  Files which are
  323.           self-checking (e.g., Lotus 1-2-3) should not be validated with
  324.           the /AV (Add Validation) or /AG (Add Generic) switches which
  325.           modify files.  Instead, use the /AF (Add File) switch, which
  326.           stores its data in a separate file.  See the entries for /AF,
  327.           /AG, and /AV under OPERATION and OPTIONS for more information.
  328.  
  329.  
  330. VIRUSCAN Version 8.9V97                                Page 6
  331.  
  332.  
  333.                When SCAN is run with the /AV or /AG switches it adds
  334.           validation codes to .COM and .EXE files only.  The validation
  335.           codes for the partition table, boot sector, and system files are
  336.           kept in a hidden file called SCANVAL.VAL in the root directory.
  337.                VIRUSCAN can check for unknown (new viruses) in the boot
  338.           sector and partition table.  When virus-like code is found in
  339.           either area SCAN indicates it has found a Generic Boot Sector
  340.           or MBR Virus, respectively.
  341.                VIRUSCAN can be updated to search for new viruses by an
  342.           External Virus Data File, which allows the user to input new
  343.           search strings for viruses.
  344.                After seven months have passed VIRUSCAN will display a
  345.           message that it may no longer be current.  However, SCAN will
  346.           continue to function as normal.  This message can be bypassed
  347.           by running SCAN with the /NOEXPIRE switch.
  348.                VIRUSCAN displays messages in English, French, or Spanish.
  349.  
  350.  
  351.  
  352.  
  353.  
  354.  
  355.  
  356.  
  357.  
  358.  
  359.  
  360.  
  361.  
  362.  
  363.  
  364.  
  365.  
  366.  
  367.  
  368.  
  369.  
  370.  
  371.  
  372.  
  373.  
  374.  
  375.  
  376.  
  377.  
  378.  
  379.  
  380.  
  381.  
  382.  
  383.  
  384.  
  385. VIRUSCAN Version 8.9V97                                Page 7
  386.  
  387.  
  388.           OPERATION and OPTIONS
  389.  
  390.           IMPORTANT NOTE:  WRITE PROTECT YOUR FLOPPY DISK BEFORE SCANNING
  391.                            TO PREVENT INFECTION OF THE VIRUSCAN PROGRAM.
  392.  
  393.                VIRUSCAN checks files and other areas of the system that
  394.           can contain a computer virus.  When a virus is found, SCAN
  395.           identifies the virus and the file or system area where it was
  396.           found.
  397.                SCAN examines files based on their extension.  The default
  398.           extensions supported by SCAN are .APP, .BIN, .COM, .EXE, .OV?,
  399.           .PGM, .PIF, .PRG, .SWP, .SYS, and .XTP.  Additional extensions
  400.           can be added with the /EXT option, or use the /A to check all
  401.           files on the disk.
  402.  
  403.  
  404.           Valid options for VIRUSCAN are:
  405.  
  406.           SCAN d1: ... d26:   /? /A /AF filename /AG filename /AV filename
  407.                               /BELL /CERTIFY /CF filename /CHKHI /CG /CV
  408.                               /D /DATE /E .xxx .yyy .zzz /EXT filename
  409.                               /FAST /FR /H /HELP /HISTORY filename /MAINT
  410.                               /MANY /NLZ /NOBREAK /NOEXPIRE /NOMEM /NOPAUSE
  411.                               /NPKL /REPORT filename /RF filename /RG /RV
  412.                               /SAVE /SHOWDATE /SP /SUB /UNATTEND @filename
  413.  
  414.           Options are:
  415.  
  416.                          \ - Scan root directory and boot area only
  417.                /? /H /HELP - Display help screen
  418.                         /A - Scan all files, including data, for viruses
  419.               /AF filename - Store recovery data/validation codes to file
  420.               /AG filename - Add recovery data/validation codes to files
  421.                              EXCEPT those listed in filename
  422.               /AV filename - Add validation codes to files EXCEPT those
  423.                              listed in filename
  424.                      /BELL - Beep whenever a virus is found
  425.                   /CERTIFY - List files that do not have a validation code
  426.               /CF filename - Check for viruses using recovery data/
  427.                              validation codes stored in filename
  428.                     /CHKHI - Check memory from 0Kb to 1088Kb
  429.                        /CG - Check recovery data/validation codes on files
  430.                        /CV - Check validation codes on files
  431.                         /D - Overwrite and delete infected file
  432.                      /DATE - Save the date and time VIRUSCAN was last run
  433.                              (use /SHOWDATE to display date and time)
  434.               /E .xxx .yyy - Scan overlay extensions .xxx .yyy .zzz
  435.              /EXT filename - Scan using external virus data file
  436.                      /FAST - Speed up VIRUSCAN's output
  437.                              (see below for specifics)
  438.  
  439.  
  440. VIRUSCAN Version 8.9V97                                Page 8
  441.  
  442.  
  443.                        /FR - Display messages in French
  444.           /HISTORY filenam - Create infection log, appending to old log
  445.                         /M - Scan memory for all viruses
  446.                              (see below for specifics)
  447.                     /MAINT - Scan "invalid media" error (damaged) disk
  448.                      /MANY - Scan multiple floppies
  449.                       /NLZ - Skip internal scan of LZEXE-compressed files
  450.                   /NOBREAK - Disable Ctrl-C and Ctrl-Brk during scanning
  451.                  /NOEXPIRE - Do not display expiration notice
  452.                     /NOMEM - Skip memory checking
  453.                   /NOPAUSE - Disable screen pause when scanning
  454.                      /NPKL - Skip internal scan of PKLITE-compressed files
  455.           /REPORT filename - Create infection log, deleting old log
  456.               /RF filename - Remove recovery data/validation codes stored
  457.                              in filename
  458.                        /RG - Remove recovery data/validation codes from
  459.                              files
  460.                        /RV - Remove validation codes from specified files
  461.                      /SAVE - Save specified command line options as new
  462.                              defaults
  463.                  /SHOWDATE - Show date and time SCAN was last run
  464.                              (use /DATE to save date and time)
  465.                        /SP - Display messages in Spanish
  466.                       /SUB - Scan subdirectories under a subdirectory
  467.                  /UNATTEND - Scan using DOS critical error handler
  468.                  @filename - Scan using options from configuration file
  469.  
  470.               (d1: ... d26: indicate drives to be scanned)
  471.  
  472.  
  473.                The /A option checks all files on the drive scanned.  This
  474.           substantially increases the time required to scan disks, so
  475.           it is recommended this swich only be used when installing new
  476.           software or if a file-infecting virus has been found.  This
  477.           option takes priority over the /E option.
  478.                The /AF option logs recovery data and validation codes
  479.           for .COM and .EXE files, boot sector, and partition table of a
  480.           disk to a user-specified file that can be located on any drive.
  481.           The size of the file is about 20K per 1,000 files validated.
  482.           The syntax is /AF filename, where "filename" is the path and
  483.           file where recovery data and validation codes are stored.
  484.                The /AG option allows the user to store recovery data and
  485.           validation codes for .COM and .EXE files, boot sector, and
  486.           partition table of a disk.  Recovery information adds fifty-two
  487.           (52) bytes to files.  The recovery information for the partition
  488.           table, boot sector, COMMAND.COM and system files is stored
  489.           seperately in a hidden file called SCANVAL.VAL in the root
  490.           directory of the drive being scanned.  It is otherwise similar
  491.           to the /AV option below.  Recovery requires the CLEAN-UP
  492.           (CLEAN.EXE) program.
  493.  
  494.  
  495. VIRUSCAN Version 8.9V97                                Page 9
  496.  
  497.  
  498.                The /AV option allows the user to add validation codes to
  499.           .COM and .EXE files being scanned.  If the whole drive is
  500.           specified, SCAN will create validation data for the partition
  501.           table, boot sector, COMMAND.COM and system files and store them
  502.           seperately in a hidden file called SCANVAL.VAL in the root
  503.           directory of the drive being scanned.  Validation adds ten (10)
  504.           bytes to files; the validation data for the partition table,
  505.           boot sector, and system files is stored separately in a hidden
  506.           file named SCANVAL.VAL in the root directory of the scanned
  507.           drive.  Files which are immunized against viruses or contain
  508.           self-modifying code should not have validation codes added to
  509.           them.  To prevent SCAN from adding validation codes to these
  510.           files, a validation exception list must be created with the path
  511.           and filename of each file NOT to be validated listed on each
  512.           line.  Only one file should be on a line.  To put a comment in,
  513.           start a line with the asterisk "*" character.  This sample file
  514.           contains a list of programs NOT to validate:
  515.  
  516.           *This is Nantucket Corp's database program, Clipper
  517.           C:\CLIPPER\BIN\CLIPPER.EXE
  518.           *This is Lotus Development Corp's spreadsheet program, 1-2-3
  519.           C:\123\123.COM
  520.           *This is MS-DOS 5.00's self-modifying program, SETVER
  521.           C:\DOS\SETVER.EXE
  522.           *PKWare's data compression programs already perform a self-check
  523.           C:\PKWARE\PKLITE.EXE
  524.           C:\PKWARE\PKZIP.EXE
  525.           C:\PKWARE\PKUNZIP.EXE
  526.           *Stac Technologies hard disk swapping program
  527.           C:\SWAPVOL.COM
  528.           *Symantec's Norton Utilities V6.01 disk caching program
  529.           C:\NORTON\NCACHE.EXE
  530.           *WordStar Corp's word processor is self-modifying
  531.           C:\WORDSTAR\WS.EXE
  532.  
  533.           The validation exception list should be an ASCII text file.  If
  534.           a word processor is used to create the list, be sure to save
  535.           the file as ASCII.
  536.                The /BELL option will cause VIRUSCAN to beep each time a
  537.           computer virus is found.
  538.                The /CERTIFY option will audit a system for files that have
  539.           validation codes added to them with the /AG or /AV switches.
  540.           Files that have no validation code will be reported as being
  541.           uncertified by VIRUSCAN and an ERRORLEVEL of 3 will be returned
  542.           after SCAN is run.
  543.                The /CF option checks recovery data and validation codes
  544.           added by the /AF option.  The syntax is /CF filename, where
  545.           "filename" is the path and file name where recovery data
  546.           and validation codes are stored.
  547.  
  548.  
  549.  
  550. VIRUSCAN Version 8.9V97                                Page 10
  551.  
  552.  
  553.                The /CG option checks recovery data and validation codes
  554.           added by the /AG option.  If a file or system area has changed,
  555.           SCAN will report that the file or system area has been modified
  556.           and a viral infection may have occurred.  The /CG option takes
  557.           priority over the /CV option.
  558.                The /CHKHI option checks the memory above 640Kb that can be
  559.           used on AT (286) and 386 systems for computer viruses.  This
  560.           includes the 384Kb Upper Memory Area from 640Kb to 1024Kb, and
  561.           the 64Kb High Memory Area from 1024Kb to 1088Kb.  On XT systems
  562.           with extended memory cards installed, this will cause the first
  563.           64K of RAM to be scanned again.  This option cannot be used
  564.           with the /NOMEM option.
  565.                The /CV option checks validation codes inserted by the /AV
  566.           option.  If a file or system area has been changed, SCAN will
  567.           report that the file or system area has been modified and a
  568.           viral infection may have occurred.  Using the /CV option adds
  569.           about 25% more time to scanning.
  570.  
  571.           NOTE:  Some older Hewlett Packard and Zenith PC's modify the
  572.           boot sector each time the system is booted.  This will cause
  573.           SCAN to continually notify the user of boot sector modifications
  574.           if the /CV switch is selected.  Check your system's manual to
  575.           determine if your system contains self-modifying boot code.
  576.  
  577.                The /D option tells VIRUSCAN to prompt the user to
  578.           overwrite and delete an infected file when one is found.  A file
  579.           erased by the /D option cannot be recovered.  If the CLEAN-UP
  580.           program is available, it can be used to disinfect the file.
  581.           Boot sector and partition table infectors cannot be removed by
  582.           the /D option and require the CLEAN-UP virus removal program.
  583.                The /DATE option stores the time and date the VIRUSCAN
  584.           program was last run.  This is done by changing the date on the
  585.           SCANVAL.VAL file.  If no such file exists, SCAN will create a
  586.           0-byte long SCANVAL.VAL file in the currently-logged directory.
  587.                The /E option allows the user to specify an extension or
  588.           set of extensions to scan.  Extensions should include a period
  589.           "." and should also be separated by a space after the /E.  Up to
  590.           three extensions may be added with the /E.  For more extensions,
  591.           use the /A option.
  592.                The /EXT option allows VIRUSCAN to search for viruses from
  593.           a text file containing user-defined search strings in addition
  594.           to the viruses that SCAN already identifies.  The syntax for
  595.           using the external virus data file is /EXT d:filename, where d:
  596.           is the drive name and filename is the name of the external virus
  597.           data file.  For instructions on how to create an external virus
  598.           data file, refer to Appendix A.
  599.  
  600.           NOTE:  The /EXT option provides users with the ability to add
  601.                  strings for detection of viruses on an interim or
  602.                  emergency basis.  When used with the /D option, it will
  603.                  overwrite-and-delete infected files.  This option is not
  604.                  for general use and should be used with caution.
  605. VIRUSCAN Version 8.9V97                                Page 11
  606.  
  607.  
  608.                The /FAST option will speed SCAN up by displaying fewer
  609.           messages on the screen, skipping checking inside of LZEXE- and
  610.           PKLITE-compressed files, and examining a smaller portion of
  611.           files during scanning.  This may reduce the accuracy of SCAN.
  612.                The /FR option tells VIRUSCAN to output all messages in
  613.           French instead of English.  The /FR option cannot be used with
  614.           the /SP (Spanish) option.
  615.                The /HISTORY option saves a list of infected files to
  616.           disk.  The list is saved to disk as an ASCII text file.  If a
  617.           list exists, then the results of the current scan will be added
  618.           to the end.  The syntax is /HISTORY filename, where "filename"
  619.           is the path and name of the report file.
  620.                The /M option tells VIRUSCAN to check system memory for all
  621.           known computer viruses that can inhabit memory.  SCAN by default
  622.           only checks memory for critical and "stealth" viruses, which are
  623.           viruses which can cause catastrophic damage or spread the virus
  624.           infection during the scanning process.  By default, SCAN will
  625.           check memory for the following viruses:
  626.  
  627.              1024           1253          1554          1963
  628.              1971           2560          337           3445-Stealth
  629.              4096           512           Anthrax       Antitelefonica
  630.              Brain          Caz           CD            Dark Avenger
  631.              Dir-2          Doom II       Empire        Fish
  632.              Flu-2          Form          Greemlin      Irish
  633.              Joshi          Leech         Lozinsky      Microbes
  634.              Mirror         Nomenklatura  NOP           No-Int (Stoned III)
  635.              P1R (Phoenix)  Phantom       Plastique     Pogue
  636.              SBC            Sentinel      Stoned        Sunday-2
  637.              SVC            Taiwan3       Tequila       Turbo (Polish-2)
  638.              Twin-351       V2100         V2P6          Whale
  639.  
  640.           If one of these viruses is found in memory, SCAN will stop and
  641.           tell the user to power down, and reboot the system from a virus-
  642.           free system-bootable disk.  The /M option adds 6 to 20 seconds.
  643.  
  644.           NOTE:  Using the /M option with another anti-viral software
  645.                  package may result in false alarms if the other package
  646.                  does not remove its virus search strings from memory.
  647.  
  648.                The /MAINT option is used to scan hard disks partitioned
  649.           with DOS 4.0 or above that have been damaged by a boot sector
  650.           or partition table infecting virus.  Attempts to access disks
  651.           damaged in such a manner result in an "invalid media" message
  652.           being displayed.  The /MAINT option will only scan the partition
  653.           table and boot sector, not the files.
  654.                The /MANY option is used to scan multiple diskettes placed
  655.           in a given drive.  If the user has more than one floppy disk to
  656.           check for viruses, the /MANY option will allows the user to
  657.           check disks without having to re-run SCAN multiple times.
  658.           After the system has been disinfected, the /MANY and /NOMEM
  659.           options can be used together to speed up the scanning of disks.
  660. VIRUSCAN Version 8.9V97                                Page 12
  661.  
  662.  
  663.                The /NLZ option tells SCAN not to look inside files
  664.           compressed with LZEXE, a file compression program.  SCAN will
  665.           still check the LZEXE-compressed files for viruses that have
  666.           infected after file compression.
  667.                The /NOBREAK option prevents Ctrl-C or Ctrl-Brk from
  668.           aborting the scanning process.
  669.                The /NOMEM option is used to turn off all memory checking
  670.           for viruses in order to speed up the scanning process.  It
  671.           should only be used when a system is known to be virus-free.
  672.           The /NOMEM option can not be used with the /CHKHI or /M options.
  673.                The /NOEXPIRE option disables the warning message that
  674.           SCAN displays after seven months warning that it may no longer
  675.           be current with respect to known computer viruses.
  676.                The /NOPAUSE option disables the "More? (H = Help )" prompt
  677.           that is displayed when SCAN fills up a screen with messages.
  678.           This allows SCAN to run on PC's with severe infections without
  679.           requiring operator assistance.
  680.                The /NPKL option tells SCAN not to look inside files
  681.           compressed with PKLITE, a file compression program.  SCAN will
  682.           still check the PKLITE-compressed files for viruses that have
  683.           infected after file compression.
  684.                The /REPORT option saves a list of infected files to
  685.           disk.  The list is saved to disk as an ASCII text file.  If a
  686.           list exists, then it will be overwritten with the new list.
  687.           The syntax is /REPORT filename, where "filename" is the path
  688.           and name of the report file.
  689.                The /RF option will remove recovery data and validation
  690.           codes for files from the recovery data and validation code
  691.           file.  The syntax is /RF filename, where "filename" is the path
  692.           and file where recovery data and validation codes are stored.
  693.                The /RG option will remove validation codes and recovery
  694.           information from files validated with the /AG option.
  695.                The /RV option is used to remove validation codes from a
  696.           file or files.  It can be used to remove the validation code
  697.           from a diskette, subdirectory, or file(s).  Using /RV on a disk
  698.           will remove the partition table, boot sector, and system file
  699.           validation.  This option cannot be used with the /AV option.
  700.                The /SAVE option is used to store SCAN options for
  701.           subsequent executions of SCAN.  Options are stored by modifying
  702.           the SCAN.EXE executable file.  For example:
  703.  
  704.                SCAN /NOMEM /REPORT FILE1 /NOPAUSE /SAVE
  705.  
  706.           will set the default options to /NOMEM, /REPORT and /NOPAUSE.
  707.           If SCAN is run with just the /SAVE switch, then all options are
  708.           removed and SCAN execute with its original settings.
  709.                If you do not wish to modify the SCAN.EXE file, use the
  710.           @filename option instead, which allows you to store the SCAN
  711.           options in a separate text file.
  712.  
  713.  
  714.  
  715. VIRUSCAN Version 8.9V97                                Page 13
  716.  
  717.  
  718.           NOTE:  VALIDATE 0.4 must be used to validate SCAN version 89 or
  719.                  above if /SAVE is used.  /SAVE directly modifies SCAN.EXE
  720.                  and the validate codes will no longer match if an older
  721.                  version of VALIDATE is used.  VALIDATE 0.4 will generate
  722.                  the correct validation results even if the /SAVE option
  723.                  has been used.  Third party file-integrity check programs
  724.                  may not produce the same results after the /SAVE option
  725.                  is used.  The /SAVE option should be added to SCAN by the
  726.                  Systems Administrator prior to final installation on PC's
  727.                  if other integrity checking programs are in use.
  728.  
  729.                The /SHOWDATE option displays the time and date that SCAN
  730.           was last run.  No virus checking is performed
  731.  
  732.           NOTE:  When run with /SHOWDATE, SCAN only displays the last run
  733.                  date.  Viruses will *NOT* be checked for.
  734.  
  735.                The /SP option tells VIRUSCAN to output all messages in
  736.           Spanish instead of English.  This option can not be used with
  737.           the /FR (French) option.
  738.                The /SUB scans all subdirectories inside a subdirectory.
  739.           Previously, SCAN would only recursively check subdirectories
  740.           if a logical device (e.g., C:) was scanned.
  741.                The /UNATTEND option tells VIRUSCAN use the DOS critical
  742.           error handler when accessing files.  If SCAN accesses a file
  743.           which is in use by another program, it will continue scanning
  744.           instead of displaying an error message.  This option requires
  745.           DOS 3.10 or above.
  746.  
  747.           NOTE:  The /UNATTEND switch is required if you are running
  748.                  SCAN from a DOS session inside Windows or OS/2.
  749.  
  750.                The @FILENAME option allows the user to store a list of
  751.           options and/or system areas to be scanned in a configuration
  752.           file.  Options need to be separated by a space, while system
  753.           areas (disks, subdirectories, or files) need to be on separate
  754.           lines.  A sample file might look like this:
  755.  
  756.           /A /BELL /CV /NOMEM /REPORT C:\VIRUSCAN\SCAN.LOG
  757.           C:
  758.           D:\BBS
  759.           E:\MCAFEE\CLEAN-UP\CLEAN.EXE
  760.  
  761.           The first line contains the VIRUSCAN options while other lines
  762.           contain the names of disks, subdirectories, or files to scan.
  763.           The configuration file should be an ASCII text file.  If a word
  764.           processor is used to create the list, be sure to save as ASCII.
  765.  
  766.  
  767.  
  768.  
  769.  
  770. VIRUSCAN Version 8.9V97                                Page 14
  771.  
  772.  
  773.           EXAMPLES
  774.  
  775.                The following examples show different option settings:
  776.  
  777.                SCAN C:
  778.                    To scan drive C:
  779.  
  780.                SCAN A:R-HOOPER.EXE
  781.                    Scans file "R-HOOPER.EXE" on drive A:
  782.  
  783.                SCAN A: /A /CV
  784.                    To scan all files and check validation codes for unknown
  785.                    viruses on drive A:.
  786.  
  787.                SCAN B: /D /A
  788.                    Scans all files on drive B: and prompt for erasure of
  789.                    any infected files, if found.
  790.  
  791.                SCAN C: D: E: /AV /NOMEM
  792.                    To add validation codes to files on drives C:, D:, and
  793.                    E:, and skip memory checking.
  794.  
  795.                SCAN C: D: /M /A /FR
  796.                    Scan memory for all viruses, all files on drives C: and
  797.                    D:, and output all messages in French.
  798.  
  799.                SCAN C: D: /E .WPM .COD
  800.                    Scans drives C: and D:, including .WPM and .COD files 
  801.  
  802.                SCAN C: /EXT A:SAMPLE.ASC /BELL
  803.                    To scan drive C: for known computer viruses and also
  804.                    for viruses added by the user via the external virus
  805.                    data file option, and beep whenever a virus is found.
  806.  
  807.                SCAN C: /M /NOPAUSE /REPORT A:INFECTN.RPT
  808.                    To scan for all viruses in memory and drive C: without
  809.                    stopping, and create a log file INFECTN.RPT on drive A:
  810.  
  811.                SCAN C: D: /NOPAUSE /REPORT B:VIRUS.RPT
  812.                    To scan drives C: and D: for viruses without stopping,
  813.                    and create a log on drive B: called VIRUS.RPT
  814.  
  815.                SCAN E:\DOWNLOADS /SUB
  816.                    To scan all subdirectories under DOWNLOADS on drive E:
  817.  
  818.                SCAN C: D: E: /FAST /CERTIFY
  819.                    To perform a fast scan of drives C:, D:, and E: and
  820.                    check for any files that do not have validation codes.
  821.  
  822.                SCAN @C:\SCANOPTN.LST
  823.                    To run VIRUSCAN using configuration file SCANOPTN.LST
  824.                    in the root directory of drive C:.
  825. VIRUSCAN Version 8.9V97                                Page 15
  826.  
  827.  
  828.           EXIT CODES
  829.  
  830.                After VIRUSCAN has finished running, it will set the DOS
  831.           ERRORLEVEL.  ERRORLEVEL's are used in batch files to pass the
  832.           results of a program's actions.  The ERRORLEVEL's returned by
  833.           SCAN are:
  834.  
  835.                ERRORLEVEL │ DESCRIPTION
  836.                ═══════════╪══════════════════════════════════════════════
  837.                    0      │ No viruses found
  838.                    1      │ One or more viruses found
  839.                    2      │ Abnormal termination (program error)
  840.                    3      │ One or more uncertified files found
  841.                    4      │ Ctrl-C or Ctrl-Break aborted scan
  842.  
  843.           If a user stops the scanning process, SCAN will set the
  844.           ERRORLEVEL to 3.  The /NOBREAK option can be used to prevent
  845.           users from stopping SCAN.
  846.  
  847.  
  848.           VIRUS REMOVAL
  849.  
  850.                What do you do if a virus is found?  You can contact McAfee
  851.           Associates for help by BBS, FAX, telephone, Internet, or
  852.           CompuServe.  There is no charge for support calls to McAfee
  853.           Associates.
  854.                The CLEAN-UP universal virus disinfection program can
  855.           disinfect virtually all reported computer viruses.  It is
  856.           updated with each release of the SCAN program to remove new
  857.           viruses.  CLEAN-UP can be downloaded from McAfee Associates'
  858.           BBS, the mcafee.COM site and SIMTEL20 archives on the Internet,
  859.           the McAfee Virus Help Forum on CompuServe, or from any of the
  860.           agents listed in the enclosed AGENTS.TXT text file.
  861.                It is strongly recommended that you get experienced help in
  862.           dealing with viruses if you are unfamilar with anti-virus
  863.           software and methods.  This is especially true for 'critical'
  864.           viruses and partition table/boot sector infecting viruses as
  865.           improper removal of these viruses can result in the loss of
  866.           all data and the use of the infected disk(s).  [For a listing of
  867.           critical viruses, see the /M switch listed under OPTIONS above.]
  868.                For qualified assistance in removing a virus, please
  869.           contact McAfee Associates directly or any of the Authorized
  870.           McAfee Associates Agents in your area.  Agents may charge McAfee
  871.           Associates' normal support rates for their services.
  872.                If you wish to remove a file-infecting virus manually, you
  873.           can run SCAN with the /A and /D switches to erase all infected
  874.           files.
  875.                Before removing a boot sector or partition table-infecting
  876.           virus, it is recommended that you cold boot the infected PC from
  877.           a clean DOS disk and backup any critical data.
  878.  
  879.  
  880. VIRUSCAN Version 8.9V97                                Page 16
  881.  
  882.  
  883.           REGISTRATION
  884.  
  885.                A registration fee of US$25.00 is required for the use of
  886.           VIRUSCAN by individual home users.  Registration entitles the
  887.           holder to unlimited free upgrades from McAfee Associates' BBS,
  888.           the Internet, and the McAfee Virus Help Forum on CompuServe as
  889.           well as technical support for one year.  When registering, a
  890.           diskette containing the latest version may be requested for an
  891.           additional US$9.00.  Only one diskette mailing will be made.
  892.                Registration is for home users only and does not apply to
  893.           businesses, corporations, organizations, government agencies, or
  894.           schools, which must obtain a license for use.  Contact McAfee
  895.           Associates directly or an Authorized Agent for more information.
  896.  
  897.  
  898.           TECH SUPPORT
  899.  
  900.                For fast and accurate help, please have the following
  901.           information ready when you contact McAfee Associates:
  902.  
  903.                -    Program name and version number.
  904.  
  905.                -    Type and brand of computer, hard disk, plus any
  906.                     peripherals.
  907.  
  908.                -    Version of DOS plus any TSRs or device drivers in use.
  909.  
  910.                -    Printouts of your AUTOEXEC.BAT and CONFIG.SYS files.
  911.  
  912.                -    A printout of what is in memory from the MEM command
  913.                     (DOS 4 and above users only) or a similar utility.
  914.  
  915.                -    The exact problem you are having.  Please be as
  916.                     specific as possible.  Having a printout of the
  917.                     screen and/or being at your computer be will helpful.
  918.  
  919.           McAfee Associates can be contacted by BBS, CompuServe, FAX, or
  920.           InterNet 24 hours a day, or by telephone at (408) 988-3832,
  921.           Monday through Friday, 7:00AM to 5:30PM Pacific Time.
  922.  
  923.                McAfee Associates             (408) 988-3832 office
  924.                3350 Scott Blvd. Bldg. 14     (408) 970-9727 fax
  925.                Santa Clara, CA  95054-3107   (408) 988-4004 BBS (25 lines)
  926.                U.S.A                         USR HST/v.32/v.42bis/MNP1-5
  927.                                              CompuServe        GO MCAFEE
  928.                                              Internet support@mcafee.COM
  929.  
  930.           If you are overseas, there may be an Authorized McAfee Associates
  931.           Agent in your area.  Please refer to the AGENTS.TXT file for a
  932.           listing of McAfee Associates Agents for support or sales.
  933.  
  934.  
  935. VIRUSCAN Version 8.9V97                                Page 17
  936.  
  937.  
  938.           APPENDIX A:  Creating a Virus String File with the /EXT Option
  939.  
  940.           NOTE:  The /EXT option is intended for emergency and research
  941.                  use only.  It is a temporary method for identifying new
  942.                  viruses prior to the subsequent release of SCAN.  A
  943.                  thorough understanding of viruses and string-search
  944.                  techniques is advised for using this option.  A string
  945.                  length of 10 to 15 bytes is recommended.
  946.  
  947.                The External Virus Data file should be created with an
  948.           editor or a word processor and saved as an ASCII text file.  Be
  949.           sure each line ends with a Carriage Return/Line Feed pair.
  950.  
  951.  
  952.                The virus string file uses the following format:
  953.  
  954.           #Comment about Virus_1
  955.           "aabbccddeeff..." Virus_1_Name
  956.           #Comment about Virus_2
  957.           "gghhiijjkkll..." Virus_2_Name
  958.                .
  959.                .
  960.           "uuvvwwxxyyzz..." Virus_n_Name
  961.  
  962.  
  963.           Where aa, bb, cc, etc. are the hexadecimal bytes that you wish
  964.           to scan for.  Each line in the file represents one virus.  The
  965.           Virus Name for each virus is mandatory, and may be up to 25
  966.           characters in length.  The double quotes (") are required at the
  967.           beginning and end of each hexadecimal string.
  968.                SCAN will use the string file to search memory, the
  969.           Partition Table, Boot Sector, System files, all .COM and .EXE
  970.           files, and overlay files with the extension .APP, .BIN, .COM,
  971.           .EXE, .OV?, .PGM, .PIF, .PRG, .SWP, .SYS, and .XTP.
  972.                Virus strings may contain wild cards.  The two wildcard
  973.           options are:
  974.  
  975.           FIXED POSITION WILDCARD
  976.                The question mark "?" may be used to represent a wildcard
  977.           in a fixed position within the string.  For example, the string:
  978.  
  979.                              "E9 7C 00 10 ? 37 CB"
  980.  
  981.           would match "E9 7C 00 10 27 37 CB", "E9 7C 00 10 9C 37 CB", or
  982.           any other similar string, regardless of the fifth byte.
  983.  
  984.  
  985.  
  986.  
  987.  
  988.  
  989.  
  990. VIRUSCAN Version 8.9V97                                Page 18
  991.  
  992.  
  993.           RANGE WILDCARD
  994.  
  995.                The asterisk "*", followed by range number in parentheses
  996.           "(" and ")" is used to represent a variable number of adjoining
  997.           random bytes.  For example, the string:
  998.  
  999.                              "E9 7C *(4) 37 CB"
  1000.  
  1001.           would match "E9 7C 00 37 CB", "E9 7C 00 11 37 CB", and
  1002.           "E9 7C 00 11 22 37 CB".  The string "E9 7C 00 11 22 33 44 37 CB"
  1003.           would not match since the distance between 7C and 37 is greater
  1004.           than four bytes.  You may specify a range of up to 99 bytes.
  1005.           Up to 10 different wildcards of either kind may be used in one
  1006.           virus string.
  1007.  
  1008.  
  1009.           COMMENTS
  1010.                A pound sign "#" at the begining of a line will denote a
  1011.           comment.  Use this for adding notes to the external virus data
  1012.           file.  For example:
  1013.  
  1014.                              #New .COM virus found in file FRITZ.EXE from
  1015.                              #Schneiderland on 01-22-91
  1016.                              "53 48 45 45 50" Fritz-1 [F-1]
  1017.  
  1018.           gives a description of the virus, name of the infected file,
  1019.           where and when it was found, etc.
  1020.  
  1021.  
  1022.           APPENDIX B:  Miscellaneous Application Notes
  1023.  
  1024.  
  1025.           CHECKING MEMORY FOR VIRUSES ONLY
  1026.  
  1027.                VIRUSCAN can perform a quick check for viruses in memory
  1028.           only.  In this mode, SCAN will not check the disk for viruses.
  1029.           This option is useful for network administrators who need to
  1030.           check workstations for viruses before allowing them to log on to
  1031.           a LAN but cannot run the VSHIELD program due to memory
  1032.           constraints.  The command for this is:
  1033.  
  1034.                SCAN NUL /M /CHKHI
  1035.  
  1036.           By designating NUL as the drive to be scanned, SCAN will check
  1037.           system memory for viruses (up to 1088Kb if the /CHKHI option is
  1038.           used) and then return to DOS without scanning any disks.  SCAN
  1039.           returns the DOS ERRORLEVEL in the normal manner.
  1040.  
  1041.  
  1042.  
  1043.  
  1044.  
  1045. VIRUSCAN Version 8.9V97                                Page 19
  1046.  
  1047.  
  1048.           VIRUSCAN VALIDATION CODES
  1049.  
  1050.                If you have installed any new software or programs on your
  1051.           system, and are running VIRUSCAN or VSHIELD with the /CF, /CG,
  1052.           or /CV validation codes options, you will need to reinstall
  1053.           validation codes to the new files with the /AF, /AG, or /AV
  1054.           add validation codes options of SCAN.  In addition, the
  1055.           SCANVAL.VAL hidden file containing validation codes for the
  1056.           partition table, boot sector, COMMAND.COM, and system files may
  1057.           have to be replaced (unhide the file with the DOS ATTRIB command
  1058.           and then delete it).
  1059.                The quickest way to update the validation codes is to
  1060.           remove all validation codes from the hard disk and then add them
  1061.           back by running SCAN with the /RV and then the /AV options.
  1062.  
  1063.           NOTE: This applies to any new version of DOS, as well as any
  1064.           programs which you install on your system.
  1065.  
  1066.  
  1067.           REFORMATTING INFECTING FLOPPIES WITH DOS 5.00
  1068.  
  1069.                When reformatting infected floppy disks under DOS 5.0, be
  1070.           sure to add the /U switch to the FORMAT command.  This tells DOS
  1071.           to do an Unconditional Format of the disk, without saving the
  1072.           original infected boot sector of the disk.  This should be done
  1073.           to prevent the reinfection by unformatting the disk.
  1074.  
  1075.  
  1076.           CREATING A RECOVERY DISK USING THE /AF OPTION
  1077.  
  1078.                The /AF switch added in Version 90 of SCAN creates a
  1079.           separate file to store recovery data and validation codes.
  1080.           This file can be stored off-line (on a floppy disk, network
  1081.           drive, tape drive, etc.) and accessed on-demand to check for,
  1082.           and recover from,infection by unknown viruses.
  1083.                To create a Recovery Disk, format a system-bootable floppy
  1084.           and copy the VIRUSCAN (SCAN.EXE) and CLEAN-UP (CLEAN.EXE) files
  1085.           to it.  Then run SCAN against the hard disk with the /AF option.
  1086.           For example:
  1087.                              SCAN C: D: /AF A:\SCANCRC.CRC
  1088.  
  1089.           will scan the C: and D: drives for known viruses and create
  1090.           a file named SCANCRC.CRC containing recovery data and validation
  1091.           codes.  After SCAN finishes, write-protect the disk.
  1092.                To check for virus infection, turn the PC off, insert the
  1093.           Recovery Disk, and turn the power back on.  The PC will now boot
  1094.           from the floppy disk.  At the DOS prompt, type:
  1095.  
  1096.                              SCAN C: D: /CF A:\SCANCRC.CRC
  1097.  
  1098.           to compare drives C: and D: against the recovery data stored
  1099.           in the SCANCRC.CRC file on the A: drive.
  1100. VIRUSCAN Version 8.9V97                                Page 20
  1101.  
  1102.  
  1103.                To disinfect your system, turn your PC off, insert the
  1104.           Recovery Disk, and turn the power back on.  The PC will now
  1105.           boot from the floppy disk.  At the DOS prompt, type:
  1106.  
  1107.                              CLEAN C: D: /GF A:\SCANCRC.CRC
  1108.  
  1109.           to restore drives C: and D: with the recovery data stored in the
  1110.           SCANCRC.CRC file on the A: drive.
  1111.  
  1112.